| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
borkes
Зарегистрирован: 24.03.2006
Сообщения: 64
Откуда: Озерск/Москва
|
 Добавлено: Пн Мар 12 2007 16:56 Заголовок сообщения: проблема с IPSec |
 |
|
Всем привет!
Между маршрутизаторами Cisco 1751 и 2651 пытаюсь поднять IPSec.
Все туннели поднимаются, трафик идет. Но при этом не проходит windows авторизация, exchange-сервера тоже не авторизуются, вобщем нет LDAP-трафика. С чем это может быть связано?
Пытался менять mtu на serial-интерфейсах (ip mtu) не помогло.
Во Владике сетка 192,168,18,0/24, в Москве несколько подсетей, суммируя - 192,168,0,0/16.
Vladivostok# sh run
...
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key 6 ****** address 172.16.25.17
!
crypto ipsec transform-set SUPERSET esp-des esp-sha-hmac
mode transport (c mode tunnel то же самое)
!
crypto map SUPERMAP 1 ipsec-isakmp
set peer 172.16.25.17
set transform-set SUPERSET
match address TUNNEL
!
ip access-list extended TUNNEL
permit ip 192.168.18.0 0.0.0.255 192.168.0.0 0.0.255.255
!
interface Serial0/0.1 point-to-point
bandwidth 1024
ip address 172.16.25.9 255.255.255.252
no cdp enable
crypto map SUPERMAP
frame-relay interface-dlci 16
class FRAG-640
...
В Москве конфиг симметричен. |
|
| Вернуться к началу |
|
 |
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Пн Мар 12 2007 21:18 Заголовок сообщения: |
|
|
После crypto ipsec transform
Попробуй поставить crypto ipsec df-bit clear
Был аналогичный косяк на фрейм-релеевском линке. Вылечил именно так. |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Пн Мар 12 2007 21:22 Заголовок сообщения: |
|
|
| Цитата: | ip access-list extended TUNNEL
permit ip 192.168.18.0 0.0.0.255 192.168.0.0 0.0.255.255 |
Так лучше не делать. Лучше явно укажите подсети. Их ведь достаточно немного.
Преимущества: можно легко лишить кого не надо шифровать, да и порядок имеется.
А то ляжет у вас магистральный канал, пока туда/сюда, а окажется, что Вася Пете кино качал. |
|
| Вернуться к началу |
|
|
borkes
Зарегистрирован: 24.03.2006
Сообщения: 64
Откуда: Озерск/Москва
|
| Добавлено: Ср Мар 14 2007 12:29 Заголовок сообщения: |
|
|
and3008, большое спасибо, добавил команду - все стало летать.
щас попробую понять, что же она значит 
и насчет ACL - тоже поправил, но дело было именно в фрагментации. |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Ср Мар 14 2007 21:02 Заголовок сообщения: |
|
|
Если где-то на пути стоит тупой роутер с другим (меньшим) MTU и где-то перед ним роутер или но сам не передает через ICMP сообщения "need fragmentation" (зарезно FireWall-ом), то вот ты имеешь такой косяк.
Мораль: Никогда не закрывайте ICMP, а если закрываете, то отдавайте себе отчет что делаете.
Проблемный роутер можешь найти методом пинга больших с флагом "Не фрагментировать". После этого попробовать наехать на владельца этого роутера. |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
