GD Star Rating
loading...
loading...
Привет, цисканы!
тут такое дело
есть два кресла, на одном пики точены на другом… ой, не так.
есть три офиса
в двух стоят pfSense роутеры, а третьем циска 892
продолжение внутри инсайда
случайная кпз для привлечения вашего драгоценного внимания
Простыня автора:
пфсенсы сдружились между собой по ипсек без проблем
а вот с циской не особо получается
тоннель между циской и пфсенсом поднят
r1#show crypto session
Crypto session current status
Interface: GigabitEthernet0
Session status: UP–ACTIVE
Peer: 77.244.65.237 port 500
IKE SA: local 88.216.x.y/500 remote 77.244.a.b/500 Active
IKE SA: local 88.216.x.y/500 remote 77.244.a.b/500 Active
IPSEC FLOW: permit ip 10.1.0.0/255.255.255.0 10.0.0.0/255.255.252.0
Active SAs: 2, origin: crypto map
IPSEC FLOW: permit ip 10.0.0.0/255.255.252.0 10.1.0.0/255.255.255.0
Active SAs: 0, origin: crypto map
Но трафик не направляется в тоннель
r1#traceroute
Protocol [ip]:
Target IP address: 10.0.0.20
Source address: 10.0.0.1
% Invalid source address
radico–eu–r1#traceroute
Protocol [ip]:
Target IP address: 10.0.0.20
Source address: 10.1.0.1
Numeric display [n]: y
Timeout in seconds [3]:
Probe count [3]:
Minimum Time to Live [1]:
Maximum Time to Live [30]:
Port Number [33434]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Type escape sequence to abort.
Tracing the route to 10.0.0.20
1 88.216.x.z 0 msec 4 msec 0 msec
2 88.216.x.c 0 msec 4 msec 0 msec
3 88.216.x.d 4 msec 4 msec 4 msec
4 88.216.x.d!H * *
Т.е трафик не отправляется в тоннель самой циской?
ЧЯДНТ?
раутинг глянь
возможно :
ip route 10.1.0.0 255.255.255.0 77.244.65.237
как вариант
reverse route в криптомапе
r1#show crypto session
Crypto session current status
Interface: GigabitEthernet0
Session status: UP-ACTIVE
Peer: 77.244.65.237 port 500
IKE SA: local 88.216.95.98/500 remote 77.244.65.237/500 Active
IPSEC FLOW: permit ip 10.1.0.0/255.255.255.0 10.0.0.0/255.255.252.0
Active SAs: 2, origin: crypto map
IPSEC FLOW: permit ip 10.0.0.0/255.255.252.0 10.1.0.0/255.255.255.0
Active SAs: 0, origin: crypto map -r1#show ip route
Codes: L – local, C – connected, S – static, R – RIP, M – mobile, B – BGP
D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area
N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
E1 – OSPF external type 1, E2 – OSPF external type 2
i – IS-IS, su – IS-IS summary, L1 – IS-IS level-1, L2 – IS-IS level-2
ia – IS-IS inter area, * – candidate default, U – per-user static route
o – ODR, P – periodic downloaded static route, + – replicated route
Gateway of last resort is 88.216.95.97 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] via 88.216.95.97
10.0.0.0/8 is variably subnetted, 3 subnets, 3 masks
S 10.0.0.0/22 [1/0] via 77.244.65.237
C 10.1.0.0/24 is directly connected, Vlan1
L 10.1.0.1/32 is directly connected, Vlan1
88.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 88.216.95.96/27 is directly connected, GigabitEthernet0
L 88.216.95.98/32 is directly connected, GigabitEthernet0
r1#traceroute ip 10.0.0.20 numeric
Type escape sequence to abort.
Tracing the route to 10.0.0.20
1 88.216.95.97 0 msec 0 msec 4 msec
2 88.216.95.254 0 msec 0 msec 4 msec
3 * * *
4 * * *
5 * * *
6 * *
88.216.87.77!H
конфу выложи – так долго гадать можно
!
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption!
hostname r1!
boot-start-marker
boot-end-marker!
logging rate-limit 10
no logging monitor!
aaa new-model!
aaa authorization exec AUTHO_LIST local!
aaa session-id common!
clock timezone EET 3
service-module wlan-ap 0 bootimage autonomous!
crypto pki trustpoint TP-self-signed-1116345845
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1116345845
revocation-check none
rsakeypair TP-self-signed-1116345845!
crypto pki certificate chain TP-self-signed-1116345845
certificate self-signed 01
3082024E 308201B7 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31313136 33343538 3435301E 170D3133 30313134 31303137
35305B17 0D323030 31303131 31313130 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 31313633
34353834 3530819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100BAF6 3F3DFE3E FD968921 2CBDC849 821A8866 B768CCE4 7C90C5BD 8BE4EE74
A169F1BF C8351EEC F33BC656 3551F1D9 71108385 ABFF5758 7A918DEC 86B547E6
6FD00BC8 9840420F 8B2F3F47 418AB006 1B60AEF6 E88ADED8 87BEA3C3 00A332C7
13884175 BC082C4A 07DAA4B3 A870438F 4B5DD69A 55581508 61B54034 B058BCF7
FC550203 010001A3 76307430 0F060355 1D130101 FF040530 030101FF 30210603
551D1104 1A301882 16726164 69636F2D 65752D72 312E7261 6469636F 2E657530
1F060355 1D230418 30168014 D34F4D55 FB4981B6 F4288888 977E2F23 7D6895EC
301D0603 551D0E04 160414D3 4F4D55FB 4981B6F4 28888897 7E2F237D 6895EC30
0D06092A 864886F7 0D010104 05000381 81001175 A60B0F91 8000FB55 802B8F38
45FFB09E FCC88144 C0DCFCDB B0BF5731 DFB667F2 BCAD95BA D0E3FBF8 2F258C88
DE3C723C E38AA277 B65939F0 FD2C5F23 D3AAFB6C C4DBECAB 4FBF594C 97B781CE
3F5AD759 EC737EF6 1B70CE26 6B108FDE 49DE8180 2BEB1DF5 2C1CB90C AAC77013
F140076D 7E5DB9F6 8D884C56 2F7E44E4 5F7C
quit
no ip source-route!
ip dhcp excluded-address 10.1.0.1 10.1.0.99
ip dhcp excluded-address 10.1.0.201 10.1.0.255
ip dhcp ping packets 10!
ip dhcp pool LAN
network 10.1.0.0 255.255.255.0
default-router 10.1.0.1
dns-server 10.1.0.1
lease 365!
ip dhcp pool server!
ip cef
no ip bootp server
ip domain name radico.eu
ip name-server 88.216.95.254
ip name-server 8.8.8.8
ip inspect name INSPECT_OUT pptp
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT icmp router-traffic
ip inspect name INSPECT_OUT http
ip inspect name INSPECT_OUT https
ip inspect name INSPECT_OUT dns
no ipv6 cef!
multilink bundle-name authenticated
vpdn enable!
vpdn-group 1! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
l2tp tunnel timeout no-session 15!
license udi pid CISCO892W-AGN-E-K9 sn FCZ154893YM!
username radico privilege 15 password 7 password!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key ocebukopoge78 address 77.244.65.237 no-xauth!
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac!
crypto map PFSVPN 15 ipsec-isakmp
set peer 77.244.65.237
set transform-set 3DES-SHA
set pfs group2
match address 100
reverse-route!
interface BRI0
no ip address
encapsulation hdlc
shutdown
isdn termination multidrop!
interface FastEthernet0!
interface FastEthernet8
no ip address
shutdown
duplex auto
speed auto!!
interface Virtual-Template1
ip unnumbered GigabitEthernet0
peer default ip address pool default
ppp authentication ms-chap ms-chap-v2!
interface GigabitEthernet0
description === Internet ===
ip address 88.216.95.98 255.255.255.224
ip access-group FIREWALL in
no ip redirects
no ip proxy-arp
ip verify unicast reverse-path
ip nat outside
ip inspect INSPECT_OUT out
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
crypto map PFSVPN!
interface wlan-ap0
description Service module interface to manage the embedded AP
ip unnumbered Vlan1
arp timeout 0!
interface Wlan-GigabitEthernet0
description Internal switch interface connecting to the embedded AP
switchport mode trunk!
interface Vlan1
description === LAN ===
ip address 10.1.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly!
ip local pool default 10.1.0.202 10.1.0.240
ip forward-protocol nd
no ip http server
no ip http secure-server!
ip dns server
ip nat inside source list NAT interface GigabitEthernet0 overload
ip route 0.0.0.0 0.0.0.0 88.216.95.97!
ip access-list extended FIREWALL
permit tcp any any eq 22
permit tcp any any eq 1723
permit udp any any eq isakmp
permit gre any any
permit icmp any any
deny ip 10.1.0.0 0.0.0.255 10.0.0.0 0.0.3.255
ip access-list extended NAT
permit ip 10.1.0.0 0.0.0.255 any!
access-list 100 permit ip 10.0.0.0 0.0.3.255 10.1.0.0 0.0.0.255
access-list 100 permit ip 10.1.0.0 0.0.0.255 10.0.0.0 0.0.3.255!
control-plane!
line con 0
authorization exec CONSOLEandHTTP
login authentication CONSOLEandHTTP
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin udptn ssh
line aux 0
line vty 0 4
privilege level 15
authorization exec AUTHO_LIST
transport input telnet ssh!
scheduler max-task-time 5000
ntp update-calendar
ntp server 212.59.0.2
ntp server 94.23.243.53
end
Правило под нат попадает, сделай так чтобы не попадало.
ip access–list extended NAT
deny ip 10.1.0.0 0.0.0.255 10.0.0.0 0.0.3.255
permit ip 10.1.0.0 0.0.0.255 any!
теперь он никуда не отправляет пакеты
r1#traceroute
Protocol [ip]:
Target IP address: 10.0.0.20
Source address: 10.1.0.1
Numeric display [n]:
Timeout in seconds [3]:
Probe count [3]:
Minimum Time to Live [1]:
Maximum Time to Live [30]:
Port Number [33434]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Type escape sequence to abort.
Tracing the route to 10.0.0.20
1 * * *
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
sho cry ipsec sa покажи теперь. уже в тоннель пытается завернуть, но что-то идёт не так
r1#show crypto ipsec sa
interface: GigabitEthernet0
Crypto map tag: PFSVPN, local addr 88.216.95.98
protected vrf: (none)
local ident (addr/mask/prot/port): (10.1.0.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.0.0.0/255.255.252.0/0/0)
current_peer 77.244.65.237 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 215, #pkts encrypt: 215, #pkts digest: 215
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0
local crypto endpt.: 88.216.95.98, remote crypto endpt.: 77.244.65.237
path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0
current outbound spi: 0x92DEAEC(154004204)
PFS (Y/N): Y, DH group: group2
inbound esp sas:
spi: 0xBAA15799(3131135897)
transform: esp-3des esp-sha-hmac,
in use settings ={Tunnel, }
conn id: 19, flow_id: Onboard VPN:19, sibling_flags 80000046, crypto map: PFSVPN
sa timing: remaining key lifetime (k/sec): (4554934/513)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x92DEAEC(154004204)
transform: esp-3des esp-sha-hmac,
in use settings ={Tunnel, }
conn id: 20, flow_id: Onboard VPN:20, sibling_flags 80000046, crypto map: PFSVPN
sa timing: remaining key lifetime (k/sec): (4554932/513)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
protected vrf: (none)
local ident (addr/mask/prot/port): (10.0.0.0/255.255.252.0/0/0)
remote ident (addr/mask/prot/port): (10.1.0.0/255.255.255.0/0/0)
current_peer 77.244.65.237 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 88.216.95.98, remote crypto endpt.: 77.244.65.237
path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0
current outbound spi: 0x0(0)
PFS (Y/N): N, DH group: none
inbound esp sas:
inbound ah sas:
inbound pcp sas:
outbound esp sas:
outbound ah sas:
outbound pcp sas:
запросы уходят, ответы не ловит:
#pkts encaps: 215, #pkts encrypt: 215, #pkts digest: 215
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
попробуй:
conf t
ip access–list extended FIREWALL
25 permit esp host 77.244.65.237 host 88.216.95.98
end
или где-то ещё по пути дропаются пакеты ipsec. или используется nat-t, тогда надо udp/4500 дополнительно к udp/500 разрешить.
с тем же успехом.
вот есть еще сведения.
если изнутри циски прицепиться через IPSEC Mobile clients к тому же pfsense серверу, то трафик ходит
если изнутри циски попытаться прицепиться по pptp vpn к любому серверу, то выдает ошибку 619
если вместо циски оставить длинк 320 то pptp vpn работает
если эту циску коннектить по IPSEC с циской в четвертом офисе, то трафик не ходит
беда короче с этой циской.
убери access-list вообще и проверь.
если убрать access-list 100, то нет фазы 2 в ипсек сосединении.
в остальных аксес-листах там никаких запретов на протоколы нет.
инспекты для pptp есть. в логгировании инспектов нет запретов при установлении соединения. в удаленном сервере я вижу запрос на соединие и ответ на него.
я всю голову себе этой циской сломал. никогда еще проблем не было с ними.
*бьюсь головой апстену*
conf t
interface GigabitEthernet0
no ip access–group FIREWALL in
проверь, потом обратно вернёшь. ещё нужно убедиться, что нигде по пути до хоста, с которым тоннель строится, трафик не блокируется.
r1#traceroute ip 10.0.0.20 numeric
Type escape sequence to abort.
Tracing the route to 10.0.0.20
1 88.216.95.97 0 msec 0 msec 4 msec
2 88.216.95.254 0 msec 0 msec 4 msec
3 * * *
4 * *
88.216.87.77!H
неправильный traceroute, у тебя source-адрес в этом случае 88.216.95.98, а надо что-то из 10.х.х.х
точно. вчера ступил