Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

GRE туннель + IPSec не типовая схема

47 views
Skip to first unread message

an...@sibur-rt.ru

unread,
Jul 10, 2007, 3:26:55 AM7/10/07
to

Добрый день,
Помогите решить задачу.

Есть два пограничных маршрутизатора Cisco в филиалах подключенных по
IPsec к Cisco ASA центрального офиса.

За ASA внутри сети центрального офиса есть Центральный маршрутизатор.

Задача, сделать маршрутизацию между региональными сетками используя
GRE over IPsec, с учётом того, что GRE туннели будут терминироваться
на Центральном Cisco Router на котором прописаны статик роуты на
региональные сетки. А маршрутизаторы на филиалах будут терминировать
GRE к Центральному маршрутизатору в ЛВС ЦО через IPsec и одновременно
обеспечивать IPSec к ASA.

Вопрос, как заставить эту схему работать?


Итак, задача - маршрутизация региональных сетей через роутер
Центрального офиса с использованием GRE over IPSec.

Центральный маршрутизатор (Маршрутизатор в ЦО):

interface Tunnel0
ip address 172.29.200.1 255.255.255.252
tunnel source Ethernet0
tunnel destination 172.29.112.251
!
interface Tunnel1
ip address 172.29.201.1 255.255.255.252
tunnel source Ethernet0
tunnel destination 172.29.96.1

!
interface Ethernet0
ip address 172.29.31.254 255.255.224.0

ip route 172.29.96.0 255.255.240.0 172.29.201.2 ip route 172.29.112.0
255.255.240.0 172.29.200.2 ip route 172.29.112.251 255.255.255.255
172.29.1.254 (где, .1.254 - это inside interface АСА, на которой
терминируются IPsec региональных цисок, а .112.251 IP addr. внутренней
карты регионального
маршрутизатора)
ip route 172.29.96.1 255.255.255.255 172.29.1.254 и тоже самое для
второго роутера.

С центрального роутера прекрасно видно внутренние интерфейсы
региональных маршрутизаторов через IPSec.

Далее сообственно конфигурации региональных роутеров.

interface Tunnel0
ip address 172.29.200.2 255.255.255.252
tunnel source FastEthernet0/1 --- В этом сильное сомнение, так как
IPsec устанавливается с Cisco явно не с этого интерфейса.
tunnel destination 172.29.31.254

!
interface FastEthernet0/0
description Connected to WAN
ip address 62.168.XXX.YYY 255.255.255.252 ip access-group 120 in no ip
redirects no ip unreachables no ip proxy-arp ip nat outside ip inspect
srt in ip inspect srt out ip ips ips_rule in no ip virtual-reassembly
ip route-cache flow duplex auto speed auto crypto map SRT

interface FastEthernet0/1
description Connected to E-burg filial LAN ip address 172.29.112.251
255.255.240.0 ip access-group 130 in no ip redirects no ip
unreachables no ip proxy-arp ip nat inside no ip virtual-reassembly ip
route-cache flow duplex auto speed auto ip route 0.0.0.0 0.0.0.0
62.168.ZZZ.141 - Дефолтный шлюз ip route 172.29.96.0 255.255.240.0
Tunnel0 - Маршрут на сеть другого региона, через Центральный офис
(пробовал заместо Tunnel0 подставлять IP addr. туннеля циски в ЦО) !

На втором роутере такая же картина, только соответственно IP адреса
иные для туннеля и маршрут на данную циску и LAN этого филиала.

Боюсь, что надо что-то "городить" на цисках в регионах, так как на них
одновременно терминируется IPSec и строится GRE к ЦО..

ПОМОГИТЕ всю Циску и Гугл перекопал, но данная схема не тривиальна и
подобного описания не нашел.
Может так вообще не получиться?

Спасибо
СУВЖ Антон.

Slawa Olhovchenkov

unread,
Jul 10, 2007, 2:45:28 AM7/10/07
to
Hello Anton!

10 Jul 07, an...@sibur-rt.ru writes to All:

a> Боюсь, что надо что-то "городить" на цисках в регионах, так как на них
a> одновременно терминируется IPSec и строится GRE к ЦО..

a> ПОМОГИТЕ всю Циску и Гугл перекопал, но данная схема не тривиальна и
a> подобного описания не нашел.
a> Может так вообще не получиться?

Таки я не понял -- у тебя уже что-то не выходит или у тебя идет только стадия
проработки проекта?

Вообще-то схема тривиальна и даже примеры конфигов с картинками на сайте cisco
есть. и она работает. ну с точностью до глюков asa.

... Модема-модема, чyкча почтy хочет!

an...@sibur-rt.ru

unread,
Jul 10, 2007, 4:40:01 AM7/10/07
to
Абсолютно не выходит :(
Т.е. туннели висят, но только вижу output пакеты уходящие на филиале,
в ЦО они доходят.
Тут что-то может с роут-мапами на филиальской Циске делать надо? Ибо
на неё ИПсек "рождается" и терминируется + появляется tunnel GRE.


Slawa Olhovchenkov

unread,
Jul 10, 2007, 4:20:32 AM7/10/07
to
Hello Anton!

10 Jul 07, an...@sibur-rt.ru writes to Slawa Olhovchenkov:

Ты таки думаешь тут телепаты угадывать на что ты отвечаешь? Hи квотинга,
ничего.

a> Абсолютно не выходит :(
a> Т.е. туннели висят, но только вижу output пакеты уходящие на филиале,
a> в ЦО они доходят.
a> Тут что-то может с роут-мапами на филиальской Циске делать надо? Ибо
a> на неё ИПсек "рождается" и терминируется + появляется tunnel GRE.

еще и роутмапы появлились какие-то.


... Кто юзал мой логин и весь его выюзал?!

Paul Bogochanov

unread,
Jul 10, 2007, 8:01:00 AM7/10/07
to
Hello an...@sibur-rt.ru.

10 July 2007 12:40, you wrote to Slawa Olhovchenkov:

a> Абсолютно не выходит :(
a> Т.е. туннели висят, но только вижу output пакеты уходящие на филиале,
a> в ЦО они доходят.
a> Тут что-то может с роут-мапами на филиальской Циске делать надо? Ибо
a> на неё ИПсек "рождается" и терминируется + появляется tunnel GRE.

Hа входящих acl интеpфейсов fa0/0 pазpеши gre с src на dst туннелей.


Paul

an...@sibur-rt.ru

unread,
Jul 10, 2007, 11:45:36 AM7/10/07
to
Gre в ACL разрешен.

an...@sibur-rt.ru

unread,
Jul 11, 2007, 7:13:27 AM7/11/07
to
Кстати заметил странное сообщение в ASA:

No matching connection for ICMP error message: icmp src inside:
172.29.31.254 dst outside:172.29.112.251 (type 3, code 2) on inside
interface. Original IP payload: <unknown>.

0 new messages