forum.opennet.ru - "IPSEC site-to-site (cisco and huawei)" (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"IPSEC site-to-site (cisco and huawei)"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"IPSEC site-to-site (cisco and huawei)"	+/–
Сообщение от DarK (ok) on 15-Дек-12, 22:19
Всем Привет Ну как Вы поняли по заголовку поднимаю туннель между cisco и huawei)) cisco2811------->Internet------>Huawei Eudemon100 конфиг 2811 crypto isakmp policy 10 encr 3des authentication pre-share group 2 crypto isakmp key abcde address 10.155.11.88 crypto isakmp aggressive-mode disable ! ! crypto ipsec transform-set eudemon esp-3des esp-sha-hmac ! crypto map eudemon 1 ipsec-isakmp description to_Eudemon set peer 10.155.11.88 set security-association lifetime kilobytes 28800 set transform-set eudemon match address 123 interface FastEthernet0/0 description WAN ip address 10.10.10.10 255.255.255.224 load-interval 30 duplex auto speed auto crypto map eudemon interface Loopback1 desc LAN ip address 192.168.2.10 255.255.255.255 ip route 0.0.0.0 0.0.0.0 10.10.10.1 ip route 192.168.1.0 255.255.255.0 10.155.11.88 access-list 123 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 123 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 Eudemon config ike proposal 1 encryption-algorithm 3des-cbc dh group2 # ike peer b pre-shared-key abcde ike-proposal 1 remote-address 10.10.10.10 # ipsec proposal peer esp authentication-algorithm sha1 esp encryption-algorithm 3des # ipsec policy test 1 isakmp security acl 3001 ike-peer b proposal peer sa duration traffic-based 28800 # interface Ethernet0/0 ip address 192.168.1.1 255.255.255.0 # interface Ethernet1/0 ip address 10.155.11.88 255.255.255.240 ipsec policy test # interface NULL0 # acl number 3001 description Ipsec rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 15 deny ip acl number 3005 rule 10 permit ip # firewall zone local set priority 100 # firewall zone trust add interface Ethernet0/0 set priority 85 # firewall zone untrust add interface Ethernet1/0 set priority 5 # firewall zone dmz set priority 50 # firewall interzone local trust packet-filter 3005 inbound packet-filter 3005 outbound session log enable # firewall interzone local untrust packet-filter 3005 inbound packet-filter 3005 outbound ip route-static 10.10.10.10 255.255.255.255 10.155.11.81 ip route-static 192.168.2.0 255.255.255.255 10.155.11.81 туннель поднимается, проблема в том что когда пингую с 192.168.1.10 сторону 192.168.2.10 пакеты не проходят через туннель, хотя acl 3001 специально служит для того чтобы какой трафик направлять через туннель ставлю снифер на выходе юдемона пакеты source192.168.1.10 dest 192.168.2.10 идут без шифрования т.е. простая маршрутизация. Где что не так есть ли тут кто знаком с Huawei-ом ????
Ответить \| Правка \| Cообщить модератору

Оглавление

IPSEC site-to-site (cisco and huawei), spiegel, 23:19 , 15-Дек-12, (1)

IPSEC site-to-site (cisco and huawei), DarK, 20:45 , 16-Дек-12, (2)

IPSEC site-to-site (cisco and huawei), DarK, 12:10 , 17-Дек-12, (3)

IPSEC site-to-site (cisco and huawei), vigogne, 13:26 , 17-Дек-12, (4)
IPSEC site-to-site (cisco and huawei), DarK, 08:27 , 18-Дек-12, (5)

IPSEC site-to-site (cisco and huawei), vigogne, 08:30 , 18-Дек-12, (6)

IPSEC site-to-site (cisco and huawei), andrey, 13:26 , 03-Июн-14, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "IPSEC site-to-site (cisco and huawei)" +/–

Сообщение от spiegel (ok) on 15-Дек-12, 23:19

>[оверквотинг удален]
>  packet-filter 3005 inbound
>  packet-filter 3005 outbound
>  ip route-static 10.10.10.10 255.255.255.255 10.155.11.81
>   ip route-static 192.168.2.0 255.255.255.255 10.155.11.81
> туннель поднимается, проблема в том что когда пингую с 192.168.1.10 сторону 192.168.2.10
> пакеты не проходят через туннель, хотя acl 3001 специально служит для того
> чтобы какой трафик направлять через туннель
> ставлю снифер на выходе юдемона пакеты source192.168.1.10 dest 192.168.2.10 идут без шифрования
> т.е. простая маршрутизация.
> Где что не так есть ли тут кто знаком с Huawei-ом ????
Для сетей 192.168.1-2 есть альтернативные пути? Похоже пакеты идут мимо крипто-маршрута. Сделайте trace на обоих машинах. На циске не понятен маршрут:
> ip route 192.168.1.0 255.255.255.0 10.155.11.88
если сеть для хопа 10.155.11.88 не стоит в таблице маршрутов, то пакет пойдет через 10.10.10.1


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "IPSEC site-to-site (cisco and huawei)" +/–

Сообщение от DarK (ok) on 16-Дек-12, 20:45

>[оверквотинг удален]
>> пакеты не проходят через туннель, хотя acl 3001 специально служит для того
>> чтобы какой трафик направлять через туннель
>> ставлю снифер на выходе юдемона пакеты source192.168.1.10 dest 192.168.2.10 идут без шифрования
>> т.е. простая маршрутизация.
>> Где что не так есть ли тут кто знаком с Huawei-ом ????
> Для сетей 192.168.1-2 есть альтернативные пути? Похоже пакеты идут мимо крипто-маршрута.
> Сделайте trace на обоих машинах. На циске не понятен маршрут:
>> ip route 192.168.1.0 255.255.255.0 10.155.11.88
> если сеть для хопа 10.155.11.88 не стоит в таблице маршрутов, то пакет
> пойдет через 10.10.10.1
Со стороны cisco проблем нет. Да Вы правы хопа 10.155.11.88 нет и он пойдет по дефоулту просто двойная маршрутизация получается. Еще раз повторю cisco посылает пакеты через туннель перед входом на юдемон стоит снифер. Пакеты идут ESP. Проблема в том что Eudemon не отправляет пакеты через туннель. Это видно и на снифире.
Но в чем проблема когда пингую с юдемона LAN циски ставля соурс 192.168.1.1 пинги проходят))
А с ноута 192.168.1.10 нет

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "IPSEC site-to-site (cisco and huawei)" +/–

Сообщение от DarK (ok) on 17-Дек-12, 12:10

Поднял GRE over Ipsec заработало
при GRE заработало я думаю потомучто есть статический роут в сторону туннеля
ip route-static 192.168.2.0 255.255.255.0 tunnel 0
так как сам интерфейс означает point-to-point можно так писать роут без next-hopa
и так в случае без gre я пишу роут на next-hop то не работает пакеты идут не через туннель
пишу роут так ip route-static 192.168.2.0 255.255.255.0 eth1/0
то не работает, я думаю так как интерфейс не point-to-point
как в cisco не получается ввести и next-hop и интерфейс ))
Кто что думает ?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "IPSEC site-to-site (cisco and huawei)" +/–

Сообщение от vigogne (ok) on 17-Дек-12, 13:26

> пишу роут так ip route-static 192.168.2.0 255.255.255.0 eth1/0
> то не работает, я думаю так как интерфейс не point-to-point
> как в cisco не получается ввести и next-hop и интерфейс ))
Как это? У меня даже на древней 2651MX вводится и интерфейс и next-hop:
(config)#ip route 1.1.1.1 255.255.255.255 fa0/0 ?
  <1-255>    Distance metric for this route
  A.B.C.D    Forwarding router's address
  DHCP       Default Gateway obtained from DHCP
  name       Specify name of the next hop
  permanent  permanent route
  tag        Set tag for this route
  track      Install route depending on tracked item
  <cr>

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "IPSEC site-to-site (cisco and huawei)" +/–

Сообщение от DarK (ok) on 18-Дек-12, 08:27

> Поднял GRE over Ipsec заработало
> при GRE заработало я думаю потомучто есть статический роут в сторону туннеля
> ip route-static 192.168.2.0 255.255.255.0 tunnel 0
> так как сам интерфейс означает point-to-point можно так писать роут без next-hopa
> и так в случае без gre я пишу роут на next-hop то
> не работает пакеты идут не через туннель
> пишу роут так ip route-static 192.168.2.0 255.255.255.0 eth1/0
> то не работает, я думаю так как интерфейс не point-to-point
> как в cisco не получается ввести и next-hop и интерфейс ))
> Кто что думает ?
Знаю. Я имею в виду на оборудовании Huawei нельзя ввести next-hop и outgoing interface

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "IPSEC site-to-site (cisco and huawei)" +/–

Сообщение от vigogne (ok) on 18-Дек-12, 08:30

> Знаю. Я имею в виду на оборудовании Huawei нельзя ввести next-hop и
> outgoing interface
На Huawei AR2220:
ip route-static 1.1.1.1 255.255.255.255 gi0/0/0 ?
  IP_ADDR<X.X.X.X>  Gateway address
  description       Add or delete description of unicast static route
  ldp-sync          LDP-Static route synchronization
  permanent         Specifies route permanent
  preference        Specifies route preference
  tag               Specifies route tag
  track             Specify track object
  <cr>              Please press ENTER to execute command

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "IPSEC site-to-site (cisco and huawei)" +/–

Сообщение от andrey (??) on 03-Июн-14, 13:26

>[оверквотинг удален]
>  packet-filter 3005 inbound
>  packet-filter 3005 outbound
>  ip route-static 10.10.10.10 255.255.255.255 10.155.11.81
>   ip route-static 192.168.2.0 255.255.255.255 10.155.11.81
> туннель поднимается, проблема в том что когда пингую с 192.168.1.10 сторону 192.168.2.10
> пакеты не проходят через туннель, хотя acl 3001 специально служит для того
> чтобы какой трафик направлять через туннель
> ставлю снифер на выходе юдемона пакеты source192.168.1.10 dest 192.168.2.10 идут без шифрования
> т.е. простая маршрутизация.
> Где что не так есть ли тут кто знаком с Huawei-ом ????
Реальное оборудование или эмуляторы?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "IPSEC site-to-site (cisco and huawei)"	+/–
Сообщение от spiegel (ok) on 15-Дек-12, 23:19
>[оверквотинг удален] > packet-filter 3005 inbound > packet-filter 3005 outbound > ip route-static 10.10.10.10 255.255.255.255 10.155.11.81 > ip route-static 192.168.2.0 255.255.255.255 10.155.11.81 > туннель поднимается, проблема в том что когда пингую с 192.168.1.10 сторону 192.168.2.10 > пакеты не проходят через туннель, хотя acl 3001 специально служит для того > чтобы какой трафик направлять через туннель > ставлю снифер на выходе юдемона пакеты source192.168.1.10 dest 192.168.2.10 идут без шифрования > т.е. простая маршрутизация. > Где что не так есть ли тут кто знаком с Huawei-ом ???? Для сетей 192.168.1-2 есть альтернативные пути? Похоже пакеты идут мимо крипто-маршрута. Сделайте trace на обоих машинах. На циске не понятен маршрут: > ip route 192.168.1.0 255.255.255.0 10.155.11.88 если сеть для хопа 10.155.11.88 не стоит в таблице маршрутов, то пакет пойдет через 10.10.10.1
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "IPSEC site-to-site (cisco and huawei)"	+/–
	Сообщение от DarK (ok) on 16-Дек-12, 20:45
	>[оверквотинг удален] >> пакеты не проходят через туннель, хотя acl 3001 специально служит для того >> чтобы какой трафик направлять через туннель >> ставлю снифер на выходе юдемона пакеты source192.168.1.10 dest 192.168.2.10 идут без шифрования >> т.е. простая маршрутизация. >> Где что не так есть ли тут кто знаком с Huawei-ом ???? > Для сетей 192.168.1-2 есть альтернативные пути? Похоже пакеты идут мимо крипто-маршрута. > Сделайте trace на обоих машинах. На циске не понятен маршрут: >> ip route 192.168.1.0 255.255.255.0 10.155.11.88 > если сеть для хопа 10.155.11.88 не стоит в таблице маршрутов, то пакет > пойдет через 10.10.10.1 Со стороны cisco проблем нет. Да Вы правы хопа 10.155.11.88 нет и он пойдет по дефоулту просто двойная маршрутизация получается. Еще раз повторю cisco посылает пакеты через туннель перед входом на юдемон стоит снифер. Пакеты идут ESP. Проблема в том что Eudemon не отправляет пакеты через туннель. Это видно и на снифире. Но в чем проблема когда пингую с юдемона LAN циски ставля соурс 192.168.1.1 пинги проходят)) А с ноута 192.168.1.10 нет
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "IPSEC site-to-site (cisco and huawei)"	+/–
	Сообщение от DarK (ok) on 17-Дек-12, 12:10
	Поднял GRE over Ipsec заработало при GRE заработало я думаю потомучто есть статический роут в сторону туннеля ip route-static 192.168.2.0 255.255.255.0 tunnel 0 так как сам интерфейс означает point-to-point можно так писать роут без next-hopa и так в случае без gre я пишу роут на next-hop то не работает пакеты идут не через туннель пишу роут так ip route-static 192.168.2.0 255.255.255.0 eth1/0 то не работает, я думаю так как интерфейс не point-to-point как в cisco не получается ввести и next-hop и интерфейс )) Кто что думает ?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "IPSEC site-to-site (cisco and huawei)"	+/–
	Сообщение от vigogne (ok) on 17-Дек-12, 13:26
	> пишу роут так ip route-static 192.168.2.0 255.255.255.0 eth1/0 > то не работает, я думаю так как интерфейс не point-to-point > как в cisco не получается ввести и next-hop и интерфейс )) Как это? У меня даже на древней 2651MX вводится и интерфейс и next-hop: (config)#ip route 1.1.1.1 255.255.255.255 fa0/0 ? <1-255> Distance metric for this route A.B.C.D Forwarding router's address DHCP Default Gateway obtained from DHCP name Specify name of the next hop permanent permanent route tag Set tag for this route track Install route depending on tracked item <cr>
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "IPSEC site-to-site (cisco and huawei)"	+/–
	Сообщение от DarK (ok) on 18-Дек-12, 08:27
	> Поднял GRE over Ipsec заработало > при GRE заработало я думаю потомучто есть статический роут в сторону туннеля > ip route-static 192.168.2.0 255.255.255.0 tunnel 0 > так как сам интерфейс означает point-to-point можно так писать роут без next-hopa > и так в случае без gre я пишу роут на next-hop то > не работает пакеты идут не через туннель > пишу роут так ip route-static 192.168.2.0 255.255.255.0 eth1/0 > то не работает, я думаю так как интерфейс не point-to-point > как в cisco не получается ввести и next-hop и интерфейс )) > Кто что думает ? Знаю. Я имею в виду на оборудовании Huawei нельзя ввести next-hop и outgoing interface
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	6. "IPSEC site-to-site (cisco and huawei)"	+/–
	Сообщение от vigogne (ok) on 18-Дек-12, 08:30
	> Знаю. Я имею в виду на оборудовании Huawei нельзя ввести next-hop и > outgoing interface На Huawei AR2220: ip route-static 1.1.1.1 255.255.255.255 gi0/0/0 ? IP_ADDR<X.X.X.X> Gateway address description Add or delete description of unicast static route ldp-sync LDP-Static route synchronization permanent Specifies route permanent preference Specifies route preference tag Specifies route tag track Specify track object <cr> Please press ENTER to execute command
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору

7. "IPSEC site-to-site (cisco and huawei)"	+/–
Сообщение от andrey (??) on 03-Июн-14, 13:26
>[оверквотинг удален] > packet-filter 3005 inbound > packet-filter 3005 outbound > ip route-static 10.10.10.10 255.255.255.255 10.155.11.81 > ip route-static 192.168.2.0 255.255.255.255 10.155.11.81 > туннель поднимается, проблема в том что когда пингую с 192.168.1.10 сторону 192.168.2.10 > пакеты не проходят через туннель, хотя acl 3001 специально служит для того > чтобы какой трафик направлять через туннель > ставлю снифер на выходе юдемона пакеты source192.168.1.10 dest 192.168.2.10 идут без шифрования > т.е. простая маршрутизация. > Где что не так есть ли тут кто знаком с Huawei-ом ???? Реальное оборудование или эмуляторы?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору