ПРОЕКТЫ 

  АРХИВ 

Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 

  ПЕРСОНАЛЬНОЕ 

  ПРОГРАММЫ 

ПИШИТЕ
ПИСЬМА












     АРХИВ :: Inet-Admins
Inet-Admins mailing list archive (inet-admins@info.east.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[inet-admins] IPSec, NAT, GRE

Добрый день, уважаемые.

Помогите плиз, совсем уже сил нет ковыряться.
Работает некая схема объединения удаленный сетей через интернет. В центре стоит 2651 (C2600-IK9O3S-M 12.2(11)T11), на точках стоят Linksys BFESX41 (VPN router). В IPSec прописаны взаимные прокси на сети, которые объединяются. Со стороны 2651 трафик упаковывается в GRE тунель, через который и настроен роутинг. Пример конфигурации ниже.
Проблема в следующем. При смене версии IOS на более новую (12.3 например), или замене 2651 на 2821 c 12.4(4)T/T1 advipservicesk9 происходит следующее - тунелирование трафика перестает работать, связь с удаленной стороной пропадает (при этом ISAKMP/IPSEC поднимается замечательно). Кроме этого, внешние службы теряют доступ на свой PIX, который стоит внутри сети за NAT (прямой маппинг адреса).
промониторить трафик в обеих случаях пока не успел. Но пляски вокруг настроек тунелей и прочей ботвы в течении 6 часов несколько утомили. Что-то поменялось в обработке (NAT? GRE?) в новой версии, но вот что - непонятно. Есть идеи?
Пробовал использовать tunnel mode ipsec ipv4/tunnel protection - канал поднимается и работает, какое-то время, после чего isakmp падает "за ненадобностью", по мнению циски, и потом поднимается снова. Это не решение. Да и метод этот предназначен для proxy any/any, а я такое на стороне linksys не могу установить.
Может у кого есть примеры конфигураций ддя подобных объединений со сходным оборудованием через интернет? У циски большинство примеров с адресами чаще всего direct-connected, что не подходит, или с криптованием GRE траффика, что тоже не подходит, поскольку подобные настройки не ставятся на linksys. 

пример конфигурации.

crypto isakmp key password address 195.151.4.a

crypto map Internet local-address Loopback2

crypto map Internet 3 ipsec-isakmp
set peer 195.151.4.a
set transform-set T
match address acl2

interface Loopback2
ip address 212.5.116.x 255.255.255.255

interface Tunnel3796
ip unnumbered FastEthernet0/0
tunnel source Loopback2
tunnel destination 195.151.4.a
crypto map Internet

ip access-list extended acl2
permit ip 192.168.yyy.yyy 0.0.xxx.xxx 192.168.37.96 0.0.0.15

ip route 192.168.37.96 255.255.255.240 Tunnel3796



=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@xxxxxxxxxxxx if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html

 



Copyright © Lexa Software, 1996-2009.