URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16445
[ Назад ]

Исходное сообщение
"cisco 1841 gre passtrough на ios > 12.4-13a"
Отправлено lnj , 04-Июн-08 11:06

есть 1841, стоит иос c1841-advipservicesk9-mz[1].124-13a
поднят нат, и CBAC
из локальной сетки юзеры ходят на внешний ВПН сервер с помощью виндовых клиентов
все работает и все счастливы
обновляю иос на c1841-advipservicesk9-mz.124-19, и перестают проходить gre пакеты, с тем же конфигом
так же пробовал 124-17 иос и 124-18, работает только с 124-13а
на сайте циски сравнивал иосы, ничего что бы могло прояснить ситуацию не нашел.
что получается:
access-list 108 permit gre 192.168.1.0 0.0.0.255 any
access-list 109 permit gre any host х.х.х.х log
или даже
access-list 109 permit ip a.a.a.a 0.0.0.255 host b.b.b.b
и имею в логах
May 19 16:16:23 192.168.1.254 100920: 100915: May 19 16:16:22.948 VLAST: %SEC-6-IPACCESSLOGRP: list 109 permitted gre a.a.a.a -> b.b.b.b, 1 packet
May 19 16:16:23 192.168.1.254 100921: 100916: May 19 16:16:23.048 VLAST: FIREWALL* Ignore (fast s/w) packet: not TCP, UDP or ICMP (b.b.b.b) (a.a.a.a)
может ли это быть, что в новых иосах дропнули режим gre passtrough, или что-то другое изменилось
только не пердлагать плиз остаться на 124-13а, это я и сам могу сделать :)
просто хотелось бы понять причину, почему со свежими иос не работает

Содержание

cisco 1841 gre passtrough на ios > 12.4-13a,dxer, 20:44 , 04-Июн-08
- cisco 1841 gre passtrough на ios > 12.4-13a,lnj, 03:40 , 16-Июн-08
  - cisco 1841 gre passtrough на ios > 12.4-13a,SergTel, 06:09 , 16-Июн-08
    - cisco 1841 gre passtrough на ios > 12.4-13a,KiM, 11:50 , 16-Июн-08
      - cisco 1841 gre passtrough на ios > 12.4-13a,lnj, 05:13 , 17-Июн-08
        
        cisco 1841 gre passtrough на ios > 12.4-13a,SergTel, 06:16 , 17-Июн-08
        
        cisco 1841 gre passtrough на ios > 12.4-13a,KiM, 08:53 , 17-Июн-08
        
        cisco 1841 gre passtrough на ios > 12.4-13a,lnj, 09:22 , 17-Июн-08
        
        cisco 1841 gre passtrough на ios > 12.4-13a,lnj, 09:27 , 17-Июн-08
        
        cisco 1841 gre passtrough на ios > 12.4-13a,KiM, 09:34 , 17-Июн-08
        
        cisco 1841 gre passtrough на ios > 12.4-13a,lnj, 11:22 , 17-Июн-08
        
        cisco 1841 gre passtrough на ios > 12.4-13a,lnj, 04:03 , 19-Июн-08
        
        cisco 1841 gre passtrough на ios > 12.4-13a,SergTel, 06:00 , 19-Июн-08

Сообщения в этом обсуждении

"cisco 1841 gre passtrough на ios > 12.4-13a"
Отправлено dxer , 04-Июн-08 20:44

>[оверквотинг удален]
>
>May 19 16:16:23 192.168.1.254 100920: 100915: May 19 16:16:22.948 VLAST: %SEC-6-IPACCESSLOGRP: list 109 permitted gre a.a.a.a -> b.b.b.b, 1 packet
>May 19 16:16:23 192.168.1.254 100921: 100916: May 19 16:16:23.048 VLAST: FIREWALL* Ignore
>(fast s/w) packet: not TCP, UDP or ICMP (b.b.b.b) (a.a.a.a)
>
>может ли это быть, что в новых иосах дропнули режим gre passtrough,
>или что-то другое изменилось
>только не пердлагать плиз остаться на 124-13а, это я и сам могу
>сделать :)
>просто хотелось бы понять причину, почему со свежими иос не работает
Было давно что-то похожее, попробуй no ip cef в глобальном режиме сделать, пойдут ли пакеты?

"cisco 1841 gre passtrough на ios > 12.4-13a"
Отправлено lnj , 16-Июн-08 03:40

попробовал, ничего не изменилось
так же не проходит gre...

"cisco 1841 gre passtrough на ios > 12.4-13a"
Отправлено SergTel , 16-Июн-08 06:09

>попробовал, ничего не изменилось
>так же не проходит gre...
В логах написано-же файвол режит GRE!

"cisco 1841 gre passtrough на ios > 12.4-13a"
Отправлено KiM , 16-Июн-08 11:50

>>попробовал, ничего не изменилось
>>так же не проходит gre...
>
>В логах написано-же файвол режит GRE!
sh run можно?

"cisco 1841 gre passtrough на ios > 12.4-13a"
Отправлено lnj , 17-Июн-08 05:13

понятно что режет gre, но почему?
почему с этим же конфигом на более старом иосе не режет, а на новом режет?
т.е. изменился только иос, и работать перестало, возможно что-то новое добавилось или наоборот что-то убрали, но что я не нашел нигде.
вот куски конфига, почиканные естественно
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
!
boot-start-marker
boot system flash c1841-advipservicesk9-mz.124-19.bin
boot config usbflash0:config
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 52000 debugging
logging console notifications
enable secret 5
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
aaa session-id common
clock timezone VLAST 10
clock summer-time VLAST recurring 1 Sun Apr 2:00 last Sun Oct 2:00
no ip source-route
ip cef
!
!
!
!
no ip bootp server
ip inspect max-incomplete low 300
ip inspect max-incomplete high 400
ip inspect one-minute low 500
ip inspect one-minute high 600
ip inspect udp idle-time 20
ip inspect tcp idle-time 86400
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 100 block-time 0
ip inspect name SDM_LOW cuseeme
ip inspect name SDM_LOW dns
ip inspect name SDM_LOW ftp
ip inspect name SDM_LOW h323
ip inspect name SDM_LOW icmp
ip inspect name SDM_LOW netshow
ip inspect name SDM_LOW rcmd
ip inspect name SDM_LOW realaudio
ip inspect name SDM_LOW rtsp
ip inspect name SDM_LOW streamworks
ip inspect name SDM_LOW tftp
ip inspect name SDM_LOW tcp
ip inspect name SDM_LOW udp
ip inspect name SDM_LOW vdolive
ip inspect name internet cuseeme
ip inspect name internet dns
ip inspect name internet ftp
ip inspect name internet h323
ip inspect name internet https
ip inspect name internet icmp
ip inspect name internet netshow
ip inspect name internet rcmd
ip inspect name internet realaudio
ip inspect name internet rtsp
ip inspect name internet streamworks
ip inspect name internet tftp
ip inspect name internet tcp
ip inspect name internet udp
ip inspect name internet vdolive
ip inspect name internet http
ip inspect name internet ssh
ip inspect name internet pop3
ip inspect name internet pptp
ip inspect name internet l2tp
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
!
!
ip tcp mss 1100
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
!
!
!
!
interface Null0
no ip unreachables
!
interface FastEthernet0/0
ip address m.m.m.m n.n.n.n
ip access-group 111 in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect SDM_LOW out
ip virtual-reassembly
ip route-cache flow
speed 100
full-duplex
no mop enabled
!
interface FastEthernet0/1
ip address a.a.a.a b.b.b.b
ip access-group 109 in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect internet out
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/0/0
!
interface FastEthernet0/0/1
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
switchport access vlan 2
!
interface Vlan1
description LAN
ip address 192.168.1.254 255.255.255.0
ip access-group 108 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
ip route-cache flow
!
!
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 x.x.x.x
ip route c.c.c.c 255.0.0.0 v.v.v.v
!
ip flow-export version 5
ip flow-export destination 192.168.1.2 9988
!

!
ip access-list log-update threshold 1
logging trap debugging
logging facility local6

access-list 1 permit 192.168.1.0 0.0.0.255

access-list 108 permit tcp 192.168.1.0 0.0.0.255 any eq 1723
access-list 108 permit gre 192.168.1.0 0.0.0.255 any
access-list 108 deny   ip host 255.255.255.255 any
access-list 108 deny   ip 127.0.0.0 0.255.255.255 any
access-list 108 deny   ip any any log
access-list 109 permit ip host h.h.h.h host a.a.a.a log
access-list 109 deny   ip host 0.0.0.0 any
access-list 109 deny   ip any any log

no cdp run
!
!
!
!
control-plane
!
!
!
line con 0
logging synchronous
transport preferred none
transport output telnet
line aux 0
transport output telnet
line vty 0 4
access-class 23 in
exec-timeout 30 0
logging synchronous
transport preferred none
transport input telnet ssh
line vty 5 15
access-class 23 in
exec-timeout 30 0
transport input telnet ssh
!
scheduler allocate 4000 1000
ntp clock-period 17178736
ntp update-calendar
ntp server 192.168.1.2 source Vlan1 prefer
end

"cisco 1841 gre passtrough на ios > 12.4-13a"
Отправлено SergTel , 17-Июн-08 06:16

>понятно что режет gre, но почему?
>почему с этим же конфигом на более старом иосе не режет, а
>на новом режет?
>т.е. изменился только иос, и работать перестало, возможно что-то новое добавилось или
>наоборот что-то убрали, но что я не нашел нигде.
>
>вот куски конфига, почиканные естественно
>
для начала убери временно файволл (по логам именно файволл игнорит пакеты)
иосы сравнивал?

"cisco 1841 gre passtrough на ios > 12.4-13a"
Отправлено KiM , 17-Июн-08 08:53

>[оверквотинг удален]
>>на новом режет?
>>т.е. изменился только иос, и работать перестало, возможно что-то новое добавилось или
>>наоборот что-то убрали, но что я не нашел нигде.
>>
>>вот куски конфига, почиканные естественно
>>
>
>для начала убери временно файволл (по логам именно файволл игнорит пакеты)
>
>иосы сравнивал?
проблема в ip inspect

"cisco 1841 gre passtrough на ios > 12.4-13a"
Отправлено lnj , 17-Июн-08 09:22

убирать фаервол не пробовал, может на выходных попробую
иосы сравнивал, не нашел там ничего что могло бы пролить свет

>проблема в ip inspect
понятно, видимо что-то изменилось в иосе, не понятно баг это или фича
может специально так сделали, а может нужно добавить что-то в конфиг

"cisco 1841 gre passtrough на ios > 12.4-13a"
Отправлено lnj , 17-Июн-08 09:27

ip inspect name internet pptp
ip inspect name internet l2tp
убирал, никакой разницы

"cisco 1841 gre passtrough на ios > 12.4-13a"
Отправлено KiM , 17-Июн-08 09:34

>ip inspect name internet pptp
>ip inspect name internet l2tp
>
>убирал, никакой разницы
убери ip inspect с интерфейсов а не изменяй правила.

"cisco 1841 gre passtrough на ios > 12.4-13a"
Отправлено lnj , 17-Июн-08 11:22

>убери ip inspect с интерфейсов а не изменяй правила.
убрал ip inspect с интрнет интерфейса, в логах только пермиты, от фаервола нет, но не работает всеравно
позже еще раз попробую без фаервола

"cisco 1841 gre passtrough на ios > 12.4-13a"
Отправлено lnj , 19-Июн-08 04:03

убрал ip inspect
разрешил ip к впн серверу и от него
в логах все пропускается туда и обратно, а не работает, зависает соединение на проверке пароля
наверное вернусь на старый иос :(

"cisco 1841 gre passtrough на ios > 12.4-13a"
Отправлено SergTel , 19-Июн-08 06:00

>убрал ip inspect
>разрешил ip к впн серверу и от него
>в логах все пропускается туда и обратно, а не работает, зависает соединение
>на проверке пароля
>наверное вернусь на старый иос :(
Не торопись!
Попробуй написать новый конфиг с нуля!
Проверь крипто-карты
посмотри дебаг по ИКЕ