URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 17364
[ Назад ]

Исходное сообщение
"MTU GRE over IPSEC"
Отправлено rakshas , 12-Окт-08 20:38

Доброе время суток.
Есть 2 офиса - на одном конце 2621 на втором 2801.
Поднят тунель GRE over IPSEC.
Делалось по
h_t_t_p_://www.cisco.com/en/US/tech/tk583/tk372technologies_configuration_example09186a008009438e.shtml
Все как бы работет но не до конца.
Пинги ходят. НО! Например сдедать от такую команду
telnet mail.server 25 - нет соединения.
Подозреваю что это как-то связано с MTU и битом DF.
Но все попытки выстаивть MTU, PDMTU на тунелях,фрагментировать IPSEC пакеты до и после, MSS менять, сбрасывать бит DF - не помогают.
Конфиг писался не с нуля а модифицировался тот что был(другой администратор изначально писал.)
Решение в нем есть при котором все работает, но я не могу понять почему!
А оно состоит в следующем.
Cisco 2621(кусок конфига):
interface Loopback0 !---- первая запись решения
ip address 172.16.20.1 255.255.255.0
!
interface FastEthernet0/0 !----внутренний интерфейс
ip address 192.168.20.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map nonat !--- из-за вот этой звписи все работает.
speed auto
full-duplex
!
access-list 140 permit ip ...
access-list 140 permit ip ...
access-list 140 permit ip ...
route-map nonat permit 10 !----- обсолютно дикий роут-мап
match ip address 140
set ip next-hop 172.16.20.2 !-----172.16.20.2 нет нигде вообще. т.е. дословно next-hop в никуда!
И как только накладываю этот route-map
telnet mail.server 25 - есть подключение.
Может кто сможет объяснить почему оно работает?
Всю бошку уже сломал.А то как-то хочется без шаманства знаетели.....

Содержание

MTU GRE over IPSEC,Basil, 10:38 , 13-Окт-08
- MTU GRE over IPSEC,rakshas, 11:30 , 13-Окт-08
- MTU GRE over IPSEC,rakshas, 02:00 , 14-Окт-08
  - MTU GRE over IPSEC,GolDi, 13:22 , 15-Окт-08
    - MTU GRE over IPSEC,rakshas, 18:52 , 15-Окт-08

Сообщения в этом обсуждении

"MTU GRE over IPSEC"
Отправлено Basil , 13-Окт-08 10:38

>[оверквотинг удален]
>route-map nonat permit 10 !----- обсолютно дикий роут-мап
> match ip address 140
> set ip next-hop 172.16.20.2 !-----172.16.20.2 нет нигде вообще. т.е. дословно next-hop
>в никуда!
>
>И как только накладываю этот route-map
>telnet mail.server 25 - есть подключение.
>
>Может кто сможет объяснить почему оно работает?
>Всю бошку уже сломал.А то как-то хочется без шаманства знаетели.....
sh ip ro 172.16.20.2 покажите плз

"MTU GRE over IPSEC"
Отправлено rakshas , 13-Окт-08 11:30

>[оверквотинг удален]
>> set ip next-hop 172.16.20.2 !-----172.16.20.2 нет нигде вообще. т.е. дословно next-hop
>>в никуда!
>>
>>И как только накладываю этот route-map
>>telnet mail.server 25 - есть подключение.
>>
>>Может кто сможет объяснить почему оно работает?
>>Всю бошку уже сломал.А то как-то хочется без шаманства знаетели.....
>
>sh ip ro 172.16.20.2 покажите плз
sh ip route 172.16.20.2
Routing entry for 172.16.20.0/24
  Known via "connected", distance 0, metric 0 (connected, via interface)
  Routing Descriptor Blocks:
  * directly connected, via Loopback0
      Route metric is 0, traffic share count is 1
Собсвенно я могу поменять этот адрес на любой другой.
т.е. если выставлю на loopback 1.1.1.1/24 но на роут-мап 1.1.1.2 например.
От адреса данное решение не зависит...

"MTU GRE over IPSEC"
Отправлено rakshas , 14-Окт-08 02:00

>[оверквотинг удален]
>> set ip next-hop 172.16.20.2 !-----172.16.20.2 нет нигде вообще. т.е. дословно next-hop
>>в никуда!
>>
>>И как только накладываю этот route-map
>>telnet mail.server 25 - есть подключение.
>>
>>Может кто сможет объяснить почему оно работает?
>>Всю бошку уже сломал.А то как-то хочется без шаманства знаетели.....
>
>sh ip ro 172.16.20.2 покажите плз
От че эта! Сам спросил. сам ответил :-)
Use a policy map to prevent NAT through the VPN by routing the VPN
traffic through the loopback adapter....
От только каким местом пока не понял. Копаем дальше....

"MTU GRE over IPSEC"
Отправлено GolDi , 15-Окт-08 13:22

>[оверквотинг удален]
>>
>>sh ip ro 172.16.20.2 покажите плз
>
>От че эта! Сам спросил. сам ответил :-)
>
>Use a policy map to prevent NAT through the VPN by routing
>the VPN
>traffic through the loopback adapter....
>
>От только каким местом пока не понял. Копаем дальше....
А у вас случайно на loopback-е не стоит
ip nat outside ?

"MTU GRE over IPSEC"
Отправлено rakshas , 15-Окт-08 18:52

>[оверквотинг удален]
>>От че эта! Сам спросил. сам ответил :-)
>>
>>Use a policy map to prevent NAT through the VPN by routing
>>the VPN
>>traffic through the loopback adapter....
>>
>>От только каким местом пока не понял. Копаем дальше....
>
> А у вас случайно на loopback-е не стоит
> ip nat outside ?
Нет.
interface Loopback0
ip address 172.16.20.1 255.255.255.0
В общем почитав - это route-map каким-то местом не допускает предварительную обработку пакета nat. Т.е. пакет в итоге попадает в IPSEC как пришел на интерфейс.
Хотя есть access-list который не пускает IPSEc пакеты в NAT.
ip nat inside source list 180 interface FastEthernet0/1 overload
f0/1 - внешний интерфейс.
access-list 180 deny   ip 192.168.19.0 0.0.0.255 192.168.17.0 0.0.0.255
access-list 180 deny   ip 192.168.19.0 0.0.0.255 192.168.22.0 0.0.0.255
access-list 180 deny   ip 192.168.19.0 0.0.0.255 192.168.21.0 0.0.0.255
access-list 180 deny   ip 192.168.20.0 0.0.0.255 192.168.17.0 0.0.0.255
access-list 180 deny   ip 192.168.20.0 0.0.0.255 192.168.22.0 0.0.0.255
access-list 180 deny   ip 192.168.20.0 0.0.0.255 192.168.21.0 0.0.0.255
access-list 180 permit ip 192.168.20.0 0.0.0.255 any
access-list 180 permit ip 192.168.19.0 0.0.0.255 any
Без 140-го картинка была  неточной.
access-list 140 permit ip 192.168.19.0 0.0.0.255 192.168.17.0 0.0.0.255
access-list 140 permit ip 192.168.20.0 0.0.0.255 192.168.17.0 0.0.0.255
access-list 140 permit ip 192.168.19.0 0.0.0.255 192.168.21.0 0.0.0.255
access-list 140 permit ip 192.168.20.0 0.0.0.255 192.168.21.0 0.0.0.255
access-list 140 permit ip 192.168.19.0 0.0.0.255 192.168.22.0 0.0.0.255
access-list 140 permit ip 192.168.20.0 0.0.0.255 192.168.22.0 0.0.0.255