С Новым годом! Форум программистов, компьютерный форум, киберфорум
Cisco
Форум программистов и сисадминов Киберфорум > Компьютерный форум > Сети и средства коммуникаций > Сетевое оборудование > Cisco
Войти
Регистрация
Восстановить пароль
Карта форума Темы раздела Блоги Сообщество Поиск Заказать работу  
 
Рейтинг 4.62/21: Рейтинг темы: голосов - 21, средняя оценка - 4.62
62 / 47 / 23
Регистрация: 30.09.2017
Сообщений: 192
1

Не работает третий vpn канал (по ipsec)

01.10.2017, 10:47. Показов 4119. Ответов 6
Метки нет (Все метки)
Author24 — интернет-сервис помощи студентам
Добрый день коллеги!

Не получается настроить 3 канал по ipsec, делаю все в эмуляторе cisco packet tracer.
Не проходит пинг со 192.168.1.2 на 192.168.3.2
https://yadi.sk/d/8y8SZWjS3NMVTH

Добавлено через 12 часов 21 минуту
router0 - эмулятор интернета
Код
Building configuration...

Current configuration : 1555 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
!
!
!
!
!
ip cef
no ipv6 cef
!
!
!
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp key cisco address 210.210.2.2
crypto isakmp key cisco address 210.210.3.2
!
!
!
crypto ipsec transform-set TS esp-3des esp-md5-hmac
!
crypto map CMAP 10 ipsec-isakmp 
 set peer 210.210.2.2
 set transform-set TS 
 match address FOR-VPN
!
crypto map CMAP 30 ipsec-isakmp 
 set peer 210.210.3.2
 set transform-set TS 
 match address FOR-VPN3
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface FastEthernet0/0
 description outside
 ip address 210.210.1.2 255.255.255.252
 ip nat outside
 duplex auto
 speed auto
 crypto map CMAP
!
interface FastEthernet0/1
 description inside
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 duplex auto
 speed auto
!
interface Vlan1
 no ip address
 shutdown
!
ip nat inside source list FOR-NAT interface FastEthernet0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 210.210.1.1 
!
ip flow-export version 9
!
!
ip access-list extended FOR-VPN
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
ip access-list extended FOR-VPN3
 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
ip access-list extended FOR-NAT
 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
 deny ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
 permit ip 192.168.1.0 0.0.0.255 any
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
 login
!
!
!
end
router1 первая сеть
Код
Building configuration...

Current configuration : 1555 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
!
!
!
!
!
ip cef
no ipv6 cef
!
!
!
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp key cisco address 210.210.2.2
crypto isakmp key cisco address 210.210.3.2
!
!
!
crypto ipsec transform-set TS esp-3des esp-md5-hmac
!
crypto map CMAP 10 ipsec-isakmp 
 set peer 210.210.2.2
 set transform-set TS 
 match address FOR-VPN
!
crypto map CMAP 30 ipsec-isakmp 
 set peer 210.210.3.2
 set transform-set TS 
 match address FOR-VPN3
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface FastEthernet0/0
 description outside
 ip address 210.210.1.2 255.255.255.252
 ip nat outside
 duplex auto
 speed auto
 crypto map CMAP
!
interface FastEthernet0/1
 description inside
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 duplex auto
 speed auto
!
interface Vlan1
 no ip address
 shutdown
!
ip nat inside source list FOR-NAT interface FastEthernet0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 210.210.1.1 
!
ip flow-export version 9
!
!
ip access-list extended FOR-VPN
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
ip access-list extended FOR-VPN3
 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
ip access-list extended FOR-NAT
 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
 deny ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
 permit ip 192.168.1.0 0.0.0.255 any
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
 login
!
!
!
end
router2 вторая сеть
Код
Building configuration...

Current configuration : 1266 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
!
!
!
!
!
ip cef
no ipv6 cef
!
!
!
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp key cisco address 210.210.1.2
!
!
!
crypto ipsec transform-set TS esp-3des esp-md5-hmac
!
crypto map CMAP 10 ipsec-isakmp 
 set peer 210.210.1.2
 set transform-set TS 
 match address FOR-VPN
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface FastEthernet0/0
 description outside
 ip address 210.210.2.2 255.255.255.252
 ip nat outside
 duplex auto
 speed auto
 crypto map CMAP
!
interface FastEthernet0/1
 description inside
 ip address 192.168.2.1 255.255.255.0
 ip nat inside
 duplex auto
 speed auto
!
interface Vlan1
 no ip address
 shutdown
!
ip nat inside source list FOR-NAT interface FastEthernet0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 210.210.2.1 
!
ip flow-export version 9
!
!
ip access-list extended FOR-VPN
 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
ip access-list extended FOR-NAT
 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
 permit ip 192.168.2.0 0.0.0.255 any
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
 login
!
!
!
end
router3 третья сеть
Код
Building configuration...

Current configuration : 1268 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
!
!
!
!
!
ip cef
no ipv6 cef
!
!
!
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp key cisco address 210.210.3.2
!
!
!
crypto ipsec transform-set TS esp-3des esp-md5-hmac
!
crypto map CMAP 30 ipsec-isakmp 
 set peer 210.210.1.2
 set transform-set TS 
 match address FOR-VPN3
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface FastEthernet0/0
 description outside
 ip address 210.210.3.2 255.255.255.252
 ip nat outside
 duplex auto
 speed auto
 crypto map CMAP
!
interface FastEthernet0/1
 description inside
 ip address 192.168.3.1 255.255.255.0
 ip nat inside
 duplex auto
 speed auto
!
interface Vlan1
 no ip address
 shutdown
!
ip nat inside source list FOR-NAT interface FastEthernet0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 210.210.3.1 
!
ip flow-export version 9
!
!
ip access-list extended FOR-VPN3
 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
ip access-list extended FOR-NAT
 deny ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
 permit ip 192.168.3.0 0.0.0.255 any
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
 login
!
!
!
end
Добавлено через 24 минуты
router0 - эмулятор интернета (исправил)
Код
interface GigabitEthernet0/0
 ip address 210.210.1.1 255.255.255.252
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 ip address 210.210.2.1 255.255.255.252
 duplex auto
 speed auto
!
interface GigabitEthernet0/2
 ip address 210.210.3.1 255.255.255.252
 duplex auto
 speed auto
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
Блог
 01.10.2017, 10:47
Ответы с готовыми решениями:

Site to Site IPSec VPN CISCO891-K9 & Cisco RV120W Wireless-N VPN Firewall
Добрый день. Есть роутер CISCO891-K9 на котором есть один site to site vpn туннель с таким же...

ipsec VPN
Добрый вечер уважаемые форумчане. Возник вопрос в настройке двух удаленных роутеров 1841. Пров дал...

Mikrotik ipsec vpn
Здравствуйте! В общем впн поднялась, что меня радует. Но не тут то было, проблема не могу...

Как настроить IPSec VPN
Добрый день ... Есть маршрутизатор Cisco, где по заверением администраторов настроен IPSec VPN...

6
Модератор
Эксперт по компьютерным сетям
11431 / 7000 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
02.10.2017, 11:19 2
выложи файл cpt в архиве сюда -> https://www.cyberforum.ru/faq.... ttachments
и напиши версию CPT
насколько помню, ранее ipsec в cpt не работал
0
62 / 47 / 23
Регистрация: 30.09.2017
Сообщений: 192
02.10.2017, 12:13  [ТС] 3
Цитата Сообщение от insect_87 Посмотреть сообщение
выложи файл cpt в архиве сюда -> https://www.cyberforum.ru/faq.... ttachments
и напиши версию CPT
насколько помню, ранее ipsec в cpt не работал
У меня работает только один канал с 192.168.1.0 до 192.168.2.0.
Не работает с 192.168.1.0 до 192.168.3.0.
Версия cpt 7.1.0.0222
Вложения
Тип файла: zip test.pkt.zip (50.6 Кб, 13 просмотров)
0
Модератор
Эксперт по компьютерным сетям
11431 / 7000 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
02.10.2017, 13:22 4
Лучший ответ Сообщение было отмечено Robocop01 как решение

Решение

на 1 роутере
Код
no ip access-list extended FOR-NAT
ip access-list extended FOR-NAT
deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 any
на 3 роутере
Код
no crypto isakmp key cisco address 210.210.3.2
crypto isakmp key cisco address 210.210.1.2
1
62 / 47 / 23
Регистрация: 30.09.2017
Сообщений: 192
02.10.2017, 13:55  [ТС] 5
Исправил но, все равно не хочет работать как надо.

При команде show crypto isamp sa
status
210.210.3.2 210.210.1.2 QM_IDLE 1095 0 ACTIVE

210.210.2.2 210.210.1.2 MM_NO_STATE 0 0 ACTIVE (deleted)

причем работает только один туннель в зависимости какой из них первый пингую от PC1, после перезагрузки всей сети (Power Cycle Device).
0
Модератор
Эксперт по компьютерным сетям
11431 / 7000 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
02.10.2017, 14:20 6
Лучший ответ Сообщение было отмечено Robocop01 как решение

Решение

Код
sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
210.210.2.2     210.210.1.2     QM_IDLE           1095    0 ACTIVE
210.210.3.2     210.210.1.2     QM_IDLE           1006    0 ACTIVE
нормально все.
1
62 / 47 / 23
Регистрация: 30.09.2017
Сообщений: 192
02.10.2017, 14:34  [ТС] 7
Цитата Сообщение от insect_87 Посмотреть сообщение
sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
210.210.2.2 210.210.1.2 QM_IDLE 1095 0 ACTIVE
210.210.3.2 210.210.1.2 QM_IDLE 1006 0 ACTIVE
нормально все.
Огромное спасибо! Все работает!
Проблема была в CPT, его перезагрузил и все заработало, видимо немного подглючивает.
0
02.10.2017, 14:34
BasicMan
Эксперт
19315 / 2622 / 84
Регистрация: 17.02.2009
Сообщений: 10,364
Блог
 02.10.2017, 14:34
Помогаю со студенческими работами здесь

Настройка VPN IPsec Tunnel
Добрый день форумчане! Возник вопрос как настроить соединение между локальными сетями используя...

Управление соединениями VPN IPSEC
Всем привет! У меня проблемка, делаю все по книге Крорниенко 2013 года. Хочу чтобы интерфейсы...

Не встает ipsec через Yota. Как сделать резервный канал используя только возможности цисок?
всем привет помогите нубу есть главный офис в котором стоит cisco asa 5510 из филиала к ней по...

Remote access vpn l2tp over ipsec
Здравствуйте. есть cisco asa 5515 9.1(2) asdm 7.4(2) настройка делается через asdm. нужен...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
7
Ответ Создать тему
КиберФорум - форум программистов, компьютерный форум, программирование
Поддержать - Реклама - Условия использования - Обратная связь
Powered by vBulletin
Copyright ©2000 - 2025, CyberForum.ru