Как поднять Tunnel на CISCO 857

[Som]

Добрый день!
У меня возникла проблема при создании тунеля м/у 6513 и 857
Вот сонфига с 857:

Код: Выделить всё

archive
 log config
  hidekeys
!
!
!
bridge irb
!
!
interface Tunnel0
 description tunnel to dis-bbs-1
 ip address 10.1.1.2 255.255.255.252
 tunnel source ATM0
 tunnel destination Адрес 6513
!
interface ATM0
 ip address 10.8.75.197 255.255.255.192
 no atm ilmi-keepalive
 pvc 0/40 
  encapsulation aal5snap
 !
 dsl operating-mode auto 
 bridge-group 1
 bridge-group 1 spanning-disabled
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 ip address 10.93.1.1 255.255.255.0
!
interface BVI1
 no ip address
!         
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.1.1.1
ip route Адрес 6513 255.255.255.255 10.8.75.193

Адрес 10.93.1.1 (т.е. шлюз роутера я пингую со своего компа)
а комп который висит на фа2 с айпи 10.93.1.2 нет.

Мне говорят что без BVI не будет работать, когда я поднимаю BVI, у меня тунель не поднимается я даже 10.1.1.2 не пингую.
Подскажите в чем проблема.
Зарание спасибо!!!

ЗЫ:
sh ver
Cisco IOS Software, C850 Software (C850-ADVSECURITYK9-M), Version 12.4(15)T5, RELEASE SOFTWARE (fc4)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by Cisco Systems, Inc.
Compiled Thu 01-May-08 02:07 by prod_rel_team

ROM: System Bootstrap, Version 12.3(8r)YI4, RELEASE SOFTWARE

alma-dtk-gw-tmp uptime is 3 days, 4 hours, 20 minutes
System returned to ROM by power-on
System image file is "flash:c850-advsecurityk9-mz.124-15.T5.bin"


This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

Cisco 857 (MPC8272) processor (revision 0x300) with 59392K/6144K bytes of memory.
Processor board ID FCZ122313MF
MPC8272 CPU Rev: Part Number 0xC, Mask Number 0x10
4 FastEthernet interfaces
1 ATM interface
128K bytes of non-volatile configuration memory.
20480K bytes of processor board System flash (Intel Strataflash)

Configuration register is 0x2102

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[m0ps]

857 это ж adsl... а где тогда

Код: Выделить всё

interface Dialer0

?? он и сорсом должен быть

[Som]

857 это ж adsl... а где тогда

Код: Выделить всё

interface Dialer0

?? он и сорсом должен быть

Да это adsl, на ATM0 тож нормально работает.
Тунль то поднялся, с внутреней маршрутизацией какаие то траблы
Адрес 10.93.1.1 (т.е. шлюз роутера я пингую со своего компа)
а комп который висит на фа2 с айпи 10.93.1.2 нет.

[Dirty.Eager]

Тунль то поднялся, с внутреней маршрутизацией какаие то траблы
Адрес 10.93.1.1 (т.е. шлюз роутера я пингую со своего компа)
а комп который висит на фа2 с айпи 10.93.1.2 нет.

А "свой комп" где находится? Как на нем обстоит дело с маршрутами?

[m0ps]

начнем по порядку - нужен конфиг удаленной стороны, тут телепатов нет

(т.е. шлюз роутера я пингую со своего компа)

шлюз роутера это как? просто насколько видно из конфига - ip 10.93.1.1 это ip на локальном интерфейсе 857-й

[Som]

начнем по порядку - нужен конфиг удаленной стороны, тут телепатов нет

(т.е. шлюз роутера я пингую со своего компа)

шлюз роутера это как? просто насколько видно из конфига - ip 10.93.1.1 это ip на локальном интерфейсе 857-й

Извянки, не так выразился, это шлюз для компов которые подключены к 857, с которых я пигую этот ип (10.93.1.1).
И со стороны 6513 я тоже пингую этот адрес (т.е. 10.93.1.1)
А все что находится за шлюзом (10.93.1.1) я не вижу, напрмер 10.93.1.2, 10.93.1.3 и т.д.
sh run
Building configuration...

Current configuration : 1391 bytes

Код: Выделить всё

!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname alma-dtk-gw-tmp
!
boot-start-marker
boot system flash 
boot system flash c3660-jsx-mz.124-6.XT2.bin
boot system flash c850-advsecurityk9-mz.124-15.XY2
boot-end-marker
!
enable secret 5 $1$cswW$5adtvGEC74W2B3aWTFrLH.
!
no aaa new-model
!
!
dot11 syslog
!
!
ip cef
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
no ip domain lookup
!
!
!
! 
!
archive
 log config
  hidekeys
!
!
!
bridge irb
!
!
interface Tunnel0
 description tunnel to dis-bbs-1
 ip address 10.1.1.2 255.255.255.252
 tunnel source ATM0
 tunnel destination адрес 6513
!
interface ATM0
 ip address 10.8.75.197 255.255.255.192
 no atm ilmi-keepalive
 pvc 0/40 
  encapsulation aal5snap
 !
 dsl operating-mode auto 
 bridge-group 1
 bridge-group 1 spanning-disabled
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 ip address 10.93.1.1 255.255.255.0
!
interface BVI1
 no ip address
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.1.1.1
ip route адрес 6513 255.255.255.255 10.8.75.193
!
no ip http server
no ip http secure-server
!
!
control-plane
!
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 exec-timeout 30 30
 password swi03tch
 login
!
scheduler max-task-time 5000
end

[Som]

Тунль то поднялся, с внутреней маршрутизацией какаие то траблы
Адрес 10.93.1.1 (т.е. шлюз роутера я пингую со своего компа)
а комп который висит на фа2 с айпи 10.93.1.2 нет.

А "свой комп" где находится? Как на нем обстоит дело с маршрутами?

Мой комп стоит за 6513, извиняте show run немогу показать, вот тунеть и нужный маршрут который я прописал:
sh run int tunnel 0
Building configuration...

Current configuration : 145 bytes
!
interface Tunnel0
description tunnel to DTK
ip address 10.1.1.1 255.255.255.252
tunnel source Vlan153
tunnel destination 10.8.75.197
end

sh run | include 10.1.1.2
ip route 10.93.1.0 255.255.255.0 10.1.1.2

[Som]

Залил иос посвежей и вот что получилось

Никогда такого не видел

зы: 10.93.1.2 это комп котроый подключен к 857, пингую я со строны 6513

[m0ps]

tunnel source Vlan153

и

tunnel destination адрес 6513

адреса у них хоть одинаковые??

И со стороны 6513 я тоже пингую этот адрес (т.е. 10.93.1.1)

трейс через туннель идет?


с одной и другой кошки ip-шники туннельных интерфейсов пингаются?

[Som]

tunnel source Vlan153

и

tunnel destination адрес 6513

адреса у них хоть одинаковые??

И со стороны 6513 я тоже пингую этот адрес (т.е. 10.93.1.1)

трейс через туннель идет?


с одной и другой кошки ip-шники туннельных интерфейсов пингаются?

Да у Vlan153 и tunnel destination адрес 6513 адрес один, трайс идет затыкается на пойнтовом адресе.

С обоих кошаков идет пинг.

Я же говорю что со стороны 6513 я пингую адрес 10.93.1.1
т.е тунель поднялся, проблемы с внутреней маршрутизацией

[m0ps]

на скрине - число байт - 1024... как так, ведь у виндового пинга по дефолту 32 байта

кстати, что там с mtu???

на внешнем интерфейсе adsl кошки должно быть mtu 1492, на туннельном - еще меньше (счас не вспомню сколько для gre нужно), а на интерфейсе в локалке - ip tcp adjust-mss на 40 байт меньше от туннельного mtu

[Som]

на скрине - число байт - 1024... как так, ведь у виндового пинга по дефолту 32 байта

кстати, что там с mtu???

на внешнем интерфейсе adsl кошки должно быть mtu 1492, на туннельном - еще меньше (счас не вспомню сколько для gre нужно), а на интерфейсе в локалке - ip tcp adjust-mss на 40 байт меньше от туннельного mtu

да с пингом это я там баловался, с 32 такая же фигня была.

на счет мту я даже и недумал, спасибо, ша попробуем.

на adsl ставлю 1492 на VPN тунеле 1400 ставят, на счет GRE даже незнаю, ша попробуем

[m0ps]

а где у тебя vpn туннель? у тебя есть gre туннель, шифрования у тебя никакого нет. для шифрованного ipsec gre туннеля через adsl, mtu - 1412 байт, а на внутреннем интерфейсе - ip tcp adjust-mss - 1372, если этого не будет, будут затыки с передачей трафика.

кстати, прописывая роуты, логично указывать не ip адреса, а интерфейсы. к примеру - не

Код: Выделить всё

ip route 172.16.1.0 255.255.255.0 10.1.1.1

а

Код: Выделить всё

ip route 172.16.1.0 255.255.255.0 Tu0

[Som]

а где у тебя vpn туннель? у тебя есть gre туннель, шифрования у тебя никакого нет. для шифрованного ipsec gre туннеля через adsl, mtu - 1412 байт, а на внутреннем интерфейсе - ip tcp adjust-mss - 1372, если этого не будет, будут затыки с передачей трафика.

кстати, прописывая роуты, логично указывать не ip адреса, а интерфейсы. к примеру - не

Код: Выделить всё

ip route 172.16.1.0 255.255.255.0 10.1.1.1

а

Код: Выделить всё

ip route 172.16.1.0 255.255.255.0 Tu0

Нет у меня VPN, я помню что для VPN mtu 1400 ставят, попробую такой же mtu для GRE поставить.
Шас потяреля удаленнку , чуть позже попробую
А на счет интерфейса вместо ип, так особой же разнице нет, ну все равно спасибо как Вы сказали будет правильней

[Som]

Чет нифига не помагает, MTU с обеих сторон тунеля прописываются???