forum.lissyara.su

Добавлено: **2009-04-20 14:02:06**

Добрый день!
У меня возникла проблема при создании тунеля м/у 6513 и 857
Вот сонфига с 857:

archive
 log config
  hidekeys
!
!
!
bridge irb
!
!
interface Tunnel0
 description tunnel to dis-bbs-1
 ip address 10.1.1.2 255.255.255.252
 tunnel source ATM0
 tunnel destination Адрес 6513
!
interface ATM0
 ip address 10.8.75.197 255.255.255.192
 no atm ilmi-keepalive
 pvc 0/40 
  encapsulation aal5snap
 !
 dsl operating-mode auto 
 bridge-group 1
 bridge-group 1 spanning-disabled
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 ip address 10.93.1.1 255.255.255.0
!
interface BVI1
 no ip address
!         
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.1.1.1
ip route Адрес 6513 255.255.255.255 10.8.75.193

Адрес 10.93.1.1 (т.е. шлюз роутера я пингую со своего компа)
а комп который висит на фа2 с айпи 10.93.1.2 нет.

Мне говорят что без BVI не будет работать, когда я поднимаю BVI, у меня тунель не поднимается я даже 10.1.1.2 не пингую.
Подскажите в чем проблема.
Зарание спасибо!!!

ЗЫ:
sh ver
Cisco IOS Software, C850 Software (C850-ADVSECURITYK9-M), Version 12.4(15)T5, RELEASE SOFTWARE (fc4)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by Cisco Systems, Inc.
Compiled Thu 01-May-08 02:07 by prod_rel_team

ROM: System Bootstrap, Version 12.3(8r)YI4, RELEASE SOFTWARE

alma-dtk-gw-tmp uptime is 3 days, 4 hours, 20 minutes
System returned to ROM by power-on
System image file is "flash:c850-advsecurityk9-mz.124-15.T5.bin"

This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

Cisco 857 (MPC8272) processor (revision 0x300) with 59392K/6144K bytes of memory.
Processor board ID FCZ122313MF
MPC8272 CPU Rev: Part Number 0xC, Mask Number 0x10
4 FastEthernet interfaces
1 ATM interface
128K bytes of non-volatile configuration memory.
20480K bytes of processor board System flash (Intel Strataflash)

Configuration register is 0x2102

Добавлено: **2009-04-20 14:26:59**

857 это ж adsl... а где тогда

Код: Выделить всё

interface Dialer0

?? он и сорсом должен быть

Добавлено: **2009-04-21 6:18:10**

m0ps писал(а):857 это ж adsl... а где тогда
Код: Выделить всё
interface Dialer0
?? он и сорсом должен быть

Да это adsl, на ATM0 тож нормально работает.
Тунль то поднялся, с внутреней маршрутизацией какаие то траблы
Адрес 10.93.1.1 (т.е. шлюз роутера я пингую со своего компа)
а комп который висит на фа2 с айпи 10.93.1.2 нет.

Добавлено: **2009-04-21 7:09:04**

Som писал(а): Тунль то поднялся, с внутреней маршрутизацией какаие то траблы
Адрес 10.93.1.1 (т.е. шлюз роутера я пингую со своего компа)
а комп который висит на фа2 с айпи 10.93.1.2 нет.

А "свой комп" где находится? Как на нем обстоит дело с маршрутами?

Добавлено: **2009-04-21 8:42:01**

начнем по порядку - нужен конфиг удаленной стороны, тут телепатов нет

(т.е. шлюз роутера я пингую со своего компа)

шлюз роутера это как? просто насколько видно из конфига - ip 10.93.1.1 это ip на локальном интерфейсе 857-й

Добавлено: **2009-04-21 13:38:09**

m0ps писал(а):начнем по порядку - нужен конфиг удаленной стороны, тут телепатов нет

(т.е. шлюз роутера я пингую со своего компа)
шлюз роутера это как? просто насколько видно из конфига - ip 10.93.1.1 это ip на локальном интерфейсе 857-й

Извянки, не так выразился, это шлюз для компов которые подключены к 857, с которых я пигую этот ип (10.93.1.1).
И со стороны 6513 я тоже пингую этот адрес (т.е. 10.93.1.1)
А все что находится за шлюзом (10.93.1.1) я не вижу, напрмер 10.93.1.2, 10.93.1.3 и т.д.
sh run
Building configuration...

Current configuration : 1391 bytes

Код: Выделить всё

!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname alma-dtk-gw-tmp
!
boot-start-marker
boot system flash 
boot system flash c3660-jsx-mz.124-6.XT2.bin
boot system flash c850-advsecurityk9-mz.124-15.XY2
boot-end-marker
!
enable secret 5 $1$cswW$5adtvGEC74W2B3aWTFrLH.
!
no aaa new-model
!
!
dot11 syslog
!
!
ip cef
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
no ip domain lookup
!
!
!
! 
!
archive
 log config
  hidekeys
!
!
!
bridge irb
!
!
interface Tunnel0
 description tunnel to dis-bbs-1
 ip address 10.1.1.2 255.255.255.252
 tunnel source ATM0
 tunnel destination адрес 6513
!
interface ATM0
 ip address 10.8.75.197 255.255.255.192
 no atm ilmi-keepalive
 pvc 0/40 
  encapsulation aal5snap
 !
 dsl operating-mode auto 
 bridge-group 1
 bridge-group 1 spanning-disabled
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 ip address 10.93.1.1 255.255.255.0
!
interface BVI1
 no ip address
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.1.1.1
ip route адрес 6513 255.255.255.255 10.8.75.193
!
no ip http server
no ip http secure-server
!
!
control-plane
!
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 exec-timeout 30 30
 password swi03tch
 login
!
scheduler max-task-time 5000
end

Добавлено: **2009-04-21 13:41:29**

Dirty.Eager писал(а):
Som писал(а): Тунль то поднялся, с внутреней маршрутизацией какаие то траблы
Адрес 10.93.1.1 (т.е. шлюз роутера я пингую со своего компа)
а комп который висит на фа2 с айпи 10.93.1.2 нет.
А "свой комп" где находится? Как на нем обстоит дело с маршрутами?

Мой комп стоит за 6513, извиняте show run немогу показать, вот тунеть и нужный маршрут который я прописал:
sh run int tunnel 0
Building configuration...

Current configuration : 145 bytes
!
interface Tunnel0
description tunnel to DTK
ip address 10.1.1.1 255.255.255.252
tunnel source Vlan153
tunnel destination 10.8.75.197
end

sh run | include 10.1.1.2
ip route 10.93.1.0 255.255.255.0 10.1.1.2

Добавлено: **2009-04-21 15:05:19**

Залил иос посвежей и вот что получилось

Никогда такого не видел

зы: 10.93.1.2 это комп котроый подключен к 857, пингую я со строны 6513

Добавлено: **2009-04-21 15:46:11**

tunnel source Vlan153

и

tunnel destination адрес 6513

адреса у них хоть одинаковые??

И со стороны 6513 я тоже пингую этот адрес (т.е. 10.93.1.1)

трейс через туннель идет?

с одной и другой кошки ip-шники туннельных интерфейсов пингаются?

Добавлено: **2009-04-21 15:59:10**

m0ps писал(а):
tunnel source Vlan153
и
tunnel destination адрес 6513
адреса у них хоть одинаковые??

И со стороны 6513 я тоже пингую этот адрес (т.е. 10.93.1.1)
трейс через туннель идет?

с одной и другой кошки ip-шники туннельных интерфейсов пингаются?

Да у Vlan153 и tunnel destination адрес 6513 адрес один, трайс идет затыкается на пойнтовом адресе.

С обоих кошаков идет пинг.

Я же говорю что со стороны 6513 я пингую адрес 10.93.1.1
т.е тунель поднялся, проблемы с внутреней маршрутизацией

Добавлено: **2009-04-21 16:08:28**

на скрине - число байт - 1024... как так, ведь у виндового пинга по дефолту 32 байта

кстати, что там с mtu???

на внешнем интерфейсе adsl кошки должно быть mtu 1492, на туннельном - еще меньше (счас не вспомню сколько для gre нужно), а на интерфейсе в локалке - ip tcp adjust-mss на 40 байт меньше от туннельного mtu

Добавлено: **2009-04-22 7:04:36**

m0ps писал(а):на скрине - число байт - 1024... как так, ведь у виндового пинга по дефолту 32 байта

кстати, что там с mtu???

на внешнем интерфейсе adsl кошки должно быть mtu 1492, на туннельном - еще меньше (счас не вспомню сколько для gre нужно), а на интерфейсе в локалке - ip tcp adjust-mss на 40 байт меньше от туннельного mtu

да с пингом это я там баловался, с 32 такая же фигня была.

на счет мту я даже и недумал, спасибо, ша попробуем.

на adsl ставлю 1492 на VPN тунеле 1400 ставят, на счет GRE даже незнаю, ша попробуем

Добавлено: **2009-04-22 8:32:37**

а где у тебя vpn туннель? у тебя есть gre туннель, шифрования у тебя никакого нет. для шифрованного ipsec gre туннеля через adsl, mtu - 1412 байт, а на внутреннем интерфейсе - ip tcp adjust-mss - 1372, если этого не будет, будут затыки с передачей трафика.

кстати, прописывая роуты, логично указывать не ip адреса, а интерфейсы. к примеру - не

Код: Выделить всё

ip route 172.16.1.0 255.255.255.0 10.1.1.1

а

Код: Выделить всё

ip route 172.16.1.0 255.255.255.0 Tu0

Добавлено: **2009-04-22 10:34:30**

m0ps писал(а):а где у тебя vpn туннель? у тебя есть gre туннель, шифрования у тебя никакого нет. для шифрованного ipsec gre туннеля через adsl, mtu - 1412 байт, а на внутреннем интерфейсе - ip tcp adjust-mss - 1372, если этого не будет, будут затыки с передачей трафика.

кстати, прописывая роуты, логично указывать не ip адреса, а интерфейсы. к примеру - не
Код: Выделить всё
ip route 172.16.1.0 255.255.255.0 10.1.1.1
а
Код: Выделить всё
ip route 172.16.1.0 255.255.255.0 Tu0

Нет у меня VPN, я помню что для VPN mtu 1400 ставят, попробую такой же mtu для GRE поставить.
Шас потяреля удаленнку

, чуть позже попробую
А на счет интерфейса вместо ип, так особой же разнице нет, ну все равно спасибо как Вы сказали будет правильней

Добавлено: **2009-04-23 13:54:46**

Чет нифига не помагает, MTU с обеих сторон тунеля прописываются???

forum.lissyara.su

Как поднять Tunnel на CISCO 857

Как поднять Tunnel на CISCO 857

Re: Как поднять Tunnel на CISCO 857

Re: Как поднять Tunnel на CISCO 857

Re: Как поднять Tunnel на CISCO 857

Re: Как поднять Tunnel на CISCO 857

Re: Как поднять Tunnel на CISCO 857

Re: Как поднять Tunnel на CISCO 857

Re: Как поднять Tunnel на CISCO 857

Re: Как поднять Tunnel на CISCO 857

Re: Как поднять Tunnel на CISCO 857

Re: Как поднять Tunnel на CISCO 857

Re: Как поднять Tunnel на CISCO 857

Re: Как поднять Tunnel на CISCO 857

Re: Как поднять Tunnel на CISCO 857

Re: Как поднять Tunnel на CISCO 857