Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 04:25



Ответить на тему  [ Сообщений: 10 ] 
Flexvpn + HUB 2 ISP 
Автор Сообщение

Зарегистрирован: 30 окт 2017, 11:43
Сообщения: 7
Добрый день.
Имеется Hub с развернутым FlexVPN. На хаб приходят два оператора (Оператор А - 10.10.10.1; Оператор Б - 11.11.11.1)
Имеется ряд споков, которые успешно подключаются к хабу по основному каналу (Оператор А).

С недавних пор решили все FlexVPn подключения перевести на оператора Б. Со стороны споков произвели настройку подключения на внешний адрес оператора Б:

crypto ikev2 keyring FLEX01
peer Hub01
address 11.11.11.1
identity fqdn hub01.local.ru
pre-shared-key Password

crypto ikev2 profile flex01
fqdn domain local.ru
identity local fqdn 099.local.ru
authentication remote pre-share
authentication local pre-share
keyring local flex01
aaa authorization group psk list default default

crypto ipsec profile flex01
set ikev2-profile flex01

interface Tunnel3
description FLEX01-MAIN
ip address negotiated
ip mtu 1400
ip flow ingress
ip nhrp network-id 3
ip nhrp redirect
ip tcp adjust-mss 1360
tunnel source FastEthernet4
tunnel destination 11.11.11.1
tunnel protection ipsec profile flex01

Interface FastEthernet4
ip address 20.20.20.1 255.255.255.0

Собственно туннель поднимается, но никакой связности нет. В логах идет спам ошибки :
%CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=20.20.20.1, prot=50, spi=0x3D79135B(1031344987), srcaddr=10.10.10.1, input interface=FastEthernet4

Т.е. ответ приходит не от Ip резервного оператора, а от основного.
На хабе не поднята vrf, но в ручную был сделан маршрут до IP спока через шлюз резервного оператора - не помогло.

Как можно решить данную задачу, желательно без vrf?


22 окт 2019, 12:09
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
На хабе же у Вас тоже для туннеля сказано tunnel source, так?


23 окт 2019, 14:32
Профиль WWW

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
Black Fox писал(а):
На хабе же у Вас тоже для туннеля сказано tunnel source, так?

Да, и интересно что именно указано?

_________________
Knowledge is Power


24 окт 2019, 02:57
Профиль

Зарегистрирован: 30 окт 2017, 11:43
Сообщения: 7
На хабе пробовал указать tunnel source интерфейс резервного оператора (пробовал и IP) - не помогает.

Самое интересное - сделал трассировки до Ip резервного оператора с разных точек (со споков).
С каких-то споков идет так:
traceroute 11.11.11.1
Type escape sequence to abort.
Tracing the route to 11.11.11.1
VRF info: (vrf in name/id, vrf out name/id)
1 10.68.167.1 0 msec 0 msec 4 msec
2 188.93.17.56 0 msec
188.93.17.146 4 msec
188.93.17.56 0 msec
3 188.93.17.135 4 msec
31.28.19.100 4 msec
188.93.17.135 4 msec
4 31.28.19.122 0 msec 4 msec 4 msec
5 217.67.176.250 4 msec 4 msec
31.28.19.122 4 msec
6 217.67.176.250 4 msec 4 msec
11.11.11.254 (шлюз резервного оператора) 4 msec
7 10.10.10.1 (IP основного оператора) 0 msec *

А с других споков так:
traceroute 11.11.11.1
Type escape sequence to abort.
Tracing the route to 11.11.11.1
VRF info: (vrf in name/id, vrf out name/id)
1 81.211.5.61 8 msec 4 msec 4 msec
2 79.104.235.213 0 msec
79.104.235.215 4 msec
79.104.235.213 24 msec
3 82.142.138.154 4 msec 4 msec 4 msec
4 217.67.176.53 4 msec 4 msec 8 msec
5 217.67.176.250 12 msec 8 msec 8 msec
6 11.11.11.254 (шлюз резервного оператора) 8 msec 8 msec 4 msec
7 11.11.11.1 (IP резервного оператора) 4 msec * 4 msec


При этом со споков, ответ которым на трассировку приходит с правильного адреса (резервного оператора), соединение устанавливается нормально и все работает.
Т.е. явно какая-то хрень с исходящим трафиком со стороны HUB.


24 окт 2019, 09:06
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1874
Для начала нужен кусок конфига с туннелями и маршрутами с хаба.


24 окт 2019, 09:56
Профиль

Зарегистрирован: 30 окт 2017, 11:43
Сообщения: 7
Со стороны HUB

crypto ikev2 authorization policy FLEX01
pool FlexSpokes
route set interface

crypto ikev2 keyring flex01
peer 099
identity fqdn 099.local.ru
pre-shared-key Password

crypto ikev2 profile flex01
match identity remote fqdn domain local.ru
identity local fqdn hub02.local.ru
authentication remote pre-share
authentication local pre-share
keyring local flex01
aaa authorization group psk list default FLEX01
virtual-template 1

crypto ikev2 dpd 30 5 on-demand
crypto ikev2 limit max-in-negotation-sa 200

crypto ipsec profile flex01
set ikev2-profile flex01

interface Loopback1
ip address 192.168.204.1 255.255.255.255

interface Virtual-Template1 type tunnel
ip unnumbered Loopback0
ip mtu 1400
ip nhrp network-id 3
ip nhrp shortcut virtual-template 1
ip nhrp redirect
ip tcp adjust-mss 1360
tunnel path-mtu-discovery
tunnel protection ipsec profile flex01

ip route 0.0.0.0 0.0.0.0 10.10.10.254 track 1
ip route 0.0.0.0 0.0.0.0 11.11.11.254 250


24 окт 2019, 11:19
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1874
Сложная какая-то у Вас конструкция, такого никогда не настраивал.
Но, насколько я вижу, а точнее, не вижу этого:
Цитата:
вручную был сделан маршрут до IP спока через шлюз резервного оператора - не помогло.

Не вижу маршрута вручную через шлюз резервного оператора...


24 окт 2019, 15:26
Профиль

Зарегистрирован: 30 окт 2017, 11:43
Сообщения: 7
Уже убрал, т.к. результатов он не дал.
И опять таки - часть споков без дополнительных маршрутов прекрасно подключается к резервному оператору, и в трассировках у них все хорошо.


24 окт 2019, 15:59
Профиль

Зарегистрирован: 30 окт 2017, 11:43
Сообщения: 7
Все оказалось значительно проще - до адресов проблемных споков было НАТ правило через основного оператора...
Видимо глаз уже замылился в конфиге, сразу не заметил.
Убрал эти адреса и все стало хорошо.
Спасибо)


25 окт 2019, 09:47
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
Посмотрите здесь примеры может найдёте для себя вариант

https://www.ciscolive.com/c/dam/r/cisco ... C-3054.pdf


26 окт 2019, 13:02
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 10 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 41


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB