Автор |
Сообщение |
kabraksis
Зарегистрирован: 30 окт 2017, 11:43 Сообщения: 7
|
Добрый день. Имеется Hub с развернутым FlexVPN. На хаб приходят два оператора (Оператор А - 10.10.10.1; Оператор Б - 11.11.11.1) Имеется ряд споков, которые успешно подключаются к хабу по основному каналу (Оператор А).
С недавних пор решили все FlexVPn подключения перевести на оператора Б. Со стороны споков произвели настройку подключения на внешний адрес оператора Б:
crypto ikev2 keyring FLEX01 peer Hub01 address 11.11.11.1 identity fqdn hub01.local.ru pre-shared-key Password
crypto ikev2 profile flex01 fqdn domain local.ru identity local fqdn 099.local.ru authentication remote pre-share authentication local pre-share keyring local flex01 aaa authorization group psk list default default
crypto ipsec profile flex01 set ikev2-profile flex01
interface Tunnel3 description FLEX01-MAIN ip address negotiated ip mtu 1400 ip flow ingress ip nhrp network-id 3 ip nhrp redirect ip tcp adjust-mss 1360 tunnel source FastEthernet4 tunnel destination 11.11.11.1 tunnel protection ipsec profile flex01
Interface FastEthernet4 ip address 20.20.20.1 255.255.255.0
Собственно туннель поднимается, но никакой связности нет. В логах идет спам ошибки : %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=20.20.20.1, prot=50, spi=0x3D79135B(1031344987), srcaddr=10.10.10.1, input interface=FastEthernet4
Т.е. ответ приходит не от Ip резервного оператора, а от основного. На хабе не поднята vrf, но в ручную был сделан маршрут до IP спока через шлюз резервного оператора - не помогло.
Как можно решить данную задачу, желательно без vrf?
|
22 окт 2019, 12:09 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
На хабе же у Вас тоже для туннеля сказано tunnel source, так?
|
23 окт 2019, 14:32 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
Black Fox писал(а): На хабе же у Вас тоже для туннеля сказано tunnel source, так? Да, и интересно что именно указано?
_________________ Knowledge is Power
|
24 окт 2019, 02:57 |
|
|
kabraksis
Зарегистрирован: 30 окт 2017, 11:43 Сообщения: 7
|
На хабе пробовал указать tunnel source интерфейс резервного оператора (пробовал и IP) - не помогает.
Самое интересное - сделал трассировки до Ip резервного оператора с разных точек (со споков). С каких-то споков идет так: traceroute 11.11.11.1 Type escape sequence to abort. Tracing the route to 11.11.11.1 VRF info: (vrf in name/id, vrf out name/id) 1 10.68.167.1 0 msec 0 msec 4 msec 2 188.93.17.56 0 msec 188.93.17.146 4 msec 188.93.17.56 0 msec 3 188.93.17.135 4 msec 31.28.19.100 4 msec 188.93.17.135 4 msec 4 31.28.19.122 0 msec 4 msec 4 msec 5 217.67.176.250 4 msec 4 msec 31.28.19.122 4 msec 6 217.67.176.250 4 msec 4 msec 11.11.11.254 (шлюз резервного оператора) 4 msec 7 10.10.10.1 (IP основного оператора) 0 msec *
А с других споков так: traceroute 11.11.11.1 Type escape sequence to abort. Tracing the route to 11.11.11.1 VRF info: (vrf in name/id, vrf out name/id) 1 81.211.5.61 8 msec 4 msec 4 msec 2 79.104.235.213 0 msec 79.104.235.215 4 msec 79.104.235.213 24 msec 3 82.142.138.154 4 msec 4 msec 4 msec 4 217.67.176.53 4 msec 4 msec 8 msec 5 217.67.176.250 12 msec 8 msec 8 msec 6 11.11.11.254 (шлюз резервного оператора) 8 msec 8 msec 4 msec 7 11.11.11.1 (IP резервного оператора) 4 msec * 4 msec
При этом со споков, ответ которым на трассировку приходит с правильного адреса (резервного оператора), соединение устанавливается нормально и все работает. Т.е. явно какая-то хрень с исходящим трафиком со стороны HUB.
|
24 окт 2019, 09:06 |
|
|
Nikolay_
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1874
|
Для начала нужен кусок конфига с туннелями и маршрутами с хаба.
|
24 окт 2019, 09:56 |
|
|
kabraksis
Зарегистрирован: 30 окт 2017, 11:43 Сообщения: 7
|
Со стороны HUB
crypto ikev2 authorization policy FLEX01 pool FlexSpokes route set interface
crypto ikev2 keyring flex01 peer 099 identity fqdn 099.local.ru pre-shared-key Password
crypto ikev2 profile flex01 match identity remote fqdn domain local.ru identity local fqdn hub02.local.ru authentication remote pre-share authentication local pre-share keyring local flex01 aaa authorization group psk list default FLEX01 virtual-template 1
crypto ikev2 dpd 30 5 on-demand crypto ikev2 limit max-in-negotation-sa 200
crypto ipsec profile flex01 set ikev2-profile flex01
interface Loopback1 ip address 192.168.204.1 255.255.255.255
interface Virtual-Template1 type tunnel ip unnumbered Loopback0 ip mtu 1400 ip nhrp network-id 3 ip nhrp shortcut virtual-template 1 ip nhrp redirect ip tcp adjust-mss 1360 tunnel path-mtu-discovery tunnel protection ipsec profile flex01
ip route 0.0.0.0 0.0.0.0 10.10.10.254 track 1 ip route 0.0.0.0 0.0.0.0 11.11.11.254 250
|
24 окт 2019, 11:19 |
|
|
Nikolay_
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 1874
|
Сложная какая-то у Вас конструкция, такого никогда не настраивал. Но, насколько я вижу, а точнее, не вижу этого: Цитата: вручную был сделан маршрут до IP спока через шлюз резервного оператора - не помогло. Не вижу маршрута вручную через шлюз резервного оператора...
|
24 окт 2019, 15:26 |
|
|
kabraksis
Зарегистрирован: 30 окт 2017, 11:43 Сообщения: 7
|
Уже убрал, т.к. результатов он не дал. И опять таки - часть споков без дополнительных маршрутов прекрасно подключается к резервному оператору, и в трассировках у них все хорошо.
|
24 окт 2019, 15:59 |
|
|
kabraksis
Зарегистрирован: 30 окт 2017, 11:43 Сообщения: 7
|
Все оказалось значительно проще - до адресов проблемных споков было НАТ правило через основного оператора... Видимо глаз уже замылился в конфиге, сразу не заметил. Убрал эти адреса и все стало хорошо. Спасибо)
|
25 окт 2019, 09:47 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
Посмотрите здесь примеры может найдёте для себя вариант https://www.ciscolive.com/c/dam/r/cisco ... C-3054.pdf
|
26 окт 2019, 13:02 |
|
|