|
|
Страница 1 из 1
|
[ Сообщений: 13 ] |
|
IPSec GRE Cisco <-> Huawei
Автор |
Сообщение |
kotofey
Зарегистрирован: 07 июл 2016, 18:00 Сообщения: 61
|
Доброго дня камрады. Что-то уже мозг слегка по швам трещит. Коротко идея, удаленный роутер держит 2 туннеля GRE over ipsec в разных vrf (основного и бэкапного интерфейса) с loopback'ами роутеров. Пока убился об бэкапный. В качестве спока - huawei-AR, в качестве хаба cisco ISR.
Имеется такой конфиг: Спок: # ike proposal 10 encryption-algorithm aes-cbc-128 dh group2 authentication-algorithm sha2-256 sa duration 36600 prf hmac-sha2-256 # ike peer dc02-isr2-bckp v1 pre-shared-key simple XXXXXX ike-proposal 10 local-address 172.30.99.1 # # ipsec proposal HUAWEI-TO-ISR esp authentication-algorithm sha2-256 esp encryption-algorithm aes-128 # ipsec profile TO-ISR-BCKP ike-peer dc02-isr2-bckp proposal HUAWEI-TO-ISR # # interface Tunnel0/0/10 ip address 172.30.98.254 255.255.255.252 tunnel-protocol ipsec source Cellular0/0/0 destination vpn-instance ISP-Backup *Loopback IP* tunnel pathmtu enable ipsec profile TO-ISR-BCKP #
Хаб: crypto isakmp policy 10 encr aes hash sha256 authentication pre-share group 2 lifetime 36600 crypto isakmp key ХХХХХХ address 172.30.99.1 crypto isakmp invalid-spi-recovery crypto ipsec transform-set HUAWEI-AR-IPSEC esp-aes esp-sha256-hmac mode tunnel crypto ipsec profile HUAWEI-AR-IPSEC set transform-set HUAWEI-AR-IPSEC
! interface Tunnel10 description vpn-4g vrf forwarding localnet ip address 172.30.98.253 255.255.255.252 tunnel source *Loopback IP* tunnel mode ipsec ipv4 tunnel destination 172.30.99.1 tunnel protection ipsec profile HUAWEI-AR-IPSEC end
Ситуация на данный момент. Стартует ike/isakmp, поднимаются 2 сессии для inbound и outbound, потом отмирает сессия от cisco в сторону huawei. Соответственно остается только 1 ike/isakmp sa в phase2. И только 1 ipsec sa которая от huawei в сторону cisco. Подозреваю, что дело может быть в использовании Loopback со стороны циски. Остальные подозрения пока в рассмотрение не беру. Смущают proxy match, но видимо глаз замылился и уже не вижу корня проблемы. Кусок дебага с циски в аттаче
Вложения:
debug.txt [14.32 КБ]
Скачиваний: 817
|
26 янв 2017, 14:06 |
|
|
kotofey
Зарегистрирован: 07 июл 2016, 18:00 Сообщения: 61
|
Коллеги, совсем никаких идей почему isakmp SA в одну сторону может отмирать?
|
29 янв 2017, 12:17 |
|
|
kotofey
Зарегистрирован: 07 июл 2016, 18:00 Сообщения: 61
|
В какой-то степени это... продвинулось. IKE sa и IPSec sa устанавливаются. У IPSec sa даже устанавливаются правильные spi. Ок, идем дальше. Пакет ESP отправленный с хуавея, пролетает сквозь сеть и туннели, и долетает до ISR. Однако в счетчики ipsec sa ничего не падает. PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 Если пустить пакеты от ISR, то счетчики #pkts encaps: #pkts encrypt: начинают расти. Однако на хуавее они попадают в Drop Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128 SA remaining key duration (bytes/sec): 1887436800/2708 Inpacket count : 2 Inpacket decap count : 0 Inpacket drop count : 2 Max received sequence-number: 0 Чесгря уже не могу придумать куда смотреть.
|
16 фев 2017, 17:22 |
|
|
ikiliikkuja
Зарегистрирован: 08 май 2013, 06:36 Сообщения: 322
|
а какой софт на хуавье? Я как-то тоже их пытался скрестить, вроде обе фазы поднимались, но Vti нет времени было мало и я забил. оставил gre
|
16 фев 2017, 18:52 |
|
|
kotofey
Зарегистрирован: 07 июл 2016, 18:00 Сообщения: 61
|
AR160-V200R007C00SPC900.cc Детальный вывод если надо - гляну завтра. VTI вроде даже поднимается, по крайней мере при попытке пнуть Tunnel интерфейс переходит в UP.
|
16 фев 2017, 20:18 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
kotofey писал(а): interface Tunnel10 description vpn-4g vrf forwarding localnet ip address 172.30.98.253 255.255.255.252 мне кажется что надо так - Код: ]interface Tunnel10 description vpn-4g [b]no vrf forwarding localnet[/b] tunnel vrf localnet ip address 172.30.98.253 255.255.255.252
|
17 фев 2017, 12:40 |
|
|
kotofey
Зарегистрирован: 07 июл 2016, 18:00 Сообщения: 61
|
Это влияет только на внутреннюю маршрутизацию по которой пойдет трафик между концами туннеля и моей сеткой. Но была такая мысль, поробовал - разницы нет.
|
17 фев 2017, 13:03 |
|
|
kotofey
Зарегистрирован: 07 июл 2016, 18:00 Сообщения: 61
|
Ситуация на данный момент. Все пакеты похоже дропаются с Authfail, т.е. у cisco и huawei проблемы с PSK, но черт их дери - пароли на устройствах абсолютно одинаковы, даже без keyring, просто key для ike/isamkp peer.
|
24 фев 2017, 16:04 |
|
|
real1st
Зарегистрирован: 04 окт 2011, 19:33 Сообщения: 1314
|
kotofey писал(а): Ситуация на данный момент. Все пакеты похоже дропаются с Authfail, т.е. у cisco и huawei проблемы с PSK, но черт их дери - пароли на устройствах абсолютно одинаковы, даже без keyring, просто key для ike/isamkp peer. PSK тут абсолютно ни при чем, т.к. этот ключ нужен только для установления 1-ой фазы. Authfail говорит о том, что контр. сумма ESP-пакета не соответствует его содержимому. Попробуйте поиграться с методами шифрования IPsec (не ISAKMP).
|
24 фев 2017, 17:02 |
|
|
kotofey
Зарегистрирован: 07 июл 2016, 18:00 Сообщения: 61
|
f@ntasist0 писал(а): kotofey писал(а): Ситуация на данный момент. Все пакеты похоже дропаются с Authfail, т.е. у cisco и huawei проблемы с PSK, но черт их дери - пароли на устройствах абсолютно одинаковы, даже без keyring, просто key для ike/isamkp peer. PSK тут абсолютно ни при чем, т.к. этот ключ нужен только для установления 1-ой фазы. Authfail говорит о том, что контр. сумма ESP-пакета не соответствует его содержимому. Попробуйте поиграться с методами шифрования IPsec (не ISAKMP). Вроде с обеих сторон стоит esp aes128-cbc.... Но благодарю за совет, попробую перебрать все что есть в списке.
|
24 фев 2017, 17:08 |
|
|
kotofey
Зарегистрирован: 07 июл 2016, 18:00 Сообщения: 61
|
Сегодня напьюсь. sha256-hmac между ISR и hw AR работал неправильно, плюнул, сделал sha1 и оно поехало... с vrf, с лупбеками... f@ntasist0 При случае, буду в Мск - поставлю пиво.
|
27 фев 2017, 11:36 |
|
|
ragent
Зарегистрирован: 28 мар 2019, 22:17 Сообщения: 1
|
kotofey писал(а): Сегодня напьюсь. sha256-hmac между ISR и hw AR работал неправильно, плюнул, сделал sha1 и оно поехало... с vrf, с лупбеками... f@ntasist0 При случае, буду в Мск - поставлю пиво. Зарегистрировался, чтобы написать В Huawei есть специальная команда, которая включает поддержку SHA2: ipsec authentication sha2 compatible enable Описано вот тут: https://support.huawei.com/enterprise/e ... 1000116859
|
29 мар 2019, 22:52 |
|
|
kotofey
Зарегистрирован: 07 июл 2016, 18:00 Сообщения: 61
|
ragent писал(а): kotofey писал(а): Сегодня напьюсь. sha256-hmac между ISR и hw AR работал неправильно, плюнул, сделал sha1 и оно поехало... с vrf, с лупбеками... f@ntasist0 При случае, буду в Мск - поставлю пиво. Зарегистрировался, чтобы написать В Huawei есть специальная команда, которая включает поддержку SHA2: ipsec authentication sha2 compatible enable Описано вот тут: https://support.huawei.com/enterprise/e ... 1000116859Спасибо мил, человек) Жаль, что я уже года 1.5 как запустил это в том виде, и еще и работу поменял от тоски) Вообще видимо это включение именно "узнаваемого" sha256, потому что если мне память не изменяет, то между собой эти узкоглазые суки работали без тюнинга.
|
30 мар 2019, 00:22 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 13 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 41 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|