IPSec Site-to-Site e tunnel gre

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
scolpi
Network Emperor
Messaggi: 337
Iscritto il: sab 30 ott , 2010 5:33 pm

Sto simulando con gns3 una vpn IPSec tra due route 7200 che fungono da border gateway per due siti remoti con tunnel gre per permettere il passaggio degli hello packet eigrp tra i due siti via IPSEc. IPSec è ok e se non metto nessuna acl sulle wan dei due router tutto ok, in modo particolare sale l'eigrp.

Da ciò che mi sarei aspettato, visto che non ho default route e che tutto il traffico tra i due siti deve essere crittato, tutto ciò che passa sulla connessione dovrebbe essere traffico ipsec... ma così non è.

Per la precisione, gli hello dell ' eigrp mi arrivano sia via ipsec che come pacchetti gre tra i due estremi del tunnel e l'eigrp sale solo se non limito con un acl questo traffico gre.

A questo punto pongo alcune osservazioni:

1) la crypto map è matchata dal traffico gre e quindi non mi aspetterei di vedere traffico gre sulla connessione tra i due router , ma così non è
2) deduco che gli hello mi arrivino sia via IPSec che come traffico gre dal fatto che i contatori delle entry nella acl in input della wan sono uguali sia per il traffico IPSec che per quello gre.
3) chiudendo la porta al traffico gre entrante dalla wan mi aspetterei che l'eigrp rimanga in piedi visto che lo stesso traffico mi dovrebbe arrivare anche via IPSec.
4) L'IPSec è ok perche il ping tra due loopback via IPSEC è ok

Domanda, è corretto che da un'interfaccia a cui è applicata una crypto map che permette il traffico gre, inoltri anche il traffico gre senza incapsulamento in IPSec?

La mia ipotesi è che l'IOS che uso sia bacato.

Qualcuno si è imbattuto in problemi simili?
CCNA Security,CCDP, CCNP R&S
scolpi
Network Emperor
Messaggi: 337
Iscritto il: sab 30 ott , 2010 5:33 pm

Dopo parecchio throubleshooting (spero, ma non credo, si scriva così :o ) ed aver scoperto che wireshark funziona anche con gns3, sono arrivato alla seguente conclusioni:

1) quanto avevo riportato precedentemente, al punto 4) era falso; anche il ping, se presente l'acl non funziona.

2) wireshark mostra che effettivamente tra i due router il traffico è solo IPSEC

Allora perchè sull'acl vedo anche il corrispondente traffico decriptato? La risposta quindi è la seguente:

L'acl in ingresso è machta la prima volta dal traffico ipsec (esp), questo viene poi decifrato e dato nuovamente in pasto alla acl,

In conclusione quando si crea un acl per permettere solo il traffico ipsec è tassativo anche inserire entry che permettono il corrispondente traffico decifrato. C'ho impiegato due mezze giornate, ma ora tutto funziona.

Spero questo possa essere utile a qualcuno.
Ciao
CCNA Security,CCDP, CCNP R&S
Rispondi