IPSec Site-to-Site e tunnel gre
Inviato: dom 17 mar , 2013 3:03 pm
Sto simulando con gns3 una vpn IPSec tra due route 7200 che fungono da border gateway per due siti remoti con tunnel gre per permettere il passaggio degli hello packet eigrp tra i due siti via IPSEc. IPSec è ok e se non metto nessuna acl sulle wan dei due router tutto ok, in modo particolare sale l'eigrp.
Da ciò che mi sarei aspettato, visto che non ho default route e che tutto il traffico tra i due siti deve essere crittato, tutto ciò che passa sulla connessione dovrebbe essere traffico ipsec... ma così non è.
Per la precisione, gli hello dell ' eigrp mi arrivano sia via ipsec che come pacchetti gre tra i due estremi del tunnel e l'eigrp sale solo se non limito con un acl questo traffico gre.
A questo punto pongo alcune osservazioni:
1) la crypto map è matchata dal traffico gre e quindi non mi aspetterei di vedere traffico gre sulla connessione tra i due router , ma così non è
2) deduco che gli hello mi arrivino sia via IPSec che come traffico gre dal fatto che i contatori delle entry nella acl in input della wan sono uguali sia per il traffico IPSec che per quello gre.
3) chiudendo la porta al traffico gre entrante dalla wan mi aspetterei che l'eigrp rimanga in piedi visto che lo stesso traffico mi dovrebbe arrivare anche via IPSec.
4) L'IPSec è ok perche il ping tra due loopback via IPSEC è ok
Domanda, è corretto che da un'interfaccia a cui è applicata una crypto map che permette il traffico gre, inoltri anche il traffico gre senza incapsulamento in IPSec?
La mia ipotesi è che l'IOS che uso sia bacato.
Qualcuno si è imbattuto in problemi simili?
Da ciò che mi sarei aspettato, visto che non ho default route e che tutto il traffico tra i due siti deve essere crittato, tutto ciò che passa sulla connessione dovrebbe essere traffico ipsec... ma così non è.
Per la precisione, gli hello dell ' eigrp mi arrivano sia via ipsec che come pacchetti gre tra i due estremi del tunnel e l'eigrp sale solo se non limito con un acl questo traffico gre.
A questo punto pongo alcune osservazioni:
1) la crypto map è matchata dal traffico gre e quindi non mi aspetterei di vedere traffico gre sulla connessione tra i due router , ma così non è
2) deduco che gli hello mi arrivino sia via IPSec che come traffico gre dal fatto che i contatori delle entry nella acl in input della wan sono uguali sia per il traffico IPSec che per quello gre.
3) chiudendo la porta al traffico gre entrante dalla wan mi aspetterei che l'eigrp rimanga in piedi visto che lo stesso traffico mi dovrebbe arrivare anche via IPSec.
4) L'IPSec è ok perche il ping tra due loopback via IPSEC è ok
Domanda, è corretto che da un'interfaccia a cui è applicata una crypto map che permette il traffico gre, inoltri anche il traffico gre senza incapsulamento in IPSec?
La mia ipotesi è che l'IOS che uso sia bacato.
Qualcuno si è imbattuto in problemi simili?