Tomsk Sysadmins Forum

Оборудование => Cisco => Topic started by: boombastic on December 23, 2007, 23:09:47

Title: IPSEC TUN over IPIP-tun (двойная инкапсуляция)
Post by: boombastic on December 23, 2007, 23:09:47

Приветствую.
Разбираю вот схему.
Есть 2 роутера (2801,ADV IP SERVICES) расположенные в разных городах. Надо организовать ип-туннель с шифрованием передаваемой информации и, желательно, с возможностью динамического переключения на резервный туннель в случае падения канала провайдера (в каждом городе на роутер приходит 2 аплинка от разных ISP).
Подводный камень в том, что в одном из городов, поднят IP-туннель до промежуточного провайдера (у него трафик чуть дешевле).
В итоге в городе А картина выглядит как:
RT-A->ISP-A1
RT-A->ISP-A2
а в городе B как:
RT-B->ISP-B1
RT-B->ISP-B2->ISP-B3[IPIP TUN]

Первый IPSEC-VTI (между адресами полученными от ISP-A1 и ISP-B1) поднимается, и оба конца туннеля пингуются.
Второй IPSEC-VTI (между адресами полученными от ISP-A2 и ISP-B3) поднимается но концы туннеля не пингуются
отладка IP пакетов показывает что обмен трафиком есть:
Dec 23 16:52:41.450: IP: tableid=0, s=192.168.102.14 (Tunnel4), d=192.168.102.13 (Tunnel4), routed via RIB
Dec 23 16:52:41.450: IP: s=192.168.102.14 (Tunnel4), d=192.168.102.13 (Tunnel4), len 100, rcvd 3
Dec 23 16:52:41.450: ICMP type=8, code=0
Dec 23 16:52:41.454: IP: tableid=0, s=192.168.102.13 (local), d=192.168.102.14 (Tunnel4), routed via FIB
Dec 23 16:52:41.454: IP: s=192.168.102.13 (local), d=192.168.102.14 (Tunnel4), len 100, sending
Dec 23 16:52:41.454: ICMP type=0, code=0

(192.168.102.13 & 102.14 - концы туннеля)
Но вот результат:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.102.13, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)


Возможен ли вообще такой вариант? (работа IPSEC туннеля поверх IP-туннеля)
p.s. пробовал менять IPIP на GREIP - те же грабли, пинги не ходят.

Title: IPSEC TUN over IPIP-tun (двойная инкапсуляция)
Post by: deepwalker on December 24, 2007, 00:16:38

а debug isakmp, ipsec никаких патологий не выявляет?
По идее какая ему разница ipip там или нет. ipip же на контрольную сумму влиять не должен?

Еще на всякий случай - ah или esp?

Title: IPSEC TUN over IPIP-tun (двойная инкапсуляция)
Post by: boombastic on December 24, 2007, 09:22:48

Не, проблема в совсем другом была.
Я дефолт забыл перепрописать чз канал второго ISP . (в выходные надо больше отдыхать).
А задумка то как раз в этом и была, при падении/отказе одного из каналов, поднимался второй туннель чз канал другого ISP.