Portál AbcLinuxu, 11. května 2025 09:24

Dotaz: Konfigurace v IOS Cisco

27.4.2011 10:48 alanos | skóre: 24 | blog: alanos
Konfigurace v IOS Cisco
Přečteno: 1249×
Odpovědět | Admin
Ahoj našel by se tady někdo kdo by mi pomohl s konfigurací cisca ? Z toho jejich IOSu jsem nějak vedle. Potřeboval bych příkaz kterým bych naroutoval další síť . /enable mám/. Chtěl ale bych napřed zjistit jestli není nějak omezené routování mezi sítěmi . Mám totiž podezření že za problémy které mi vznikají v TOMTO VLÁKNU může právě to cisco.
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

27.4.2011 12:10 asdadsad
Rozbalit Rozbalit vše Re: Konfigurace v IOS Cisco
Odpovědět | | Sbalit | Link | Blokovat | Admin
staticke routovanie, OSPF, RIP? Ziadne popis si nedal, tebe asi cisco do ruky nepatri. Toto su zaklady.
27.4.2011 12:14 roman
Rozbalit Rozbalit vše Re: Konfigurace v IOS Cisco

# show running

# show ip route static

# show log

27.4.2011 12:27 alanos | skóre: 24 | blog: alanos
Rozbalit Rozbalit vše Re: Konfigurace v IOS Cisco 

show ip route static
     192.168.17.0/32 is subnetted, 1 subnets
S       192.168.17.16 [1/0] via 0.0.0.0, Virtual-Access3
S    192.168.2.0/24 is directly connected, Tunnel10
S    192.168.18.0/24 is directly connected, Tunnel10
S*   0.0.0.0/0 is directly connected, Dialer0
pokud se připojuji vzdaleně prostřednictvím vpn tunelu tak se to tváří na mém serveru /pomocí tcpdump/ že k tomu ciscu přistupuji z IP 192.168.17.* . Je tedy možné že když na tom ciscu nemám naroutovanou síť 192.168.4.0 /což je síť za mým linux-routerem / tak mi to spojení padá při přenosu objemnějších dat ?
27.4.2011 12:30 alanos | skóre: 24 | blog: alanos
Rozbalit Rozbalit vše Re: Konfigurace v IOS Cisco 

*Mar 26 06:54:30.423: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=IP_CISCO_ROUTERU, prot=50, spi=0x568963EA(1451844586), srcaddr=IP_LINUX_ROUTERU
tohle se obejevuje /mnoho řádku / v show log
28.4.2011 10:55 FF
Rozbalit Rozbalit vše Re: Konfigurace v IOS Cisco
Hod sem vypis show run
28.4.2011 20:04 cimetidine | skóre: 2
Rozbalit Rozbalit vše Re: Konfigurace v IOS Cisco
Toto vypadá (chybová hláška), že jedna strana se pokouší navázat nové vpn spojení a ta první o tom neví a stále se pokouší použít tu původní asociaci. Podívej se jak je nastaveno keepalive.Mělo by to být na obou stranách stejně ( časy pro phase1 rekey interval atd. ) Možné příkazy pro vypsání debug detailů viz manual. 
show crypto isakmp sa
show crypto ipsec sa
show crypto engine connection active
debug crypto isakmp
debug crypto ipsec
Info ohledně chyby:

IPsec Packet has Invalid SPI This output is an example of the error message: %PIX-4-402101: decaps: recd IPSEC packet has invalid spi for destaddr=dest_address, prot=protocol, spi=number The received IPsec packet specifies a Security Parameters Index (SPI) that does not exist in the security associations database (SADB). This could be a temporary condition due to: Slight differences in the aging of security associations (SAs) between the IPsec peers The local SAs having been cleared Incorrect packets sent by the IPsec peer This might also be an attack. Recommended Action: The peer might not acknowledge that the local SAs have been cleared. If a new connection is established from the local router, the two peers can then reestablish successfully. Otherwise, if the problem occurs for more than a brief period, either attempt to establish a new connection or contact the peer's administrator.

27.4.2011 12:18 alanos | skóre: 24 | blog: alanos
Rozbalit Rozbalit vše Re: Konfigurace v IOS Cisco
Možná jsi si to špatně přečetl, já nikde netvrdím že tomu rozumím , proto tam ani nic nedělám. Jen jsem napsal že enable mám.
28.4.2011 19:30 alanos | skóre: 24 | blog: alanos
Rozbalit Rozbalit vše Re: Konfigurace v IOS Cisco
Odpovědět | | Sbalit | Link | Blokovat | Admin
Takže na vině je MTA , pokud to jede přes vpn tak paket ma max. velikost 1200 , pokud to jede normálně posílá to 1472 a to už nezvládá. Jelikož ciscu nerozumím musel jsem to nechat profíkoví , ten zatím hledá proč to děla. Dám vědět jak to dopadlo. Nefunguje to totiž ani v tomto zapojení SAMBA ----> CISCO--> internet <-----CISCO <------počítač v siti někde bude chyba v konfiguraci CISCA ale to už opravdu nechavám profikovi. Pokud by ovšem někdo věděl proč to dělá dejte vědět já mu zdělím jakoukoliv radu.
29.4.2011 09:00 HoGo
Rozbalit Rozbalit vše Re: Konfigurace v IOS Cisco
Ze by MTU ? A s kombinaci ze nejaky firewall po ceste blokuje vsechny ICMP zpravy ktere napr. informuji o nutnosti zmenit MTU ?
2.5.2011 08:37 alanos | skóre: 24 | blog: alanos
Rozbalit Rozbalit vše Re: Konfigurace v IOS Cisco
Omlouvám se za překlep v zprávě výše samozřejmě to nemělo být MTA ale MTU. Na linux-serveru po zásahu profíka od cisca jem musel změnit mtu na OpenVPN serveru na 1250 , /předtím tam bylo 1500 a fungoval/ zdělil mi že si to OpenVPN snižovala sama. Nevím bohužel co překonfiguroval na ciscu ale musím teĎ upravovat nastavení mtu na každém klientovi /kromě vpn/ který se na sambu chce připojit z vnitřních sítí. Profík od cisca mě řekl že je to vinou ADSL připojení./přes které je připojeno cisco/ Bohužel mi nezbývá než mu věřit. Firewall na ciscu není .
2.5.2011 11:41 skunerq | skóre: 19 | blog: skunerovo
Rozbalit Rozbalit vše Re: Konfigurace v IOS Cisco
zahledl jsem, ze se asi jedna o cisco PIX,

u VPNek ma moznost cisco nastavit parametr DF-BIT, resp. priznak nefragmentuj bud SMAZ/COPY tj. s parametrem nefragmetuj posli dal. Aplikuje se to primo na interface.

crypto ipsec df-bit clear Clear DF bit for encapsulated packets. copy Copy DF bit from inner for encapsulated packets. set Set DF bit for encapsulated packets.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.