tunnel tussen 2 cisco 871 routers

Wie o wie weet het volgende,

ik heb op twee locaties een cisco 871 staan, welke achter een linksys router hangen. (linksys hangen aan een kabelmodem (Ziggo)).

de cisco routers zijn beide met de WAN poort FA4 aangesloten op een lokaal netwerk. (dus niet gezamelijk in 1 subnet)

het doel van deze opstelling is dat beide lokale netwerken elkaar kunnen vinden over een tunnel opgezet op de cisco routers.

info over de routers:

router A:
fast ethernet 4
ip address 192.168.0.195 /24

tunnel 1
ip address 10.0.0.1 /24

ip route 0.0.0.0 0.0.0.0 192.168.0.1


router B:
fast ethernet 4
ip address 192.168.1.120 /24

tunnel 1
ip address 10.0.0.2 /24

ip route 0.0.0.0 0.0.0.0 192.168.1.1

De tunnel interface op beide routers is up, en ik kan elkaars 10.0.0.x adres pingen.

om elkaars 192.x netwerk te kunnen zien, werd mij aangeraden om OSPF te configureren, zodat de routers elkaars netwerken leren.

De ospf sessie zou dus over de tunnel moeten lopen.

nu is het probleem dat OSPF niet op komt.
als ik ga debuggen zie ik: (router A)
Rcv pkt from 10.0.0.2, FastEthernet4, area 0.0.0.0 : src not on the same network
Send hello to 224.0.0.5 area 0 on FastEthernet4 from 192.168.0.195

en thats it.

nu is mij duidelijk dat je in één subnet moet zitten voor een adjacency, maar dat zit het 10.x netwerk toch ?

ik ben de draad kwijt, wie heeft er nog suggesties ?

MrFX schreef op maandag 14 juni 2010 @ 12:49:
[...]


Hey Theezeefje om ospf adjacency te krijgen moeten de onderstaande zaken te kloppen:

• hello and timers moeten matchen
• network mask moet matchen
• area id moet matchen (area 0 dus)
• authentication moet matchen

Verder kun je de onderstaande zaken voor een Site-toSite VPN controleren

• overlapping ip address spaces
• dynamic routing protocols, aangezien je routing protocols gebruikt zal je Ipsec i.cm. FRE moeten gebruiken aanzien een ipsec tunnel niet voldoende is (unicast)
• MTU size niet groter dan 1500 (ipsec gre tunnel kan 60 to 80 bytes overhead hebbe)

voor zover ik weet voldoe ik aan deze items

hello en dead timers staan gelijk,
network mask van mn tunnel interfaces komen overeen
beide routers gebruiken ospf area 0
authenticatie is gelijk.

ip adressen overlappen niet,
MTU staat op 1400,

over dynamic routing, volgens mij gebruik ik dit:
Je hebt het over FRE, bedoel je toevallig GRE ?

CVN256#sh int tun1
Tunnel1 is up, line protocol is up
Hardware is Tunnel
Internet address is 10.0.0.1/24
MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive set (10 sec), retries 3
Tunnel source 192.168.0.195 (FastEthernet4), destination 83.81.x.x
Tunnel protocol/transport GRE/IP
Key 0x87897D, sequencing disabled
Checksumming of packets disabled
Tunnel TTL 255
Fast tunneling enabled
Tunnel transmit bandwidth 8000 (kbps)
Tunnel receive bandwidth 8000 (kbps)
Last input 00:12:01, output 00:00:08, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/0 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
70 packets input, 8120 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
1 packets output, 56 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 output buffer failures, 0 output buffers swapped out

Router 1:


Router 2:

TrailBlazer schreef op maandag 14 juni 2010 @ 14:39:
OSPF is onzin voor 2 sites. Je tunnel kan alleen nooit kloppen. Je tunnel source heeft een ip 192.168.1.120 Je moet als source de interface pakken met het wan IP. Dan zal je tunnel opkomen en kan je met een statische route de subnets bekend maken.

Vergeet trouwens niet dat je niks geencrypt hebt en alles dus open en bloot het internet over gaat.

Op dit moment zijn het er nog 2, maar dit gaan er minimaal 4 of 5 worden.

die 192.168.1.120 is het WAN ip

daarnaast is de tunnel up/up, en kan ik het ipadres aan de andere kant van de tunnel pingen.

en die encryptie is een volgende stap

[ Voor 5% gewijzigd door theezeefje op 14-06-2010 14:42 ]

TrailBlazer schreef op maandag 14 juni 2010 @ 14:44:
Dan heb je zeker in die linksys alles doorgestuurd naar die Cisco zeker?. Want er moet natuurlijk iets genat worden. In ieder geval ik blijf erbij nat/gre/ipsec is niet handig.

idd, in de linksys nat ik eea door.

Zijn er naast deze manier van tunnelen andere methodes dan ?

TrailBlazer schreef op maandag 14 juni 2010 @ 14:51:
NAT blijft een lapmiddel daarom zou ik je aanraden je 871 direct aan het ziggo modem te koppelen. Dan kan je alles doen wat je wil. Waarom zit die linksys er nu voor?

omdat de cisco maar 100mbit is

Daarnaast is het niet wenselijk op de div. locaties om de bestaande router te vervangen.

[ Voor 12% gewijzigd door theezeefje op 14-06-2010 15:05 ]

*bump* iemand ?

na wat kloten met SDM ben ik inmiddels een stap verder gekomen,
OSPF is op, ik kan vanaf netwerk 1 de pcs in netwerk 2 bereiken.

enige wat nog niet lukt:

ik kan vanaf de router A zelf de hosts in 192.168.x achter router B niet bereiken.
vanaf de hosts achter router A kan ik deze wel bereiken.

Verwijderd schreef op donderdag 17 juni 2010 @ 00:17:
Zoals TrailBlazer al aan gaf; OSPF en Linksys weglaten in dit verhaal, internet IP* op de 871 routers (maakt qua capaciteit niet uit aangezien de 100Mbit toch de bottleneck is) en statische routes.

* Ik heb zelf geen ervaring met Ziggo modems, maar ik hoop dat het apparaat stom genoeg is om puur als modem te functioneren

Mijn internetverbinding is hoger dan 100mbit, als ik die cisco tevens als gateway ga gebruiken, ga ik er op inleveren qua snelheid, geen optie dus

Daarnaast is vrijwel alles operationeel, alle pc's in alle netwerken kunnen elkaar bereiken,
alleen vanaf de cisco routers kan ik de pc's niet bereiken.

jvanhambelgium schreef op donderdag 17 juni 2010 @ 07:31:
Staan die PC's achter router B met hun default gateway naar RouterB ?
Als je vanop CiscoA een ping doet met welk source-IP doe je dat dan ? Mischien een extended ping proberen met een andere source ?
Heb je via debugging gezien dat je ping vanop CiscoA wel degelijk door de tunning naar CiscoB gaat of raakt ie niet eens in de tunnel ?

Dit moet een kleinigheid zijn aangezien de hoofdfunctionaliteit werkt, namelijk dat hosts achter CiscoA de hosts achter CiscoB kunnen bereiken.

Als ik het ip van FastEthernet 4 gebruik als source kan ik wel pingen.
De reden waarom ik deze connectiviteit wil, is omdat er op een van de hosts een TFTP server draait,
hier kan ik nu niet bij.

TrailBlazer schreef op donderdag 17 juni 2010 @ 07:48:
commando
ip tftp source fa4 ff inkloppen

held!

werkt dit trouwens ook met syslog en bijv. snmp verkeer ?

[ Voor 17% gewijzigd door theezeefje op 17-06-2010 07:59 ]

TrailBlazer schreef op donderdag 17 juni 2010 @ 08:11:
snmp-server trap-source fa4
logging source-interface fa4

snmp heb je enkel nodig als je snmp traps stuurt voor polling niet. polling gebeurt altijd vanaf het adres waarop je polt.

Mijn dank is groot !