:strip_icc():strip_exif()/u/298324/avatar.jpg?f=community){kind=avatar}
Mannen,
Ik ben in GNS3 wat aan het spelen met een IPsec site-2-site VPN tunnel.
Ik heb de volgende topology gemaakt:
Nu wil ik met plezier de volledige configs plaatsen maar dat neemt ook zoveel ruimte in beslag.
Om een lang verhaal kort te maken:
- Als ik vanaf R1 met de inside interface (f0/0) naar de inside interface van R2 (f0/0) ping komt de tunnel netjes "up" en lukt dit zonder problemen.
- Als ik vervolgens hetzelfde doe maar dan vanaf PC1 (10.10.10.10) krijg ik alleen maar time-outs.
- Een ping van PC1 naar naar de inside & outerface van R1 lukt wel. Voor PC2 en R2 vice versa.
- Op zowel R1 als R2 natuurlijk een 0.0.0.0 route op hun uitgaande interface.
- "INTERNET" is natuurlijk ook gewoon een simpele router met een interface naar R1 en een interface naar R2.
Nu vraag ik me dus af wat ik fout doe. In principe hit het verkeer vanaf PC1 toch ook gewoon netjes de crypto map en wordt het dus door de tunnel heen geknikkerd. Hier heb ik toch geen extra routes (danwel statisch, danwel EIGRP/OSPF) voor nodig?
Ik heb op R1 ook IPSEC en ISAKMP debugging aangezet, maar tijdens een ping van PC1 naar PC2 komt er niks voorbij.
Wat doe ik fout?
Update:
Oplossing bleek 2 statische routes.
Op R1: ip route 10.20.20.0 255.255.255.0 2.2.2.2
Op R2: ip route 10.10.10.0 255.255.255.0 1.1.1.1
Ik snap nog niet helemaal waarom dit nodig is. Ik dacht namelijk dat het verkeer van beide LAN's de ACL en dus de crypto map hitte en dus wel door de tunnel heen moest. De inside interfaces van de routers konden elkaar immers bereiken over de tunnel.
Ik ben in GNS3 wat aan het spelen met een IPsec site-2-site VPN tunnel.
Ik heb de volgende topology gemaakt:
Nu wil ik met plezier de volledige configs plaatsen maar dat neemt ook zoveel ruimte in beslag.
Om een lang verhaal kort te maken:
- Als ik vanaf R1 met de inside interface (f0/0) naar de inside interface van R2 (f0/0) ping komt de tunnel netjes "up" en lukt dit zonder problemen.
- Als ik vervolgens hetzelfde doe maar dan vanaf PC1 (10.10.10.10) krijg ik alleen maar time-outs.
- Een ping van PC1 naar naar de inside & outerface van R1 lukt wel. Voor PC2 en R2 vice versa.
- Op zowel R1 als R2 natuurlijk een 0.0.0.0 route op hun uitgaande interface.
- "INTERNET" is natuurlijk ook gewoon een simpele router met een interface naar R1 en een interface naar R2.
Nu vraag ik me dus af wat ik fout doe. In principe hit het verkeer vanaf PC1 toch ook gewoon netjes de crypto map en wordt het dus door de tunnel heen geknikkerd. Hier heb ik toch geen extra routes (danwel statisch, danwel EIGRP/OSPF) voor nodig?
Ik heb op R1 ook IPSEC en ISAKMP debugging aangezet, maar tijdens een ping van PC1 naar PC2 komt er niks voorbij.
Wat doe ik fout?
Update:
Oplossing bleek 2 statische routes.
Op R1: ip route 10.20.20.0 255.255.255.0 2.2.2.2
Op R2: ip route 10.10.10.0 255.255.255.0 1.1.1.1
Ik snap nog niet helemaal waarom dit nodig is. Ik dacht namelijk dat het verkeer van beide LAN's de ACL en dus de crypto map hitte en dus wel door de tunnel heen moest. De inside interfaces van de routers konden elkaar immers bereiken over de tunnel.
[ Voor 18% gewijzigd door EricNL op 23-01-2017 10:22 ]
My PC Steam Profile PSN: AfcaEricNL