ipsec ios vpn und ospf multicast

[fu123 10]

Hallo Leute,

 

wie macht man einen ipsec Tunnel mcast fähig? Macht man da einfach einen GRE Tunnel für auf oder gibt es da noch andere Möglichkeiten.

 

 

Fu

[Wordo 11]

Kann man bei OSPF nicht auf IP Neighbors auf dem Interface fest eintragen?

[fu123 10]

Jep, allerdings bekommt er das irgendwie dann nicht über den VPN Tunnel oder sollte das auf jedenfall klappen? Also mit tunnel geht's ohne Probleme.

 

Ich habe das als "ip ospf network non-broadcast" und dem neighbor command ausprobiert. Da passiert nur gar nix.

 

Mal noch eine Frage. Klappt eigentlich QoS genauso auf einem Interface auf dem ein crypto map ist? Kann ich da ganz normal drauf schapen oder CBWFQ einrichten wie auf einem "normal" interface?

 

Fu

[Wordo 11]

Mal noch eine Frage. Klappt eigentlich QoS genauso auf einem Interface auf dem ein crypto map ist? Kann ich da ganz normal drauf schapen oder CBWFQ einrichten wie auf einem "normal" interface?

 

Fu

 

Ja, bei VTI einfach die service-policy ans tunnel IF haenge, bei crypto maps musste qos-preclassify anfuegen. Aber VPN und QoS .. da kaempf ich jetzt schon ne Woche dran. :(

[tom12 10]

Hi,

 

bis zur IOS 12.3 musst du einen GRE Tunnel machen.

In IOS 12.4 geht es etwas einfacher:

 

crypto isakmp policy 100

encr 3des

hash md5

authentication pre-share

group 2

lifetime 3600

crypto isakmp key PRESHARED_KEY_PEER_1 address <IP PEER_1>

crypto isakmp nat keepalive 3600

crypto isakmp keepalive 10

!

crypto ipsec security-association lifetime seconds 28800

!

crypto ipsec transform-set SET_1 esp-3des esp-md5-hmac

!

crypto ipsec profile PROFILE_1

set transform-set SET_1

!

interface Tunnel1

ip address 172.16.0.6 255.255.255.252

ip ospf mtu-ignore

load-interval 30

tunnel source <IP_WAN>

tunnel destination <IP_PEER_1>

tunnel mode ipsec ipv4

tunnel protection ipsec profile PROFILE_1

 

 

zum Thema Qos:

 

Wenn ich mich recht erinnere:

qos pre-classify auf tunnel Interface und dann service-policy auf den physischem Interface binden.

Oder KEIN qos pre-classify und service-policy auf Tunnel Interface binden.

 

Mit "show policy-map interface" kannst du auf alle Fälle kontrollieren, ob du "matches" hast..

 

Grüsse,

Thomas

[thematrix 10]

Servus,

 

wie machen noch einen GRE-Tunnel und schieben den dann in den IP-Sec-Tunnel - für mcast traffic. Ich hab gelesen das es mit OSPF geht, habs aber noch nicht ausprobiert.

 

Gruss,

 

thematrix

[fu123 10]

Also, es funktioniert folgende Konfiguration:

 

interface FastEthernet0/0

ip address 192.168.1.1 255.255.255.252

duplex auto

speed auto

crypto map aesmap

 

interface Tunnel0

ip unnumbered FastEthernet0/0

tunnel source FastEthernet0/0

tunnel destination 192.168.1.2

!

 

crypto isakmp policy 10

encr aes 256

authentication pre-share

crypto isakmp key 123456 address 192.168.1.2

!

!

crypto ipsec transform-set aesset esp-aes 256 esp-sha-hmac

!

crypto map aesmap 10 ipsec-isakmp

set peer 192.168.1.2

set transform-set aesset

match address 100

!

access-list 100 permit ip 192.0.0.0 0.255.255.255 any

access-list 100 permit ip any any

 

 

Ich kann über debug Crypto Engine Packet sehen, das pings über den Tunnel

gecrypted werden. Bei den OSPF hello kann ich es aber nicht wirklich sagen. Ansonsten

würde sie nicht auf der anderen Seite ankommen, wenn eine crypto map auf dem interface ist.

 

Ich hab nicht genau verstanden wie die andere Konfig funktionieren soll.

Da ist noch ein Profil dabei und das wird zusätzlich an den Tunnel gebunden. Und als tunnel mode ist ipsec angegeben.

 

Vielleicht kann noch mal jemand kurz den Unterschied aufzeigen...

 

Fu