CCIE.pl

site 4 CCIE wannabies
Dzisiaj jest 23 lis 2017, 19:37

Strefa czasowa UTC+01:00




Nowy temat  Odpowiedz w temacie  [ Posty: 14 ] 
Autor Wiadomość
 Tytuł: ASA i OSPF
Post #1 : 17 paź 2017, 10:41 
Offline
wannabe
wannabe

Rejestracja: 12 cze 2011, 21:53
Posty: 142
Witam,
Mam ASA 5508X, skonfigurowany VPN S2S z routerem 881. VPN działa prawidłowo. Chcę uruchomić OSPF na ASA i na routerze 881. Jeśli od strony OSPF na routerze jest wszystko OK, to na ASA mam problem. Moja konfiguracja poniżej. Gig 1/1 to wyjście na swiat, z adres IP providera. Ustawiłem autoryzację OSPF z routerem 881.
Kod:
interface GigabitEthernet1/1
 duplex full
 nameif outside
 security-level 0
 ip address 213.216.XXX.XXX 255.255.255.248 
 ospf network point-to-point non-broadcast
 ospf message-digest-key 10 md5 *****
!

route outside 0.0.0.0 0.0.0.0 213.216.XXX.XXX 1

router ospf 100
 router-id 9.9.9.9
 network 10.226.156.0 255.255.255.0 area 0
 log-adj-changes
!  
Kiedy chcę dodać na router ospf neighbor
neighbor 195.150.XX.XX (adres mojego routera 881) interface outside

To otrzymuję komunikat:

ERROR: Neighbor command will take effect only after OSPF is enabled
and network-type is configured on the interface

Proszę o pomoc.


Na górę
Post #2 : 17 paź 2017, 10:55 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 16 lis 2004, 13:55
Posty: 1788
Lokalizacja: Edinburgh
No bo nie masz uruchomionego OSPF na Gi1/1?

_________________
Jeden konfig wart więcej niż tysiąc słów


Na górę
 Tytuł: Re: ASA i OSPF
Post #3 : 17 paź 2017, 12:04 
Offline
wannabe
wannabe

Rejestracja: 12 cze 2011, 21:53
Posty: 142
Sprawdzilem w dokumentacji i nie moge znalezc opcji na temat wlaczenia int w ospf.

https://www.cisco.com/c/en/us/td/docs/s ... _ospf.html


Na górę
 Tytuł: Re: ASA i OSPF
Post #4 : 17 paź 2017, 12:29 
Offline
wannabe
wannabe

Rejestracja: 12 cze 2011, 21:53
Posty: 142
Już zrozumialem, dziekuje za pomoc :)


Na górę
 Tytuł: Re: ASA i OSPF
Post #5 : 30 paź 2017, 13:13 
Offline
wannabe
wannabe

Rejestracja: 12 cze 2011, 21:53
Posty: 142
Wracam jeszcze raz do tego tematu i proszę o pomoc, bo nie mogę sobie poradzić z tym routingiem. Nie z samym routingiem, bo jest dla mnie to zrozumiałe. Konkretnie chodzi mi o nawiązanie sąsiedztwa OSPF pomiędzy dwoma urządzeniami ASA i routerem 881. Utworzyłem VPNS2S pomiędzy ASA i routerem za pomocą IPSEC. Pomiędzy routerem a ASA jest "internet".
VPN działa prawidłowo, połączenie jest zestawione. Kiedy próbuję nawiązać sąsiedztwo przez ospf, nie udaje mi się. Nie wiem co robię źle.
Moim celem jest rozgłoszenie koło 15 podsieci na routerze 881.

Router:
Kod:
interface FastEthernet4
 ip address 195.150.12.XX 255.255.255.248
 no ip redirects
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 ip ospf network non-broadcast
 duplex auto
 speed auto
 no cdp enable
 crypto map outside_map

router ospf 20
 router-id 10.10.10.10
 network 195.150.12.XX 0.0.0.7 area 10
 neighbor 213.216.110.XXX
ASA
Kod:
interface GigabitEthernet1/1
 duplex full
 nameif outside
 security-level 0
 ip address 213.216.110.XXX 255.255.255.248 
 ospf network point-to-point non-broadcast

router ospf 20
 router-id 11.11.11.11
 network 213.216.110.XXX 255.255.255.248 area 10
 neighbor 195.150.12.XX interface outside
 log-adj-changes
!

crypto map outside_map 10 match address asa-router-vpn
crypto map outside_map 10 set peer 195.150.12.XX 
crypto map outside_map 10 set ikev1 transform-set XXXXX
crypto map outside_map interface outside

nat (VPN-Branches,outside) source static local-network-vpn local-network-vpn destination static remote-network-vpn remote-network-vpn no-proxy-arp route-lookup

access-list asa-router-vpn extended permit ip object-group local-network-vpn object-group remote-network-vpn 
access-list asa-router-vpn extended permit ospf interface outside host 195.150.12.XX 
Proszę o pomoc!


Na górę
 Tytuł: Re: ASA i OSPF
Post #6 : 30 paź 2017, 15:58 
Offline
wannabe
wannabe

Rejestracja: 16 maja 2014, 18:35
Posty: 131
nie da sie chyba zestawic OSPF przez sam IPSEC. Musisz miec tunel GRE, poniewaz TTL OSPF jest 1 i sasiedzi musza byc 'directly connected'.


Na górę
 Tytuł: Re: ASA i OSPF
Post #7 : 30 paź 2017, 16:32 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 20 cze 2007, 08:53
Posty: 132
Czesc,
zmien na routerze
Kod:
ip ospf network non-broadcast
na
Kod:
ip ospf network point-to-multipoint non-broadcast
Dodatkowo chyba bedziesz musial pozmieniac timery dla OSPF, bo ASA uzywa innych dla tego typu sieci. Zobacz co masz w debug, wydaje mi sie ze na routerze bedziesz musial dodatkowo ustawic:
Kod:
 ip ospf dead-interval 40
 ip ospf hello-interval 10
Jak nie bedzie dzialac podaj
Kod:
 crypto map outside_map


Na górę
 Tytuł: Re: ASA i OSPF
Post #8 : 30 paź 2017, 16:32 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 20 cze 2007, 08:53
Posty: 132
Cytuj:
nie da sie chyba zestawic OSPF przez sam IPSEC. Musisz miec tunel GRE, poniewaz TTL OSPF jest 1 i sasiedzi musza byc 'directly connected'.
da sie ;)


Na górę
 Tytuł: Re: ASA i OSPF
Post #9 : 31 paź 2017, 12:52 
Offline
wannabe
wannabe

Rejestracja: 16 maja 2014, 18:35
Posty: 131
Jak ? Chyba ze z uzyciem VTI ?


Na górę
 Tytuł: Re: ASA i OSPF
Post #10 : 31 paź 2017, 14:19 
Offline
wannabe
wannabe

Rejestracja: 12 cze 2011, 21:53
Posty: 142
Dodałem te opcje do interface i dalej nie mogę nawiązać sąsiedztwa.

W debug widzę hello z ASA do routera:
Kod:
OSPF: Send hello to 195.150.12.XX area 10 on outside from 213.216.110.XX
OSPF: Send hello to 195.150.12.XX area 10 on outside from 213.216.110.XX
Na routerze:
Kod:
*Oct 31 12:58:50.209: OSPF-20 HELLO NV0: Send hello to 224.0.0.5 area 10 from 0.0.0.0
*Oct 31 12:58:59.561: OSPF-20 HELLO NV0: Send hello to 224.0.0.5 area 10 from 0.0.0.0
Moje crypto:
Kod:
crypto map outside_map 10 ipsec-isakmp
 set peer 213.216.110.XXX
 set transform-set XXX
 match address 120
 
access-list 120 permit ip 10.10.98.0 0.0.0.255 10.10.99.0 0.0.0.255
access-list 120 permit ip 10.10.98.0 0.0.0.255 10.226.156.0 0.0.0.255
access-list 120 permit ip 10.10.98.0 0.0.0.255 10.226.158.0 0.0.0.255
access-list 120 permit ospf any any


Na górę
 Tytuł: Re: ASA i OSPF
Post #11 : 31 paź 2017, 15:19 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 20 cze 2007, 08:53
Posty: 132
Na ruterze widac ze hello wysylasz na adres multicast a powinienes na adres ASA 213.216.110.XX. Pokombinuj z opcjami na ruterze ip ospf network type.

Mi cos takiego dzialalo bez problemu, ale miedzy dwoma ASA'mi. Moze trzeba cos bardziej poklikac na samym ruterze. Opcja z ttl dla ospf nie ma tutaj znaczenia, bo hello pchasz do tunelu IPSec i pierwszym hop'em jest urzadzenie po drugiej stronie tunelu.


Na górę
 Tytuł: Re: ASA i OSPF
Post #12 : 02 lis 2017, 12:26 
Offline
wannabe
wannabe

Rejestracja: 12 cze 2011, 21:53
Posty: 142
Dziękuje!

Mam pytanie, czy ten problem może dotyczyć tego, że mój router jest podłączony do switcha Cisco 2960X na dedykowanym VLANie który przejmuje provider?? Switch jest po mojej stronie.

Konfiguracja portu na switchu do którego jest podłączony router:
Kod:
interface GigabitEthernet1/0/20
 switchport access vlan 752
 switchport mode access
 no cdp enable
 spanning-tree portfast
 


Na górę
 Tytuł: Re: ASA i OSPF
Post #13 : 03 lis 2017, 14:23 
Offline
wannabe
wannabe
Awatar użytkownika

Rejestracja: 20 cze 2007, 08:53
Posty: 132
Cytuj:
Dziękuje!

Mam pytanie, czy ten problem może dotyczyć tego, że mój router jest podłączony do switcha Cisco 2960X na dedykowanym VLANie który przejmuje provider?? Switch jest po mojej stronie.
Nie, z tego co pokazales w poprzednim poscie to problem z konfiguracja rutera. Wysyla hello na adres multicast a powinien na adres ASA.

Ewentualnie jesli potrzebujesz zapinac w tunelu jakis protokół routingu, mozesz pobawic sie z BGP. Tunelujesz port tcp 179 i bedzie z pewnoscia dzialac miedzy roznymi vendorami czy tez samymi urzadzeniami jednoego vendora (miedzy cisco router <-> asa, dziala na 100%).


Na górę
 Tytuł: Re: ASA i OSPF
Post #14 : 08 lis 2017, 23:02 
Offline
newbie
newbie

Rejestracja: 08 lis 2017, 23:00
Posty: 1
Miałem to samo. Już jest ok.


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie  [ Posty: 14 ] 

Strefa czasowa UTC+01:00


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Technologię dostarcza phpBB® Forum Software © phpBB Limited
Polski pakiet językowy dostarcza phpBB.pl