Troubleshooting FlexVPN + BGP

[tcos]

Merhaba,

flex vpn kullanan varmi? tecrübelerini paylasabilirmi? Hangi Platform, IOS-Version ve karsilastigi problemler neler vs.

Bir hub ve 4 spoke dan olusan bir ag kurmak istiyoruz. Aslinda kurduk ve "genelde" calisiyor. Routing icin bgp kullaniyoruz.

Fakat bazen tunnel kurulu oldugu halde bgp session sona eriyor (down) ve geri olusmuyor. Nhrp dogru düzgün güncellemiyor, tunnel var gösteriyor fakat %CRYPTO-4-RECVD_PKT_INV_SPI veriyor. Yani düzgün calismiyor.
Problemin NHRP, IKEv2, IPSec ve BGP Timer larda oldugunu düsünüyorum, emin degilim.

Birde isin icine virtual-access interfaceler giriyor ve bunlarin nasil calistigini daha tam olarak anlamis degilim. Normalde ikev2 gitmesi ile bu interfacede silinmeli, fakat bazen kaliyorlar.

tecrübesi olan varmi acaba?

[Nexus]

BU konuda bazı IOS'larda buglar var yapılandırmanız doğruysa sorun buglardan kaynaklanıyor olabilir.

Yapılandırmanız ne şekilde biraz detay verebilir misiniz ?

Burada bır kac link var size yardımcı olabilir :

Configuring FlexVPN Spoke to Spoke

FLEX VPN: Sample LAN-to-LAN configuration with Dynamic Routing | Alexandre M. S. P. Moraes

http://stor.balios.net/Live2012/BRKSEC-3013.pdf

[tcos]

Linkler icin tesekkürler, ilk iki linkten yararlanmistim yapilandirmada.

eger clear nhrp, ike, ipsec, bgp yaparsam hersey cok güzel calisiyor.

Simdilik 1 tane hub ve 4 spoke var. bgp de route reflector kullandik.
ikev2 lifetime 2 saat yaptim, nhrp ile ayni olsun diye. budurumda nhrp expire olunca ipsec de olur ve tunnel de budurumde yeniden kurulmak zorunda kalir diye. Ne kadar mantikli oldu bilmiyorum.

bildigim birsey, bugün denedigimde bgp routelar yoktu hicbir router da.
spoke to spoke oluyordu (nhrp route vardi routing table da), fakat bu seferde hub ulasilamiyordu.

simdi bug toolkit de aradim nhrp, ike, ipsec ile ilgili bu varmi diye (15.2-4.M4) fakat birsey bulamadim.

[Nexus]

Flex VPN tecrübem yok be taner abi Olsa yollarına sererim

[tcos]

Flex VPN tecrübem yok be taner abi Olsa yollarına sererim

Yinede tesekkür ederim. Belki bir bug olabilir. Cözümü buldugumda yazarim, belki birinin isine yarar.

Bu arada bir isim degisikligi var gibi !?

[Nexus]

Evet isim değiştim. Bu arada barış hoca bu konuda makale yazmış forum ana sayfasında bulunuyor. Sana belki yrdımcı olabilir abi.

[cheat]

burdan baris beye sonsuz tesekkür ederim. kendim gns3 bir hub ve üc spoke tan olusan topoloji yapip, makaleye göre routerleri konfigure ettim. baslangicta ilk ping oluyor arkasindan baska bir yere ping attigimda olmuyor ama bir süre bekledikten sonra hic bir engel olmadan calisiyor. yani pingleri istedigim yere atabiliyorum..

herhalde NHRP (%NHRP-3-PAKERROR ilgili bir sorun var ama daha tam cözemedim. belkide IOUdaki IOS de bir BUG var bilmiyorum....

GNS 3 v1.5.1
IOU - i86bi-linux-l3-adventerprise9-15.4.1T.bin - router (hub ve spokelar)
IOU - i86bi-linux-l2-adventerprise9-15.2d.bin - switch (internet switch)


eski ve yavas bilgisayarlarda bir türlü calistiramdim (NHRP calismiyor) ama hizli PClerde yukarda yazdigim gibi calisiyor...
-------------------------------------------------

Cisco nun yeni CCNP kursundaki - SIMOS dökümaninda da bir örnek var ama ona göre yapmak istedigimde tam olarak calismadi yani spoke lar arasinda ping calisiyor ama sifrelelemiyor, hayret oda bir baska dert...