vitex
полезно же
vitex
возраст
vitex
я ж не тинейджер
vitex
в отличии от некоторых
vitex
ага
только и остается
Михаил
знатоки, помогите!!!
2й день бьюсь...
2 циски, на каждой есть int vlan237 c ip-адресами из 10.0.2.12/30.
поверх поднят gre-туннель с адресами 10.172.7.140/30.
поверх туннеля поднят eigrp, vlan237 указан как passive-interface.
пока вот так - все работает. и sh ip eigrp nei показывает соседями друг друга через tun237,
и 10.172.7.141 пингует 10.172.7.142
теперь пытаюсь туннель защитить ipsec-ом.
crypto isakmp policy 10
authentication pre-share
group 2
crypto isakmp key XXXXXXXX address 10.0.2.1[34]
crypto ipsec transform-set TRANS_IPSEC_GRE esp-aes esp-sha-hmac
mode transport
crypto ipsec profile IPSEC_GRE
set transform-set TRANS_IPSEC_GRE
!
interface Tunnel237
tunnel protection ipsec profile IPSEC_GRE
ipsec вроде поднимается, но 10.172.7.141 и .142 друг друга не пингуют. а eigrp показывает соседа только на стороне 10.172.7.142.
на10.172.7.142 в момент поднятия ipsec после строки
New State = IKE_QM_PHASE2_COMPLETE
идет 5 строк
IPSEC(key_engine): got a queue event with 1 KMI message(s)
IPSEC(key_engine_enable_outbound): rec'd enable notify from ISAKMP
crypto engine: updating MTU size of IPSec SA 206 to 1500 (overhead=42)
crypto_engine: Set IPSec MTU
IPSEC: Expand action denied, notify RP
на стороне 10.172.7.142 после New State = IKE_QM_PHASE2_COMPLETE ничего больше не выводится,
Stanislav
на наге наконец-то набрал 1к сообщений😌
Stanislav
теперь можно удаляться оттуда
Uncel
Vladimir
Stanislav
Нет предела совершенству же
Так никогда и не будет норм рухтера)
Я свой дата плейн начал писать )))
Михаил
Stanislav
Точнее щас уже забросил
Uncel
Так никогда и не будет норм рухтера)
Я свой дата плейн начал писать )))
Ну шли там патчи куда-нибудь
Uncel
Потом тебя m$ захантит
Uncel
На 300к/нс
Stanislav
Потому что все есть в vpp, а контрол плейн можно будет и к другому датаплейну прикрутить
Михаил
да
ip mtu 1400 уже было,
ip tcp adjust-mss 1360 и tunnel path-mtu-discovery ситуацию не изменили...
vitex
может
ip mtu 1400
tunnel path-mtu-discovery
ip tcp adjust-mss 1360
как-то изменит погоду?\
eigrp по tcp что ли работает?
vitex
каким боком тут adjust mss
Radist
rtp не?
vitex
лол
Константин
как бы если пинги никакие не пролезают - явно не в mtu дело
Evgeniy
Если арпов чуть больше нуля
Evgeniy
То л3 там живет
Evgeniy
На дхс
Evgeniy
Но дорогой он очень
vitex
как бы если пинги никакие не пролезают - явно не в mtu дело
но аджастить мсс для сходимости еигрп это такое
vitex
прям
Anton
никто случайно не пробовал заливать ios на циски ансиблом?
Anonymous
опасный парень.
no restrictions
прекол
Anton
ну или какие инструменты есть опенсорсные для этого
Vladimir
он забыл добавить "мультикастом"
А какая проблема? Просто копи запустил из консоли и норм
Михаил
как бы если пинги никакие не пролезают - явно не в mtu дело
да, что-то в ipsec не стыкуется. но что - непонятно. фаза 2 поднимается, sh cry sa счетчики тикают
#pkts encaps: 502, #pkts encrypt: 502, #pkts digest: 502
#pkts decaps: 1029, #pkts decrypt: 1029, #pkts verify: 1029
Anton
это же чатик девопсов
Anonymous
https://networklore.com/ansible-ios-upgrade/
vitex
А какая проблема? Просто копи запустил из консоли и норм
да никаких проблем пока это в лабе и ты ни за что не отвечаешь
Anonymous
А какая проблема? Просто копи запустил из консоли и норм
ну если ansible, то два варианта - или надо много, или просто много времени на фьюжн.
Max
никто случайно не пробовал заливать ios на циски ансиблом?
профит только если тебе надо больше 5 штук сделать типовых коммутаторов перед запуском в прод
Max
в онлайне делать бы такое не стал, пост апдейт верифицировать сложно, если что-то не так, всё равно на консоль бежать
Anonymous
зачем для этого ansible?
Anonymous
это один цикл на bash
Anonymous
всегда не понимал людей, которые тащят фреймворк, чтобы писать в файлики.
Max
а так да, ради этого ставить с нуля не стоит конечно, больше ковыряться придется с настройкой
Max
в смысле на коммутаторах scp нет?
Михаил
не совсем помню как на циске это смотреть - надо посмотреть installed SA вообще есть?
#sh cry isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
10.0.2.13 10.0.2.14 QM_IDLE 1047 ACTIVE
с обеих сторон одинаковый. всего одна строка
Anton
профит только если тебе надо больше 5 штук сделать типовых коммутаторов перед запуском в прод
да просто залить, ребутать не надо
Михаил
по идее, как я понимаю, должно быть 2 строки?
dst src
10.0.2.13 10.0.2.14
10.0.2.12 10.0.2.13
Max
не если нет ssh/scp то положи образ на ftp/tftp и скриптиком на баше пройдись
vitex
vitex
Anton
Anton
ну вот я хотел от ансибла добится этого
Max
у тебя на коммутаторах есть ssh?
Anton
есть
Max
ну я образно, не везде даже в 2018 году есть ssh... еще всякое вендорское изобилие есть для телефонии
Anonymous
и много других смузи-костылей
Max
python + netmiko еще
ну это явно перебор уже, разбираться как коннекшен организовать, если человеку однострочник нужен с pssh и рабочий ftp сервер