IP связь работает только в одном направлении Опции

[Income]

Доброго дня коллеги. Подскажите пож как решить проблему. Две станции находятся далеко друг от друга. Станция №1 не может дозвонится до станции №2. Симптомы: набираю на станции №1 внутренний номер станции №2, проходит только 1 гудок а потом тишина, а станция №2 на станцию №1 может легко позвонить и что удивительно прекрасно поговорить. Можете подсказать что это и как это решить?

[Гость_ИгорьS_*]

Доброго дня коллеги. Подскажите пож как решить проблему. Две станции находятся далеко друг от друга. Станция №1 не может дозвонится до станции №2. Симптомы: набираю на станции №1 внутренний номер станции №2, проходит только 1 гудок а потом тишина, а станция №2 на станцию №1 может легко позвонить и что удивительно прекрасно поговорить. Можете подсказать что это и как это решить?

Смотрите настройки маршрутизаторов. Точнее NAT.

[korneff]

через что соединены станции? это LAN, WAN или Inet?

настройки VoIB в студию.

[Income]

Станции между собой соединены через инет, вся маршрутизация просиходит на цисках. но админ уверяет что настойки кроме IP адресов провайдера не сменились...

[korneff]

Между этими двумя сайтами, где АТС стоят, есть какой-то туннель? или тупо через интернет соединены?
Если туннель, то надо смотреть маршрутизацию и IP-connectivity между АТС, если просто через интернет, то надо смотреть настройки NAT.

[korneff]

еще надо Network Numbering Plan на обоих станциях. и настройки сетевых линий

[Income]

Что есть IP connectivity?

[stasmar]

Попробуйте в PGM324 во второй строчке, где 33** Digit Repeat поставить в OFF

[vldmr]

судя по IP адресам - у Вас туннель между Cisco - проверяйте настройки туннеля - где то он непрозрачный

[Income]

[quote name='vldmr' date='11.9.2009, 10:50' post='24393']
судя по IP адресам - у Вас туннель между Cisco - проверяйте настройки туннеля - где то он непрозрачный
[/quote
Сейчас положу конфы цисок. если есть уисководы плиз помогите... Заранее спасибо

[Income]

Попробуйте в PGM324 во второй строчке, где 33** Digit Repeat поставить в OFF

Ставил не катит

[Income]

судя по IP адресам - у Вас туннель между Cisco - проверяйте настройки туннеля - где то он непрозрачный

Готовлю конфы цисок

[Income]

судя по IP адресам - у Вас туннель между Cisco - проверяйте настройки туннеля - где то он непрозрачный

Tyumen2801-Nissan#sh run
Building configuration...

Current configuration : 9374 bytes
!
version 12.4
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname Tyumen2801-Nissan
!
boot-start-marker
boot system flash c2801-advipservicesk9-mz.124-9.T4.bin
boot-end-marker
!
logging buffered 51200 warnings
!
aaa new-model
!
!
aaa authentication login perm local
aaa authentication ppp default local
aaa authorization network default local
!
aaa session-id common
!
resource policy
!
clock timezone Ektb 5
ip cef
!
!
no ip dhcp use vrf connected
no ip dhcp conflict logging
ip dhcp excluded-address 192.168.3.1 192.168.3.99
!
ip dhcp pool 0
network 192.168.3.0 255.255.255.0
dns-server 212.220.126.2 212.120.160.130
default-router 192.168.3.4
!
!
ip domain name vmv.ru
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 2
!
!
!
!
voice-card 0
!
!
!!
!
crypto pki trustpoint TP-self-signed-2329436677
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2329436677
revocation-check none
rsakeypair TP-self-signed-2329436677
!
!
!
class-map match-all VoIP-class
match access-group name VoIP-ACL
!
!
policy-map VoIP-pol
class VoIP-class
priority 320
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key VerraMotors address 0.0.0.0 0.0.0.0
crypto isakmp invalid-spi-recovery
!
!
crypto ipsec transform-set l2tp esp-des esp-md5-hmac
crypto ipsec transform-set ESE esp-3des esp-sha-hmac
mode transport
!
crypto ipsec profile VPN-DMVPN
set transform-set ESE
!
!
crypto map Nissan 10 ipsec-isakmp
set peer 10.100.0.13
set transform-set ESE
match address 103
crypto map Nissan 20 ipsec-isakmp
set peer yyy.yyy.yyy.yyy (адрес Курган)
set transform-set ESE
match address 106

!
crypto map hsa 10 ipsec-isakmp
! Incomplete
description Hasana
set transform-set l2tp
crypto map hsa 20 ipsec-isakmp
! Incomplete
set transform-set ESE
crypto map hsa 40 ipsec-isakmp
! Incomplete
set transform-set ESE
!
!
!
!
!
interface Tunnel0
bandwidth 1000
ip address 192.168.0.13 255.255.255.252
ip mtu 1400
delay 1000
shutdown
tunnel source FastEthernet0/1.15
tunnel destination 10.100.0.13


!
interface Tunnel3
bandwidth 1000
ip address 192.168.0.26 255.255.255.252
ip mtu 1400
delay 1000
tunnel source FastEthernet0/1.166
tunnel destination yyy.yyy.yyy.yyy (адрес Курган)
!
interface FastEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0$
ip address 10.100.15.4 255.255.255.0 secondary
ip address 10.100.12.4 255.255.255.0
ip access-group Nissan in
duplex auto
speed auto
!
interface FastEthernet0/0.17
description Users
encapsulation dot1Q 17
ip address 192.168.3.4 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
service-policy output VoIP-pol
!
!
interface FastEthernet0/1.15
description USI-VPN
encapsulation dot1Q 159
ip address 10.100.0.9 255.255.255.252
traffic-shape rate 1024000 25600 25600 1000
crypto map Nissan
!
interface FastEthernet0/1.166
description USI-Internet
encapsulation dot1Q 166
ip address ххх.ххх.ххх.ххх 255.255.255.248 адрес Тюмень
ip nat outside
ip virtual-reassembly
crypto map Nissan
!
interface Virtual-Template2
ip unnumbered FastEthernet0/1.166
peer default ip address pool vpn-test1
no keepalive
ppp authentication pap chap ms-chap
!
ip local pool vpn-test1 10.100.1.10 10.100.1.50
ip route 0.0.0.0 0.0.0.0 ххх.ххх.ххх.ххх шлюз Тюмень
ip route 10.100.0.12 255.255.255.252 10.100.0.10
ip route 10.100.9.0 255.255.255.0 Tunnel0
ip route 10.100.10.0 255.255.254.0 Tunnel0
ip route 10.100.14.0 255.255.255.0 Tunnel2
ip route 10.100.20.0 255.255.255.0 Tunnel3
ip route 10.100.30.0 255.255.254.0 Tunnel0
ip route 10.100.60.0 255.255.252.0 Tunnel0
ip route 192.168.50.0 255.255.255.252 10.100.0.10
!
!
ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet0/1.166 overload
!
ip access-list extended AlienACL
permit ip 192.168.3.0 0.0.0.255 any
ip access-list extended Honda-QoS
permit ip any 10.100.30.0 0.0.1.255
ip access-list extended Nissan
permit ip 10.100.12.0 0.0.0.255 10.100.0.0 0.0.255.255
permit ip host 10.100.12.251 any

ip access-list extended Verra
permit ip 10.100.60.0 0.0.3.255 any
permit ip 192.168.20.0 0.0.1.255 any
permit ip 10.100.10.0 0.0.1.255 any
permit ip 10.100.1.0 0.0.0.255 any
ip access-list extended VoIP-ACL
permit ip host 10.100.12.16 any
!
access-list 100 remark NAT
access-list 100 permit ip 192.168.3.0 0.0.0.255 any
access-list 101 permit ip 10.100.12.0 0.0.0.255 10.100.60.0 0.0.3.255
access-list 101 permit ip 10.100.12.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 101 permit ip 10.100.12.0 0.0.0.255 10.100.1.0 0.0.0.255
access-list 101 permit ip 10.100.12.0 0.0.0.255 10.100.30.0 0.0.1.255
access-list 101 permit ip 10.100.12.0 0.0.0.255 10.100.14.0 0.0.0.255
access-list 103 permit gre host 10.100.0.9 host 10.100.0.13
access-list 105 permit gre host 10.100.0.9 host 192.168.50.2
access-list 106 permit gre host 85.15.149.36 host yyy.yyy.yyy.yyy (адрес Курган)
snmp-server community verracom RO
!
!
!
!
route-map SDM_RMAP_1 permit 1
match ip address 100
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
banner login ^CCAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!
^C
!
line con 0
line aux 0
scheduler allocate 20000 1000
end

[Income]

судя по IP адресам - у Вас туннель между Cisco - проверяйте настройки туннеля - где то он непрозрачный

!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
aaa new-model
!
!
aaa authentication login default local
!
!
aaa session-id common
clock timezone Ektb 5
!
crypto pki trustpoint TP-self-signed-3555061765
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3555061765
revocation-check none
rsakeypair TP-self-signed-3555061765
!
!
quit
no ip dhcp use vrf connected
no ip dhcp conflict logging
ip dhcp excluded-address 10.100.20.1 10.100.20.50
!
ip dhcp pool 0
network 10.100.20.0 255.255.255.0
domain-name md.mash-dvor.ru
dns-server 10.100.12.2
default-router 10.100.20.4
lease 8
!
!
ip cef
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
no ip domain lookup
ip domain name md.mash-dvor.ru
!
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key VerraMotors address 0.0.0.0 0.0.0.0
crypto isakmp invalid-spi-recovery
!
!
crypto ipsec transform-set ESE esp-3des esp-sha-hmac
mode transport
!
crypto map VerraMap 10 ipsec-isakmp
set peer 10.100.0.9
set peer xxx.xxx.xxx.xxx (адрес Тюмень)
set transform-set ESE
match address 102
!
archive
log config
hidekeys
!
!
!
!
!
interface Tunnel0
bandwidth 1000
ip address 192.168.0.25 255.255.255.252
ip mtu 1400
delay 1000
tunnel source FastEthernet4
tunnel destination xxx.xxx.xxx.xxx (адрес Тюмень)
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address yyy.yyy.yyy.yyy (адрес Курган) 255.255.255.248
duplex auto
speed auto
fair-queue
crypto map VerraMap
!
interface Vlan1
ip address 10.100.20.4 255.255.255.0
ip access-group Kurgan in
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 yyy.yyy.yyy.yyy - ip шлюз Курган
ip route 10.100.8.0 255.255.252.0 Tunnel0
ip route 10.100.12.0 255.255.255.0 Tunnel0
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip access-list extended Kurgan
permit ip 10.100.20.0 0.0.0.255 10.100.0.0 0.0.255.255
!
access-list 102 permit gre host yyy.yyy.yyy.yyy (адрес Курган) host xxx.xxx.xxx.xxx (адрес Тюмень)
!
control-plane
!
banner login ^CCCAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!
^C
!
line con 0
privilege level 15
no modem enable
line aux 0
line vty 0 4
privilege level 15
transport input telnet ssh
!
scheduler max-task-time 5000
end

[korneff]

если не трудно, то еще выводы sh ip route с обоих цисок.

А пока совет - попробуйте отключить шифрование (временно), т.е. в настройках интерфесов f0/1.166 и f4 скажите
no crypto map Nissan

и

no crypto map VerraMap

соответственно.

и сделайте тестовый звонок в обе стороны.

[Income]

если не трудно, то еще выводы sh ip route с обоих цисок.

А пока совет - попробуйте отключить шифрование (временно), т.е. в настройках интерфесов f0/1.166 и f4 скажите
no crypto map Nissan

и

no crypto map VerraMap

соответственно.

и сделайте тестовый звонок в обе стороны.

Вся сеть направляется без ограничений на один туннель. Так ответил одмин

[korneff]

Попробуйте все же отключить шифрование с обеих сторон и сделать тестовый звонок.
Есть у меня подозрение, что у вас крипто не совсем корректно работает.
Как вариант попробуйте добавить на обоих цисках команду

crypto map VerraMap local-address <интернет-интерфейс>

Еще у меня вызывает подозрения ваш crypto map. У вас в конфиге:

crypto map Nissan 10 ipsec-isakmp
set peer 10.100.0.13
set transform-set ESE
match address 103

По идее, там надо указывать внешний адрес интерфейса (тот самый, который <адрес Курган>).

Для примера, привожу вам кусок своих конфигов:

Первая циска:

crypto isakmp policy 1
authentication pre-share
crypto isakmp key 6 [dATiPMbB[EaRPbHbSYBMaNVfDJDXFLFOEaYAAB address 0.0.0.0 0.0.
0.0
!
!
crypto ipsec transform-set trans2 esp-des esp-md5-hmac
mode transport
!
crypto map vpnmap1 local-address GigabitEthernet0/0
crypto map vpnmap1 32 ipsec-isakmp
set peer xxx.xxx.xxx.xxx
set transform-set trans2
match address 2032

interface Tunnel32
bandwidth 2048
ip address 10.0.0.34 255.255.255.252
ip mtu 1400
tunnel source GigabitEthernet0/0
tunnel destination xxx.xxx.xxx.xxx

interface GigabitEthernet0/0
description Internet
ip address yyy.yyy.yyy.yyy 255.255.255.248
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
crypto map vpnmap1

access-list 2032 permit gre host yyy.yyy.yyy.yyy host xxx.xxx.xxx.xxx

Вторая циска

crypto isakmp policy 1
authentication pre-share
crypto isakmp key 6 IfCHVVVBbSgIX[T\EZVQa_PMXN]UaYc\^GFcAAB address 0.0.0.0 0.0.
0.0
!
!
crypto ipsec transform-set trans2 esp-des esp-md5-hmac
mode transport
!
crypto map vpnmap1 local-address FastEthernet0/0
crypto map vpnmap1 32 ipsec-isakmp
set peer yyy.yyy.yyy.yyy
set transform-set trans2
match address 2032

interface Tunnel32
bandwidth 2048
ip address 10.0.0.33 255.255.255.252
ip mtu 1400
tunnel source FastEthernet0/0
tunnel destination yyy.yyy.yyy.yyy

interface FastEthernet0/0
ip address xxx.xxx.xxx.xxx 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex full
speed 100
crypto map vpnmap1

access-list 2032 permit gre host xxx.xxx.xxx.xxx host yyy.yyy.yyy.yyy

Попробуйте сверить ваши настройки с моим примером. Повторюсь, у меня все работает.
Но проще всего установить виновато ли шифрование или нет - это отключить его и попробовать.

Если же после отключения шифрования проблема останется, то сделайте снифер-трейс с VoIP портов обоих станций и выложите сюда.

P.S. Передайте вашему cisco-админу, что есть такая волшебная команда

service password-encryption

которая позволяет скрывать в конфиге все пароли и ключи.

Удачи!

[Income]

Попробуйте все же отключить шифрование с обеих сторон и сделать тестовый звонок.
Есть у меня подозрение, что у вас крипто не совсем корректно работает.
Как вариант попробуйте добавить на обоих цисках команду

crypto map VerraMap local-address <интернет-интерфейс>

Еще у меня вызывает подозрения ваш crypto map. У вас в конфиге:

crypto map Nissan 10 ipsec-isakmp
set peer 10.100.0.13
set transform-set ESE
match address 103

По идее, там надо указывать внешний адрес интерфейса (тот самый, который <адрес Курган>).

Для примера, привожу вам кусок своих конфигов:

Первая циска:

crypto isakmp policy 1
authentication pre-share
crypto isakmp key 6 [dATiPMbB[EaRPbHbSYBMaNVfDJDXFLFOEaYAAB address 0.0.0.0 0.0.
0.0
!
!
crypto ipsec transform-set trans2 esp-des esp-md5-hmac
mode transport
!
crypto map vpnmap1 local-address GigabitEthernet0/0
crypto map vpnmap1 32 ipsec-isakmp
set peer xxx.xxx.xxx.xxx
set transform-set trans2
match address 2032

interface Tunnel32
bandwidth 2048
ip address 10.0.0.34 255.255.255.252
ip mtu 1400
tunnel source GigabitEthernet0/0
tunnel destination xxx.xxx.xxx.xxx

interface GigabitEthernet0/0
description Internet
ip address yyy.yyy.yyy.yyy 255.255.255.248
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
crypto map vpnmap1

access-list 2032 permit gre host yyy.yyy.yyy.yyy host xxx.xxx.xxx.xxx

Вторая циска

crypto isakmp policy 1
authentication pre-share
crypto isakmp key 6 IfCHVVVBbSgIX[T\EZVQa_PMXN]UaYc\^GFcAAB address 0.0.0.0 0.0.
0.0
!
!
crypto ipsec transform-set trans2 esp-des esp-md5-hmac
mode transport
!
crypto map vpnmap1 local-address FastEthernet0/0
crypto map vpnmap1 32 ipsec-isakmp
set peer yyy.yyy.yyy.yyy
set transform-set trans2
match address 2032

interface Tunnel32
bandwidth 2048
ip address 10.0.0.33 255.255.255.252
ip mtu 1400
tunnel source FastEthernet0/0
tunnel destination yyy.yyy.yyy.yyy

interface FastEthernet0/0
ip address xxx.xxx.xxx.xxx 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex full
speed 100
crypto map vpnmap1

access-list 2032 permit gre host xxx.xxx.xxx.xxx host yyy.yyy.yyy.yyy

Попробуйте сверить ваши настройки с моим примером. Повторюсь, у меня все работает.
Но проще всего установить виновато ли шифрование или нет - это отключить его и попробовать.

Если же после отключения шифрования проблема останется, то сделайте снифер-трейс с VoIP портов обоих станций и выложите сюда.

P.S. Передайте вашему cisco-админу, что есть такая волшебная команда

service password-encryption

которая позволяет скрывать в конфиге все пароли и ключи.

Удачи!

Шифрование отключали не катит

[korneff]

Сделайте снифер-трейс с обоих станций в которых были бы оба звонка (удачный и не удачный) и выложите сюда.

[Income]

Сделайте снифер-трейс с обоих станций в которых были бы оба звонка (удачный и не удачный) и выложите сюда.

Какой посоветуете? И как? Циску настроить на зеркалирование порта?