- Subscribe to RSS Feed
- Mark Topic as New
- Mark Topic as Read
- Float this Topic for Current User
- Bookmark
- Subscribe
- Printer Friendly Page
Ruta estática incorrecta al añadir controladora a Mobility Master a través de VPNC
Ruta estática incorrecta al añadir controladora a Mobility Master a través de VPNC
2 weeks ago - last edited 2 weeks ago
Saludos a todos.
Nos estamos encontrando el siguiente problema al dar de alta controladoras en un Mobility Master (MM) a través de un VPNC.
El VPNC envía una ruta estática incorrecta al MM para que pueda alcanzar las controladoras remotas.
El VPNC se encuentra conectado directamente al MM, al hacer un “show ip route” en el MM, se ve que crea la siguiente ruta para llegar al VPNC:
C 192.168.XXX.XXX/32 is an ipsec map default-local-master-ipsecmap192.168.XXX.XXX <-- IP de VPNC
El MM comunica y administra las configuraciones del VPNC.
Cuando conectamos una controladora remota a nuestro VPNC al hacer un “show ip route” se ve que crea la siguiente ruta para llegar a la controladora remota:
C 192.169.XXX.XXX/32 is an ipsec map default-local-master-ipsecmap-20:4c:03:XX:XX:XX <-- Mac de controladora remota
Y en el MM se crea la siguiente ruta estática para llegar a la controladora remota:
C 192.169.XXX.XXX/32 is an ipsec map default-local-master-ipsecmap-20:4c:03:YY:YY:YY <-- Mac de VPNC
Llegados a este punto el MM no es capaz de llegar a nuestra controladora remota y tenemos que crear la siguiente ruta estática para que sea capaz de alcanzarlo:
C 192.169.XXX.XXX/32 is an ipsec map default-local-master-ipsecmap192.168.XXX.XXX <-- IP de VPNC
¿Es este el comportamiento normal o estamos configurando algo de forma incorrecta en nuestro VPNC?
Muchas gracias y saludos
- Mark as New
- Bookmark
- Subscribe
- Subscribe to RSS Feed
- Permalink
- Email to a Friend
- Alert a Moderator
Re: Ruta estática incorrecta al añadir controladora a Mobility Master a través de VPNC
Re: Ruta estática incorrecta al añadir controladora a Mobility Master a través de VPNC
2 weeks ago
Habría que revisar bien el escenario, pero:
¿Estás publicando correctamente la vlan de la branch que contiene el Controller-IP hacia VPNC para que sea accesible? Esto es lo que debería estar en las Branchs:
crypto-local isakmp route ipsec default-vpnip-local-ipsecmap vlan <vlan-id>
Por otro lado, ¿tiene rutas las branch para llegar bien hacia las rutas del CPD?
ip route x.x.x.x. 255.255.255.0 ipsec default-vpnip-local-ipsecmap
Por tus mensajes, revisaría que el MM / VPNC tienen las rutas para llegar a la branch, y además revisará las rutas al contrario, para que el tráfico sepa volver.
Rafael del Cerro Flores
ACMP, ACCP, ACDX#324, ACCX#711
- Mark as New
- Bookmark
- Subscribe
- Subscribe to RSS Feed
- Permalink
- Email to a Friend
- Alert a Moderator
Re: Ruta estática incorrecta al añadir controladora a Mobility Master a través de VPNC
Re: Ruta estática incorrecta al añadir controladora a Mobility Master a través de VPNC
Tuesday
Buenas de nuevo.
Respecto a la consulta realizada, al inicio del post, la solución nos obligaba a crear una ruta estática en el MM para poder alcanzar la controladora remota, provisionando el VPNC mediante IP/PSK.
Finalmente, y después de revisar configuraciones, hemos visto que para evitar configurar la ruta manualmente la solución pasa por provisionar el VPNC mediante MAC/PSK.
Os comentamos las configuraciones que hemos realizado por si le puede servir a alguien y sobre todo por confirmar que es la configuración más óptima, y abrir el dialogo de en qué entornos aplicaría mejor una configuración u otra.
Configuración inicial:
Se provisiona un VPNC en el MM mediante IP/PSK, el MM crea un túnel contra el VPNC denominándolo con el siguiente nombre:
default-local-master-ipsecmap(IP VPNC)
De esta manera vemos la siguiente ruta:
(IP VPNC)/32 is an ipsec map default-local-master-ipsecmap(IP VPNC)
Al conectar un MD mediante MAC/PSK al VPNC, en la tabla de rutas del MM aparece la siguiente ruta:
(IP MD) /32 is an ipsec map default-local-master-ipsecmap(MAC VPNC)
Con esta ruta el MD no es alcanzable, y nos obliga a crear una ruta estática, para que el MM sea capaz de alcanzar el MD.
(IP MD)/32 is an ipsec map default-local-master-ipsecmap(IP VPNC)
Configuración final:
Se provisiona un VPNC en el MM mediante MAC/PSK, el MM crea un túnel contra el VPNC denominándolo con el siguiente nombre:
default-local-master-ipsecmap(MAC VPNC)
De esta manera vemos la siguiente ruta:
(IP VPNC)/32 is an ipsec map default-local-master-ipsecmap(MAC VPNC)
Al conectar un MD mediante MAC/PSK al VPNC, en la tabla de rutas del MM aparece la siguiente ruta:
(IP MD) /32 is an ipsec map default-local-master-ipsecmap(MAC VPNC)
Con esta ruta el MD es alcanzable, y no nos vemos obligados a crear una ruta estática, para que el MM sea capaz de alcanzar el MD.
Saludos
- Mark as New
- Bookmark
- Subscribe
- Subscribe to RSS Feed
- Permalink
- Email to a Friend
- Alert a Moderator