А есть тут специалисты по цискам?

[dil]

Имеется циска с единственным сетевым интерфейсом, которым она подключена к локальной сетке (с публичными адресами). Циска используется для туннелирования некоторого трафика через ipSec'овый VPN из этой сетки и в неё. gateway для выхода в интернеты в этой же сетке

Comments

[network1453]

TTL ? Как минимум то, что пришло со шлюза, будет иметь TTL больший, чем то что пришло с VPN.

UPD: Поддержу идею с зеркалированием нужного трафика на некий хост в локальной сети для последующего мониторинга.

[karpion]

Я подозреваю, что каждое VPN-соединение порождает свой виртуальный интерфейс.

Кроме того, VPN - это туннель. Т.е. каждый пакет, идущий через VPN, укладывается в обычный пакет, и этот обычный пакет уходит на гейт.

[dil]

Увы, в циске виртуальных интерфейсов нету. вот сейчас show crypto session показывает Session status: UP-ACTIVE, а show interfaces показывает те же самые три штуки, что и при отключённом VPN.

[karpion]

А список сессий можно посмотреть? Сколько VPN-соединений м.б. одновременно?

И что надо мониторить?

[dil]

Список сессий можно, конечно, show crypto session. Соединение максимум одно, но хитрость в том, что на той стороне VPNа IPшники публичные, и до них можно дойти по интернету без туннеля. Вот мне надо было проверить, что пакеты уходят именно через VPN, а не просто так.

[tzirechnoy]

debug crypto isakmp не хватит? Кстати, а что за цыска, их тут минимум три основных направления...

Ну и, можно, например, access-list тот жэ, что и в crypto map на debug ip повесить. Или Сделать таки Tunnel-интэрфейс, всё равно там небось реально tunnel используется.

[dil]

1921/K9.
access-list на debug ip вешать пробовал, но оно ж не показывает, приходят и уходят ли пакеты через VPN или просто так, в этом и проблема.

[dil]

В данном случае - просто видеть заголовки пакетов, ходящих через VPN, примерно как tcpdump без -v.

[dadv]

Зависит от модели цискороутера и версии IOS. Если циска не ископаемо древняя, то она может копить пакеты в циклическом буфере и выгружать этот буфер на [t]ftp-сервер в формате pcap, который показывают tcpdump и wireshark. Оба умеют декодировать IPSEC-трафик, если дать им ключи.

Детали в гугле, четвертая ссылка по запросу cisco tcpdump: http://www.routereflector.com/2013/05/embedded-packet-capture-tcpdump-on-cisco-ios-routers/

При написании ACL для захвата только тех пакетов, что несут трафик IPSEC, можно ориентироваться на тип трафика, обычно это будут пакеты ESP, AH, GRE или IPCOMP, в зависимости от настроек VPN, но уж точно не TCP. Может быть, UDP по порту 1701 в случае l2tp/ipsec.

[dil]

Увы, в той сетке нет ни одной машины, на которой можно было бы организовать [t]ftp. А ловить мне надо не IPSec'овые пакеты, а то, что у них внутри в незашифрованном виде, чтобы видеть, какие пакеты ходят через VPN.

[dadv]

На любую винду можно поставить tftpd.exe. И выливать можно необязательно на локальную машину.

Возможность удобно ловить пакеты внутри IPSEC, как уже упоминали тут, зависит от того, каким из нескольких возможных в цисках способов этот самый IPSEC настроен. Проще всего если создаются interface Tunnel, тогда описанный мной способ самый простой - можно экспортировать пакеты из этого самого Tunnel в незашифрованном виде.

[dil]

Нету в этой сетке ни винды, ни линукса, они все за железным NAT-роутером с жёстким файрволом спрятаны, поэтому выливать некуда..