今日のはまりどころは、DMVPN。
直接これにはまったわけじゃないんですが、DMVPNでloopbackを流しているような状態で、その後TACACS+で認証のところの検証をしているところで、TACACS+のソースを同じloopbackにしたのが敗因でした。。
VPNの基本的なルーティングは、L2Lならcrypto ACLで両端で対称となるように設定、Remote Accessなら、clientではserverに対してdefault routeが自動的に設定、そしてDMVPNでは各ルータでのルーティングテーブルに従って、tunnelに向けていく、といった感じになります。
で、今日の場合は行きは普通に、帰りはIPsecトンネル通って、といった感じになってしまったためエラーになっていたんですが、なかなかそれに気づかず。。
まずは、TACACS+のデバッグから始まって、TCP resetがとんで切れてることが判明。
丁度そのまえにIPSでTCP resetの設定とかも入れたりしてたので、これが原因?と疑うも、そこは白。
ここでWiresharkでキャプチャもしてたんですが・・。
これがまた、TCPを疑ってTCPでフィルタしていたので、戻りのESPが表示されてない状態になっちゃってました。。なので、余計「どこでTCP syn ackが落ちてるんだ??」みたいな感じになり。
結局2時間以上悩んで、ようやくDMVPNの存在に気がついたしだいです。
まあ、普通にWorkbookそのままでやれてればこんな事態には遭遇しないんでしょうが、ちょっとルータをけちって、いろいろやってるとこんなことにもぶちあたったりします。
そんな一日。
コメントする