надо настроить VPN между кисками!
дайте пожалуйста ссылки на доки или реальный конфиг
у меня cisco 1760 на обеих концах, PPPoE соединяет их
>надо настроить VPN между кисками!
>дайте пожалуйста ссылки на доки или реальный конфиг
>у меня cisco 1760 на обеих концах, PPPoE соединяет их
в поиск по архиву конфы
ссылок и конфигов тьма-тьмущая
>надо настроить VPN между кисками!
>дайте пожалуйста ссылки на доки или реальный конфиг
>у меня cisco 1760 на обеих концах, PPPoE соединяет их
Тут почитай http://faq-cisco.ru/page.php?id=3
>>надо настроить VPN между кисками!
>>дайте пожалуйста ссылки на доки или реальный конфиг
>>у меня cisco 1760 на обеих концах, PPPoE соединяет их
>
>
>Тут почитай http://faq-cisco.ru/page.php?id=3
конфиг сделал таким же как и там описано. пинги идут
но есть одно но, когда я отключаю crypto map на интрефейсах то пинги все равно идут, т.е. cryptomap-ы не идут!
в чем трабла?1 маршрутизатор 192.168.100.1 (внешний ip), 10.10.10.10 (тунельный), 192.168.111.1(интерфейс внутр сети)
2 маршрутизатор 192.168.100.2 (внешний ip), 10.10.10.20 (тунельный), 192.168.222.1(интерфейс внутр сети)
так вот пинги от 192.168.111.2 (машина с 1-ой лок сети) идут на 192.168.222.2(машина с 1-ой лок сети) даже когда я убираю crypto map с интерфейсов!
вот конфиги (на другом конце аналогично, кроме ip ):
!
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname vpn_client
!
enable secret 5 $1$V002$ob3Gy2dbs.ykvXyn4VAKg0
!
username vty password 0 vty
ip subnet-zero
!
no ip domain lookup
!
!
voice call carrier capacity active
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key tunnel_kafc address 192.168.10.1
!
!
crypto ipsec transform-set VPN esp-des esp-md5-hmac
mode transport
!
crypto map kafc_vpn 10 ipsec-isakmp
set peer 192.168.10.1
set transform-set VPN
match address 102
!
!
interface Tunnel0
ip address 10.10.10.20 255.255.255.0
tunnel source FastEthernet0/0
tunnel destination 192.168.100.1
crypto map kafc_vpn
!
interface FastEthernet0/0
ip address 192.168.222.1 255.255.255.0 secondary
ip address 192.168.100.2 255.255.255.0
speed auto
crypto map kafc_vpn
!
ip classless
ip route 192.168.111.0 255.255.255.0 10.10.10.10
no ip http server
!
access-list 102 permit gre 192.168.222.0 0.0.0.255 192.168.111.0 0.0.0.255
!
call rsvp-sync
!
dial-peer cor custom
!
end
>>>надо настроить VPN между кисками!
>>>дайте пожалуйста ссылки на доки или реальный конфиг
>>>у меня cisco 1760 на обеих концах, PPPoE соединяет их
>>
>>
>>Тут почитай http://faq-cisco.ru/page.php?id=3
>
>
>конфиг сделал таким же как и там описано. пинги идут
>но есть одно но, когда я отключаю crypto map на интрефейсах то
>пинги все равно идут, т.е. cryptomap-ы не идут!
>в чем трабла?Почитай комментарии к статье http://faq-cisco.ru/comments.php?id=p3
И ещё ip route 192.168.111.0 255.255.255.0 10.10.10.10 - ping будет
Глянь sh crypto isakmp sa
>Почитай комментарии к статье http://faq-cisco.ru/comments.php?id=p3я их читал и так и сделал
>И ещё ip route 192.168.111.0 255.255.255.0 10.10.10.10 - ping будет
да понял все правильно :)>Глянь sh crypto isakmp sa
vpn_client#sh crypto isakmp sa
dst src state conn-id slot
192.168.100.2 192.168.100.1 QM_IDLE 4 0
а как теперь проверить шифруются ли пакеты?
>>Почитай комментарии к статье http://faq-cisco.ru/comments.php?id=p3
>
>я их читал и так и сделал
>
>>И ещё ip route 192.168.111.0 255.255.255.0 10.10.10.10 - ping будет
>да понял все правильно :)
>
>>Глянь sh crypto isakmp sa
>
>vpn_client#sh crypto isakmp sa
>dst
> src
> state
> conn-id slot
>192.168.100.2 192.168.100.1 QM_IDLE
> 4
> 0
>
>
>а как теперь проверить шифруются ли пакеты?
sh crypto session detail
>>>Почитай комментарии к статье http://faq-cisco.ru/comments.php?id=p3
>>
>>я их читал и так и сделал
>>
>>>И ещё ip route 192.168.111.0 255.255.255.0 10.10.10.10 - ping будет
>>да понял все правильно :)
>>
>>>Глянь sh crypto isakmp sa
>>
>>vpn_client#sh crypto isakmp sa
>>dst
>> src
>> state
>> conn-id slot
>>192.168.100.2 192.168.100.1 QM_IDLE
>> 4
>> 0
>>
>>
>>а как теперь проверить шифруются ли пакеты?
>
>
>sh crypto session detailнету sessiona у меня :(((
sh crypto ipsec sa
interface: Tunnel0
Crypto map tag: kafc_vpn, local addr. 192.168.100.1local ident (addr/mask/prot/port): (192.168.111.0/255.255.255.0/47/0)
remote ident (addr/mask/prot/port): (192.168.222.0/255.255.255.0/47/0)
current_peer: 192.168.100.2
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0local crypto endpt.: 192.168.100.1, remote crypto endpt.: 192.168.100.2
path mtu 1500, media mtu 1500
current outbound spi: 0inbound esp sas:
inbound ah sas:
inbound pcp sas:
outbound esp sas:
outbound ah sas:
outbound pcp sas:
насколько я понимаю пакеты шифруются только те, которые попадают под правило в access-list !
видимо я немного не так раписал его?
>насколько я понимаю пакеты шифруются только те, которые попадают под правило в
>access-list !
>видимо я немного не так раписал его?Видимо.
access-list 102 permit gre host 192.168.100.2 host 192.168.100.1
>>насколько я понимаю пакеты шифруются только те, которые попадают под правило в
>>access-list !
>>видимо я немного не так раписал его?
>
>Видимо.
>access-list 102 permit gre host 192.168.100.2 host 192.168.100.1
да да я это уже сделал все хорошо работает, спасибо :)еще у меня вопрос - если на на другом конце я буду использовать BSD я могу обойтись виртуальным туннельным интерфейсом или надо использовать обязательно физический?