forum.opennet.ru

Составление сообщения

Исходное сообщение

"IPSEC site-to-site (cisco and huawei)"
Отправлено DarK, 15-Дек-12 22:19

Всем Привет
Ну как Вы поняли по заголовку поднимаю туннель между cisco и huawei))
cisco2811------->Internet------>Huawei Eudemon100
конфиг 2811
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key abcde address 10.155.11.88
crypto isakmp aggressive-mode disable
!
!
crypto ipsec transform-set eudemon esp-3des esp-sha-hmac
!
crypto map eudemon 1 ipsec-isakmp
description to_Eudemon
set peer 10.155.11.88
set security-association lifetime kilobytes 28800
set transform-set eudemon
match address 123
interface FastEthernet0/0
description WAN
ip address 10.10.10.10 255.255.255.224
load-interval 30
duplex auto
speed auto
crypto map eudemon
interface Loopback1
desc LAN
ip address 192.168.2.10 255.255.255.255
ip route 0.0.0.0 0.0.0.0 10.10.10.1
ip route 192.168.1.0 255.255.255.0 10.155.11.88
access-list 123 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 123 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Eudemon config
ike proposal 1
encryption-algorithm 3des-cbc
dh group2
#
ike peer b
pre-shared-key abcde
ike-proposal 1
remote-address 10.10.10.10
#
ipsec proposal peer
esp authentication-algorithm sha1
esp encryption-algorithm 3des
#
ipsec policy test 1 isakmp
security acl 3001
  ike-peer b
proposal peer
sa duration traffic-based 28800
#
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
#
interface Ethernet1/0
ip address 10.155.11.88 255.255.255.240
ipsec policy test
#
interface NULL0
#
acl number 3001
description Ipsec
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 15 deny ip
acl number 3005
rule 10 permit ip
#
firewall zone local
set priority 100
#
firewall zone trust
add interface Ethernet0/0
set priority 85
#
firewall zone untrust
add interface Ethernet1/0
set priority 5
#
firewall zone dmz
set priority 50
#
firewall interzone local trust
packet-filter 3005 inbound
packet-filter 3005 outbound
session log enable
#
firewall interzone local untrust
packet-filter 3005 inbound
packet-filter 3005 outbound

ip route-static 10.10.10.10 255.255.255.255 10.155.11.81
  ip route-static 192.168.2.0 255.255.255.255 10.155.11.81
туннель поднимается, проблема в том что когда пингую с 192.168.1.10 сторону 192.168.2.10
пакеты не проходят через туннель, хотя acl 3001 специально служит для того чтобы какой трафик направлять через туннель
ставлю снифер на выходе юдемона пакеты source192.168.1.10 dest 192.168.2.10 идут без шифрования т.е. простая маршрутизация.
Где что не так есть ли тут кто знаком с Huawei-ом ????

Исходное сообщение
"IPSEC site-to-site (cisco and huawei)" Отправлено DarK, 15-Дек-12 22:19
Всем Привет Ну как Вы поняли по заголовку поднимаю туннель между cisco и huawei)) cisco2811------->Internet------>Huawei Eudemon100 конфиг 2811 crypto isakmp policy 10 encr 3des authentication pre-share group 2 crypto isakmp key abcde address 10.155.11.88 crypto isakmp aggressive-mode disable ! ! crypto ipsec transform-set eudemon esp-3des esp-sha-hmac ! crypto map eudemon 1 ipsec-isakmp description to_Eudemon set peer 10.155.11.88 set security-association lifetime kilobytes 28800 set transform-set eudemon match address 123 interface FastEthernet0/0 description WAN ip address 10.10.10.10 255.255.255.224 load-interval 30 duplex auto speed auto crypto map eudemon interface Loopback1 desc LAN ip address 192.168.2.10 255.255.255.255 ip route 0.0.0.0 0.0.0.0 10.10.10.1 ip route 192.168.1.0 255.255.255.0 10.155.11.88 access-list 123 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 123 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 Eudemon config ike proposal 1 encryption-algorithm 3des-cbc dh group2 # ike peer b pre-shared-key abcde ike-proposal 1 remote-address 10.10.10.10 # ipsec proposal peer esp authentication-algorithm sha1 esp encryption-algorithm 3des # ipsec policy test 1 isakmp security acl 3001 ike-peer b proposal peer sa duration traffic-based 28800 # interface Ethernet0/0 ip address 192.168.1.1 255.255.255.0 # interface Ethernet1/0 ip address 10.155.11.88 255.255.255.240 ipsec policy test # interface NULL0 # acl number 3001 description Ipsec rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 15 deny ip acl number 3005 rule 10 permit ip # firewall zone local set priority 100 # firewall zone trust add interface Ethernet0/0 set priority 85 # firewall zone untrust add interface Ethernet1/0 set priority 5 # firewall zone dmz set priority 50 # firewall interzone local trust packet-filter 3005 inbound packet-filter 3005 outbound session log enable # firewall interzone local untrust packet-filter 3005 inbound packet-filter 3005 outbound ip route-static 10.10.10.10 255.255.255.255 10.155.11.81 ip route-static 192.168.2.0 255.255.255.255 10.155.11.81 туннель поднимается, проблема в том что когда пингую с 192.168.1.10 сторону 192.168.2.10 пакеты не проходят через туннель, хотя acl 3001 специально служит для того чтобы какой трафик направлять через туннель ставлю снифер на выходе юдемона пакеты source192.168.1.10 dest 192.168.2.10 идут без шифрования т.е. простая маршрутизация. Где что не так есть ли тут кто знаком с Huawei-ом ????

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Всем Привет 
> Ну как Вы поняли по заголовку поднимаю туннель между cisco и huawei))

> cisco2811------->Internet------>Huawei Eudemon100

> конфиг 2811 
> crypto isakmp policy 10 
>  encr 3des 
>  authentication pre-share 
>  group 2 
> crypto isakmp key abcde address 10.155.11.88 
> crypto isakmp aggressive-mode disable 
> !
> !
> crypto ipsec transform-set eudemon esp-3des esp-sha-hmac 
> !
> crypto map eudemon 1 ipsec-isakmp 
>  description to_Eudemon 
>  set peer 10.155.11.88 
>  set security-association lifetime kilobytes 28800 
>  set transform-set eudemon 
>  match address 123

> interface FastEthernet0/0 
>  description WAN 
>  ip address 10.10.10.10 255.255.255.224 
>  load-interval 30 
>  duplex auto 
>  speed auto 
>  crypto map eudemon

> interface Loopback1 
> desc LAN 
>  ip address 192.168.2.10 255.255.255.255

> ip route 0.0.0.0 0.0.0.0 10.10.10.1

> ip route 192.168.1.0 255.255.255.0 10.155.11.88

> access-list 123 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 
> access-list 123 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

> Eudemon config

> ike proposal 1 
>  encryption-algorithm 3des-cbc 
>  dh group2 
> # 
> ike peer b 
>  pre-shared-key abcde 
>  ike-proposal 1 
>  remote-address 10.10.10.10 
> # 
> ipsec proposal peer 
>  esp authentication-algorithm sha1 
>  esp encryption-algorithm 3des 
> # 
> ipsec policy test 1 isakmp 
>  security acl 3001 
>   ike-peer b 
>  proposal peer 
>  sa duration traffic-based 28800

> # 
> interface Ethernet0/0 
>  ip address 192.168.1.1 255.255.255.0 
> # 
> interface Ethernet1/0 
>  ip address 10.155.11.88 255.255.255.240 
>  ipsec policy test 
> # 
> interface NULL0 
> # 
> acl number 3001 
>  description Ipsec 
>  rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 
>  rule 15 deny ip 
> acl number 3005 
>  rule 10 permit ip 
> # 
> firewall zone local 
>  set priority 100 
> # 
> firewall zone trust 
>  add interface Ethernet0/0 
>  set priority 85 
> # 
> firewall zone untrust 
>  add interface Ethernet1/0 
>  set priority 5 
> # 
> firewall zone dmz 
>  set priority 50 
> # 
> firewall interzone local trust 
>  packet-filter 3005 inbound 
>  packet-filter 3005 outbound 
>  session log enable 
> # 
> firewall interzone local untrust 
>  packet-filter 3005 inbound 
>  packet-filter 3005 outbound

>  ip route-static 10.10.10.10 255.255.255.255 10.155.11.81 
>   ip route-static 192.168.2.0 255.255.255.255 10.155.11.81 
> туннель поднимается, проблема в том что когда пингую с 192.168.1.10 сторону 192.168.2.10 
 
> пакеты не проходят через туннель, хотя acl 3001 специально служит для того 
> чтобы какой трафик направлять через туннель 
> ставлю снифер на выходе юдемона пакеты source192.168.1.10 dest 192.168.2.10 идут без шифрования 
> т.е. простая маршрутизация.
> Где что не так есть ли тут кто знаком с Huawei-ом ????

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру