The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"ipsec troubleshooting"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"ipsec troubleshooting"  +/
Сообщение от bekzod email on 10-Авг-12, 02:15 
привет знатокам , помогите советом люди добрые ;)- сделал тестовый стенд с ipsec  vpn   который потом надо переместить реальному клиенту: voice  vlan <-> router  cisco  881< - >router  cisco  881<->vocie  vlan .  оба voice  vlana  из разных сеток соответственно, wan  интерфейсы "как бы  подключены через интернет" на самом деле просто соединены др с др . . поставил 2 компа в эти voice  vlana  друг друга пингуют, но команды show crypto isakmp sa
      show crypto ipsec sa
      show crypto engine connection active
      debug crypto isakmp
      debug crypto ipsec  
ничего не показывают :( ..  это значит vpn  не поднят ?  чtо интересно с рутера делаю пинг на удаленный комп пинг не проходит даже при указаны source  vlan  20 (voice ) а компы друг друга видят ...  
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "ipsec troubleshooting"  +/
Сообщение от eek email on 10-Авг-12, 07:50 
Схема такая.

1) Ставите две железки и два компа за ними, и добиваетесь чтобы просто ходил трафик (количество железок в цепочки значения не имеет, но для лучшего понимания механизмов работы лучше чтобы железок было 3).Как заставите траффик ходить между компьютерами (через вашу "сеть"). Начинайте заморачиваться с поднятием тунеля.

2)  Проще всего для понимания делать gre over ipsec. Т.е. сначала поднимаете гре тунель и добиваетесь чтобы трафик ходил через него. Как заработает тунель можно его прикрыть ipsec'ом.

3) Поднимаете криптомапы и добиваетесь чтобы заработал ipsec. Проверка очень простая заворачиваете трафик на wireshark и смотрите какие идут пакеты. (должны идти не gre, а esp пакеты). На это все.

О том какие команды и куда вводить читайте в конфиг гайде на вашу железку. Если только начали заниматься, то рекомендую начать с ICND 1&2 ну и далее по списку, в вашем случае CCNA Security еще нужно посмотреть.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ipsec troubleshooting"  +/
Сообщение от bekzod email on 10-Авг-12, 16:33 
>[оверквотинг удален]
> 2)  Проще всего для понимания делать gre over ipsec. Т.е. сначала
> поднимаете гре тунель и добиваетесь чтобы трафик ходил через него. Как
> заработает тунель можно его прикрыть ipsec'ом.
> 3) Поднимаете криптомапы и добиваетесь чтобы заработал ipsec. Проверка очень простая заворачиваете
> трафик на wireshark и смотрите какие идут пакеты. (должны идти не
> gre, а esp пакеты). На это все.
> О том какие команды и куда вводить читайте в конфиг гайде на
> вашу железку. Если только начали заниматься, то рекомендую начать с ICND
> 1&2 ну и далее по списку, в вашем случае CCNA Security
> еще нужно посмотреть.

Spasibo za otvet, no mne kajetsa vi ne prochitali vnimatelno. Traffic uje hodit. Prosto ne uveren cto chefez ipsec idet ved ruteri pramo connected.

A

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру