https://www.opennet.ru/openforum/vsluhforumID6/1308.html Господа-товарищи, нужна помощь по маршрутизации в IPSEC!<br>Не решу - в отпуск не отпустят))<br>Дано: Cisco 2911 universalk9-mz (офис) и Cisco 881 universalk9-mz (филиал), соединенные по IPSEC через трубу езернета, любезно предоставленную Пчелайном. В криптомапах прописал трафик для IPSEC, но определенно косячу с ACL, ибо из филиала доступ в подсеть офиса есть, а вот за филиальную цыску нема. В цысках я серая посредственность, роялями прошу не кидаться. Очень прошу помочь<br> https://www.opennet.ru/openforum/vsluhforumID6/1308.html#9 Tue, 15 Apr 2014 03:15:27 GMT &gt;&gt; Все оказалось гораздо проще - убрал на хосте за VLANом базы брандмауэр, <br>&gt;&gt; и все заработало.<br>&gt;&gt; Теперь другой вопрос... Как туда интернет зарулить? На Cisco 881 сделал так: <br>&gt; Советую сделать линк не криптомапами, а поднять тунельный интерфейс с инкапсуляцией ipsec <br>&gt; ipv4.<br>&gt; Это даст во первых более простой и прозрачный конфиг, во вторых можно <br>&gt; сделать динамическую маршрутизацию, в третьих резервирование канала через интернет или <br>&gt; IPVPN от другого оператора, а также проще мониторить. В плане производительности <br>&gt; ничего не потеряешь, работать будет все тот-же криптодвижок.<br><br>Да, теперь механизм стал гораздо более понятен, можно оптимизировать. Спасибо всем за советы :)<br> https://www.opennet.ru/openforum/vsluhforumID6/1308.html#8 Mon, 14 Apr 2014 12:54:03 GMT &gt; Все оказалось гораздо проще - убрал на хосте за VLANом базы брандмауэр, <br>&gt; и все заработало.<br>&gt; Теперь другой вопрос... Как туда интернет зарулить? На Cisco 881 сделал так: <br><br>Советую сделать линк не криптомапами, а поднять тунельный интерфейс с инкапсуляцией ipsec ipv4.<br>Это даст во первых более простой и прозрачный конфиг, во вторых можно сделать динамическую маршрутизацию, в третьих резервирование канала через интернет или IPVPN от другого оператора, а также проще мониторить. В плане производительности ничего не потеряешь, работать будет все тот-же криптодвижок.<br> https://www.opennet.ru/openforum/vsluhforumID6/1308.html#7 Mon, 14 Apr 2014 12:42:03 GMT &gt;[оверквотинг удален]<br>&gt;&gt; перестанет работать - проверяйте правила файрвола.<br>&gt; Все оказалось гораздо проще - убрал на хосте за VLANом базы брандмауэр, <br>&gt; и все заработало.<br>&gt; Теперь другой вопрос... Как туда интернет зарулить? На Cisco 881 сделал так: <br>&gt; ip nat inside source list NAT interface FastEthernet4 overload <br>&gt; ip access-list extended NAT <br>&gt; deny ip 192.168.13.0 0.0.0.255 192.168.12.0 0.0.0.255 <br>&gt; permit ip 192.168.13.0 0.0.0.255 any <br>&gt; И, соответственно, инсайд/аутсайд на интерфейсы VLAN/Fastethernet4. А как сделать на Cisco <br>&gt; 2911, которая в офисе?<br><br>Так-же. Outside - Dialer. Inside - остальные которые с которых будет приходить трафик который нужно будет натить. <br> https://www.opennet.ru/openforum/vsluhforumID6/1308.html#6 Mon, 14 Apr 2014 06:58:25 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; transport input ssh <br>&gt;&gt; Это? В шаблоне настройки было так.<br>&gt;&gt; Говорю же - посредственность. Раньше не имел с Cisco никакого дела.<br>&gt; sh crypto isakmp sa <br>&gt; sh crypto ipsec sa <br>&gt; с обоих сторон? Хотя там все должно быть в порядке.<br>&gt; Уберите на внутренних и внешних интерфейсах с обоих сторон ip inspect FW <br>&gt; in <br>&gt; Поможет - возвращайте по одному и смотрите когда перестанет работать. Как только <br>&gt; перестанет работать - проверяйте правила файрвола.<br><br>Все оказалось гораздо проще - убрал на хосте за VLANом базы брандмауэр, и все заработало.<br>Теперь другой вопрос... Как туда интернет зарулить? На Cisco 881 сделал так:<br><br>ip nat inside source list NAT interface FastEthernet4 overload<br>ip access-list extended NAT<br> deny ip 192.168.13.0 0.0.0.255 192.168.12.0 0.0.0.255<br> permit ip 192.168.13.0 0.0.0.255 any<br>И, соответственно, инсайд/аутсайд на интерфейсы VLAN/Fastethernet4. А как сделать на Cisco 2911, которая в офисе?<br> https://www.opennet.ru/openforum/vsluhforumID6/1308.html#5 Fri, 11 Apr 2014 15:56:03 GMT &gt;&gt; line con 0 <br>&gt;&gt; line aux 0 <br>&gt;&gt; line vty 0 4 <br>&gt;&gt; privilege level 15 <br>&gt;&gt; login local <br>&gt;&gt; transport input ssh <br>&gt; Это? В шаблоне настройки было так.<br>&gt; Говорю же - посредственность. Раньше не имел с Cisco никакого дела.<br><br>sh crypto isakmp sa<br>sh crypto ipsec sa<br><br>с обоих сторон? Хотя там все должно быть в порядке.<br>Уберите на внутренних и внешних интерфейсах с обоих сторон ip inspect FW in <br>Поможет - возвращайте по одному и смотрите когда перестанет работать. Как только перестанет работать - проверяйте правила файрвола.<br> https://www.opennet.ru/openforum/vsluhforumID6/1308.html#4 Fri, 11 Apr 2014 07:02:52 GMT &gt; line con 0 <br>&gt; line aux 0 <br>&gt; line vty 0 4 <br>&gt; privilege level 15 <br>&gt; login local <br>&gt; transport input ssh <br><br>Это? В шаблоне настройки было так.<br><br>Говорю же - посредственность. Раньше не имел с Cisco никакого дела.<br> https://www.opennet.ru/openforum/vsluhforumID6/1308.html#3 Fri, 11 Apr 2014 06:50:41 GMT &gt;[оверквотинг удален]<br>&gt; ip address 1.1.1.2 255.255.255.0 <br>&gt; ip inspect FW in <br>&gt; ip virtual-reassembly in <br>&gt; duplex auto <br>&gt; speed auto <br>&gt; crypto map MAIN <br>&gt; !<br>&gt; interface Vlan1 <br>&gt; ip address 192.168.13.254 255.255.255.0 <br>&gt; ip nat inside <br><br>это зачем?<br>&gt;[оверквотинг удален]<br>&gt; !<br>&gt; line con 0 <br>&gt; line aux 0 <br>&gt; line vty 0 4 <br>&gt; privilege level 15 <br>&gt; login local <br>&gt; transport input ssh <br>&gt; !<br>&gt; end <br>&gt; Как то так...<br><br> https://www.opennet.ru/openforum/vsluhforumID6/1308.html#2 Fri, 11 Apr 2014 06:17:54 GMT Cisco 2911 (офис)<br><br>gnxrouter#sh ver<br>Cisco IOS Software, C2900 Software (C2900-UNIVERSALK9-M), Version 15.1(4)M4, RELEASE SOFTWARE (fc1)<br>Technical Support: http://www.cisco.com/techsupport<br>Copyright (c) 1986-2012 by Cisco Systems, Inc.<br>Compiled Tue 20-Mar-12 18:57 by prod_rel_team<br><br>ROM: System Bootstrap, Version 15.0(1r)M15, RELEASE SOFTWARE (fc1)<br><br>gnxrouter uptime is 3 days, 15 hours, 48 minutes<br>System returned to ROM by reload at 14:10:33 UTC Mon Apr 7 2014<br>System restarted at 14:12:05 UTC Mon Apr 7 2014<br>System image file is "flash:c2900-universalk9-mz.SPA.151-4.M4.bin"<br>Last reload type: Normal Reload<br>Last reload reason: Reload Command<br><br><br><br>This product contains cryptographic features and is subject to United<br>States and local country laws governing import, export, transfer and<br>use. Delivery of Cisco cryptographic products does not imply<br>third-party authority to import, export, distribute or use encryption.<br>Importers, exporters, distributors and users are responsible for<br>compliance with https://www.opennet.ru/openforum/vsluhforumID6/1308.html#1 Fri, 11 Apr 2014 05:50:40 GMT &gt; Господа-товарищи, нужна помощь по маршрутизации в IPSEC!<br>&gt; Не решу - в отпуск не отпустят)) <br>&gt; Дано: Cisco 2911 universalk9-mz (офис) и Cisco 881 universalk9-mz (филиал), соединенные <br>&gt; по IPSEC через трубу езернета, любезно предоставленную Пчелайном. В криптомапах прописал <br>&gt; трафик для IPSEC, но определенно косячу с ACL, ибо из филиала <br>&gt; доступ в подсеть офиса есть, а вот за филиальную цыску нема. <br>&gt; В цысках я серая посредственность, роялями прошу не кидаться. Очень прошу <br>&gt; помочь <br><br>Чую, без конфигов, sh ver и sh license feature вопрос бесполезен.<br>