OpenForum RSS: VPN Tunnel между Cisco 878 и Juniper SRX https://www.opennet.ru/openforum/vsluhforumID6/22215.html Существует Cisco 878 и Juniper SRX3600. Есть задача создать между ними VPN тунель. <br>Cisco Trusted интерфейс 192.168.1.20 <br>Cisco Untrusted интерфейс 10.0.0.1<br><br>Juniper SRX Trusted интерфейс 192.168.103.20 <br>Juniper SRX Untrusted интерфейс 192.168.103.20 <br><br>Помогите с конфигом !!!!<br>СПАСИБО<br> Между Cisco 2951 и SRX100h работает (Сталкер) https://www.opennet.ru/openforum/vsluhforumID6/22215.html#21 Wed, 06 Jul 2011 13:07:01 GMT Сделал точно по ссылке указанной выше (http://www.marfitsin.ru/index.php/articles/11-vpn/12-ciscojunipervpn) - всё работает.<br> а ключи точно одинаковые? (armanman) https://www.opennet.ru/openforum/vsluhforumID6/22215.html#20 Thu, 10 Feb 2011 08:09:26 GMT Новое что происходит<br>на циске<br><br>INternet#sh crypto isakmp sa<br>IPv4 Crypto ISAKMP SA<br>dst src state conn-id status<br>10.0.0.2 10.0.0.1 QM_IDLE 1014 ACTIVE<br><br>И тунель поднялся Tunnel72<br><br>На циске время от времени выдается сообщение<br><br>%CRYPTO-4-RECVD_PKT_MAC_ERR: decrypt: mac verify failed for connection id=2061 local=10.0.0.1 remote=10.0.0.2 spi=64EC2E41 seqno=000000F2<br><br>Какие нибудь идеи?<br> а ключи точно одинаковые? (armanman) https://www.opennet.ru/openforum/vsluhforumID6/22215.html#19 Tue, 08 Feb 2011 13:21:17 GMT Вот снова дебаг<br><br><br>ISAKMP (0): received packet from 10.0.0.2 dport 500 sport 500 Global (N) NEW SA<br>ISAKMP: Created a peer struct for 10.0.0.2, peer port 500<br>ISAKMP: New peer created peer = 0x30D2B87C peer_handle = 0x80000160<br>ISAKMP: Locking peer struct 0x30D2B87C, refcount 1 for crypto_isakmp_process_block<br>ISAKMP: local port 500, remote port 500<br>ISAKMP:(0):insert sa successfully sa = 311DF510<br>ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH<br>ISAKMP:(0):Old State = IKE_READY New State = IKE_R_MM1 <br><br>INternet#ping <br>ISAKMP:(0): processing SA payload. message ID = 0<br>ISAKMP:(0): processing vendor id payload<br>ISAKMP:(0): vendor ID is DPD<br>ISAKMP:(0): processing vendor id payload<br>ISAKMP:(0): vendor ID seems Unity/DPD but major 201 mismatch<br>ISAKMP:(0): processing vendor id payload<br>ISAKMP:(0): vendor ID seems Unity/DPD but major 192 mismatch<br>ISAKMP:(0): processing vendor id payload<br>ISAKMP:(0): vendor ID seems Unity/DPD but major 174 mismatch<br>ISAKMP:(0): processing vendor id payload<br>ISAKMP:(0): ven а ключи точно одинаковые? (armanman) https://www.opennet.ru/openforum/vsluhforumID6/22215.html#18 Tue, 08 Feb 2011 12:22:05 GMT да ключи одинаковые<br> а ключи точно одинаковые? (armanman) https://www.opennet.ru/openforum/vsluhforumID6/22215.html#17 Tue, 08 Feb 2011 12:08:47 GMT &gt; может еще всеже с софтом что нетак?<br><br>да нет все так кажется, там последние прошивки .... <br> а ключи точно одинаковые? (rijiy) https://www.opennet.ru/openforum/vsluhforumID6/22215.html#16 Tue, 08 Feb 2011 11:17:52 GMT может еще всеже с софтом что нетак?<br> Вот цисковсикй - не помню точно какая политика для ISAKMP (armanman) https://www.opennet.ru/openforum/vsluhforumID6/22215.html#15 Tue, 08 Feb 2011 11:12:16 GMT А вот и Циска<br><br>crypto isakmp policy 10<br> encr 3des<br> hash md5<br> authentication pre-share<br> group 2<br>!<br>crypto isakmp policy 100<br> encr aes 256<br> authentication pre-share<br> group 5<br>!<br>crypto isakmp policy 110<br> encr aes<br> authentication pre-share<br>!<br>crypto isakmp policy 210<br> encr aes<br> authentication pre-share<br>!<br>crypto isakmp policy 1000<br> authentication pre-share<br>crypto isakmp key password address 10.0.0.2<br>!<br>! <br>crypto ipsec transform-set 2juniper esp-aes esp-sha-hmac <br>!<br>crypto ipsec profile 2juniper<br> set transform-set 2juniper <br> set pfs group2<br>!<br>!<br>!<br>!<br>!<br>!<br>interface Tunnel72<br> bandwidth 10000<br> ip address 172.16.0.205 255.255.255.252<br> ip flow ingress<br> ip flow egress<br> ip tcp adjust-mss 1280<br> ip ospf authentication<br> ip ospf cost 400<br> ip ospf mtu-ignore<br> delay 400<br> keepalive 10 3<br> tunnel source GigabitEthernet0/0<br> tunnel mode ipsec ipv4<br> tunnel destination 10.0.0.2<br> tunnel path-mtu-discovery<br> tunnel protection ipsec profile 2juniper<br> !<br>!<br>interface GigabitEthernet0/0<br> Вот цисковсикй - не помню точно какая политика для ISAKMP (armanman) https://www.opennet.ru/openforum/vsluhforumID6/22215.html#14 Tue, 08 Feb 2011 11:03:58 GMT Ето Джуник<br><br>interfaces {<br> ge-0/0/0 {<br> description Internet;<br> unit 0 {<br> family inet {<br> address 10.0.0.2/29;<br> }<br> }<br> }<br> ge-0/0/1 {<br> description "DMZ INTERNET";<br> unit 0 {<br> family inet {<br> address 192.168.103.26/24;<br> }<br> }<br> }<br> fxp0 {<br> description "MANAGEMENT Interface";<br> unit 0 {<br> family inet {<br> address 172.20.100.170/24;<br> }<br> }<br> }<br> lo0 {<br> unit 0 {<br> family inet {<br> address 192.168.55.1/32;<br> }<br> }<br> }<br> st0 {<br> unit 0 {<br> description "VPN Tunnel";<br> family inet {<br> mtu 1500;<br> address 172.16.0.206/30;<br> }<br> }<br> }<br>}<br>security {<br> ike {<br> proposal IKE_AES {<br> authentication-method pre-shared-keys;<br> dh-group group2;<br> aut Вот цисковсикй - не помню точно какая политика для ISAKMP (rijiy) https://www.opennet.ru/openforum/vsluhforumID6/22215.html#13 Tue, 08 Feb 2011 10:02:10 GMT ну, брат, не знаю - вообще ничего не работает.<br>Выложи целиком конфиги гляну бегло<br>