Здравствуйте.
Такая ситуация - необходимо настроить VPN-туннель. На удаленной стороне уже все настройки сделаны, ответственный за это человек прислал кусок конфига, который необходимо загрузить в циску, вот он:crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
lifetime 600
crypto isakmp key xxxxxxxxxx address yy.yy.yy.yy
crypto isakmp keepalive 10 2
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map myset 10 ipsec-isakmp
set peer zz.zz.zz.zz
set security-association lifetime seconds 600
set transform-set myset
set pfs group2
match address vpnip access-list extended vpn
permit ip aa.aa.aa.aa 0.0.0.255 bb.bb.bb.bb 0.0.0.255Собственно, проблема - циски нет :))) Есть dfl-800, который вроде как умеет делать Ipsec и VPN-туннели. Нужна помощь по трансформации конфига для циски в конфиг для dfl-а. Я сам много не работал с туннелями и если б циска была - все бы точно сам настроил, но в GUI-шном интерфейсе dfl-а все как-то очень уж непривычно и настроек дополнительных куча... Собственно, на удаленной стороне сказали, что если железка умеет делать 3des - то шанс есть... Я посмотрел - dfl вроде как умеет. Вообщем требуется любая консультационная помощь по настройке этого туннеля, огромное спасибо авансом!
DFL-800 реально настроить через веб морду, туннель с любой циской поднимает и держит хоть AES256 :)P.S. Для начала нужно написать какой софт стоит на DFL-800
> DFL-800 реально настроить через веб морду, туннель с любой циской поднимает и
> держит хоть AES256 :)
> P.S. Для начала нужно написать какой софт стоит на DFL-800Это радостные новости! Софт вот такой:
Configuration: Version 101
Firmware Version: 2.20.02.12-7175
Jun 25 2008
Для начала на DFL-800,
Перед тем как делать натройку IPSEC нужно создать в разделе Objects-Address Book-InterfaceAddresses сети - локальная сабнет, удаленная сабнет, удаленный gw для ipsec.
Потом приступаем к настройке IPSEC
заходим Objects-Authentication Objects и там создаем Pre-shared key т.е. пароль на туннель, потом идем в Objects-VPN Objects и настаиваем IKE Algorithms
и IPsec Algorithms под нужный уровень шифрования, хотя там уже есть предустановленные High и Medium Security ( Для удобства лучше создать свои группы с нужными параметрами )
После этого подымаем непосредственно интерфейс Interfaces-IPsec и создаем там IPSec Tunnel
К примеру как-то обзываем IPSec_to_
во вкладке Local Network - указываем локальную подсеть
во вкладке Remote Network - указываем удаленную подсеть
во вкладке Remote Endpoint - указываем удаленный гейт роутера
Encapsulation Mode - Tunnel
IKE Algorithms - указываем то что мы создали ( к примеру есть там High AES 256 )
IKE Life Time - лучше указать 86400 на Cisco нужно сделать тоже самое
IPsec Algorithms - указываем то что мы создали ( к примеру есть там High AES 256 )
IPsec Life Time - 28800 sec тоже самое нужно сделать и на Циске
IPsec Life Time - 4608000 kilobytes тоже самое нужно сделать и на ЦискеПотом вверху на вкладке Authentication подставляем Pre-shared key который до этого создали
Во вкладке IKE Settings
IKE - Main тоже самое нужно сделать на Циске
PFS - к примеру можно поставить DH Group 2 тоже самое нужно будет сделать на Циске
Все остальное по умолчанию в этой вкладке
Во вкладке Advanced
Ставим Route Metric к примеру 90
Потом идем в файерволл Rules-IP Rules
И создаем правила что разрешаем из локальной сети какие протоколы в удаленную сеть
И второе правило наооборот что разрешаем из удаленной сети какие протоколы в локальнуюP.S. Все параметры IPSec которые есть на DFL-800 должны быть в точности одинаковые и на Cisco тогда все подымется и будет работать :)
>[оверквотинг удален]
> Все остальное по умолчанию в этой вкладке
> Во вкладке Advanced
> Ставим Route Metric к примеру 90
> Потом идем в файерволл Rules-IP Rules
> И создаем правила что разрешаем из локальной сети какие протоколы в удаленную
> сеть
> И второе правило наооборот что разрешаем из удаленной сети какие протоколы в
> локальную
> P.S. Все параметры IPSec которые есть на DFL-800 должны быть в точности
> одинаковые и на Cisco тогда все подымется и будет работать :)omg, спасибо огромное за столь развернутое пояснение!
Буду пытаться чуть позже все это проделать - сейчас времени просто нет.
Если что пиши в 557133 можно сделать для обоих продуктов к примеру ASA и DFL-800 скриншот натройку
Важная поправка, Remote Endpoint - это IP-адрес удалённого хоста, а не шлюза!!!
Господа,попробовал сделать как посоветовал уважаемый root, однако столкнулся с проблемами, в логе лезут вот такие сообщения:
ipdatalen=53 udptotlen=53
2010-10-18
13:12:06 Info IPSEC
1800317
peer_is_dead
IPsec_tunnel_disabled
peer=10.24.255.6
2010-10-18
13:12:06 Info IPSEC
1802708
ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0xcb8d33f7, AH=0x6f9a15a1 Responder SPI "
2010-10-18
13:12:06 Warning IPSEC
1802022
ike_sa_failed
no_ike_sa
statusmsg="Timeout" local_peer="127.0.0.1 ID 10.97.250.10" remote_peer="10.24.255.6 ID No Id" initiator_spi="ESP=0xcb8d33f7, AH=0x6f9a15a1"
2010-10-18
13:12:06 Warning IPSEC
1802715
event_on_ike_sa
side=Initiator msg="failed" int_severity=6Не подскажете, где искать проблему? Вроде бы все выставил, как описано, пробовал разные варианты некоторых настроек - не помогает, всегда одни и те же сообщения в логах. Спасибо!
Господа, у меня точно такая же проблема как предыдущем посте, с разницой в том, что пытаюсь связать два DFL-800, но ошибка лезет так же, подскажите куда копать, плеасе, а то уже всю голову сломал, весь инет перерыл ...