- помогите,
 ilya, 10:06 , 07-Авг-06 (1) - помогите, angelweb, 10:36 , 07-Авг-06 (2)
- помогите, марлис, 13:38 , 08-Авг-06 (3)
>>надо настроить VPN между кисками!
>>дайте пожалуйста ссылки на доки или реальный конфиг
>>у меня cisco 1760 на обеих концах, PPPoE соединяет их
>
>
>Тут почитай http://faq-cisco.ru/page.php?id=3
конфиг сделал таким же как и там описано. пинги идут
но есть одно но, когда я отключаю crypto map на интрефейсах то пинги все равно идут, т.е. cryptomap-ы не идут!
в чем трабла?
1 маршрутизатор 192.168.100.1 (внешний ip), 10.10.10.10 (тунельный), 192.168.111.1(интерфейс внутр сети) 2 маршрутизатор 192.168.100.2 (внешний ip), 10.10.10.20 (тунельный), 192.168.222.1(интерфейс внутр сети) так вот пинги от 192.168.111.2 (машина с 1-ой лок сети) идут на 192.168.222.2(машина с 1-ой лок сети) даже когда я убираю crypto map с интерфейсов! вот конфиги (на другом конце аналогично, кроме ip ): !
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname vpn_client
!
enable secret 5 $1$V002$ob3Gy2dbs.ykvXyn4VAKg0
!
username vty password 0 vty
ip subnet-zero
!
no ip domain lookup
!
!
voice call carrier capacity active
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key tunnel_kafc address 192.168.10.1
!
!
crypto ipsec transform-set VPN esp-des esp-md5-hmac
mode transport
!
crypto map kafc_vpn 10 ipsec-isakmp
set peer 192.168.10.1
set transform-set VPN
match address 102
!
!
interface Tunnel0
ip address 10.10.10.20 255.255.255.0
tunnel source FastEthernet0/0
tunnel destination 192.168.100.1
crypto map kafc_vpn
!
interface FastEthernet0/0
ip address 192.168.222.1 255.255.255.0 secondary
ip address 192.168.100.2 255.255.255.0
speed auto
crypto map kafc_vpn
!
ip classless
ip route 192.168.111.0 255.255.255.0 10.10.10.10
no ip http server
!
access-list 102 permit gre 192.168.222.0 0.0.0.255 192.168.111.0 0.0.0.255
!
call rsvp-sync
!
dial-peer cor custom
!
end
- помогите, angelweb, 14:02 , 08-Авг-06 (4)
- помогите, марлис, 14:15 , 08-Авг-06 (5)
>Почитай комментарии к статье http://faq-cisco.ru/comments.php?id=p3 я их читал и так и сделал >И ещё ip route 192.168.111.0 255.255.255.0 10.10.10.10 - ping будет
да понял все правильно :) >Глянь sh crypto isakmp sa vpn_client#sh crypto isakmp sa
dst src state conn-id slot
192.168.100.2 192.168.100.1 QM_IDLE 4 0
а как теперь проверить шифруются ли пакеты?
- помогите, angelweb, 14:25 , 08-Авг-06 (6)
- помогите, марлис, 15:02 , 08-Авг-06 (7)
>>>Почитай комментарии к статье http://faq-cisco.ru/comments.php?id=p3
>>
>>я их читал и так и сделал
>>
>>>И ещё ip route 192.168.111.0 255.255.255.0 10.10.10.10 - ping будет
>>да понял все правильно :)
>>
>>>Глянь sh crypto isakmp sa
>>
>>vpn_client#sh crypto isakmp sa
>>dst
>> src
>> state
>> conn-id slot
>>192.168.100.2 192.168.100.1 QM_IDLE
>> 4
>> 0
>>
>>
>>а как теперь проверить шифруются ли пакеты?
>
>
>sh crypto session detail нету sessiona у меня :(((
- помогите, марлис, 15:19 , 08-Авг-06 (8)
sh crypto ipsec sa
interface: Tunnel0
Crypto map tag: kafc_vpn, local addr. 192.168.100.1
local ident (addr/mask/prot/port): (192.168.111.0/255.255.255.0/47/0)
remote ident (addr/mask/prot/port): (192.168.222.0/255.255.255.0/47/0)
current_peer: 192.168.100.2
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0 local crypto endpt.: 192.168.100.1, remote crypto endpt.: 192.168.100.2
path mtu 1500, media mtu 1500
current outbound spi: 0 inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: - помогите, марлис, 15:25 , 08-Авг-06 (9)
насколько я понимаю пакеты шифруются только те, которые попадают под правило в access-list !
видимо я немного не так раписал его?
- помогите, sas, 09:38 , 09-Авг-06 (10)
- помогите, марлис, 09:49 , 09-Авг-06 (11)
>>насколько я понимаю пакеты шифруются только те, которые попадают под правило в
>>access-list !
>>видимо я немного не так раписал его?
>
>Видимо.
>access-list 102 permit gre host 192.168.100.2 host 192.168.100.1
да да я это уже сделал все хорошо работает, спасибо :)
еще у меня вопрос - если на на другом конце я буду использовать BSD я могу обойтись виртуальным туннельным интерфейсом или надо использовать обязательно физический?
|
Версия для распечатки
помогите, 
