- помогите, ilya, 10:06 , 07-Авг-06 (1)
- помогите, angelweb, 10:36 , 07-Авг-06 (2)
- помогите, марлис, 13:38 , 08-Авг-06 (3)
>>надо настроить VPN между кисками! >>дайте пожалуйста ссылки на доки или реальный конфиг >>у меня cisco 1760 на обеих концах, PPPoE соединяет их > > >Тут почитай http://faq-cisco.ru/page.php?id=3 конфиг сделал таким же как и там описано. пинги идут но есть одно но, когда я отключаю crypto map на интрефейсах то пинги все равно идут, т.е. cryptomap-ы не идут! в чем трабла?
1 маршрутизатор 192.168.100.1 (внешний ip), 10.10.10.10 (тунельный), 192.168.111.1(интерфейс внутр сети) 2 маршрутизатор 192.168.100.2 (внешний ip), 10.10.10.20 (тунельный), 192.168.222.1(интерфейс внутр сети) так вот пинги от 192.168.111.2 (машина с 1-ой лок сети) идут на 192.168.222.2(машина с 1-ой лок сети) даже когда я убираю crypto map с интерфейсов! вот конфиги (на другом конце аналогично, кроме ip ): ! version 12.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname vpn_client ! enable secret 5 $1$V002$ob3Gy2dbs.ykvXyn4VAKg0 ! username vty password 0 vty ip subnet-zero ! no ip domain lookup ! ! voice call carrier capacity active ! crypto isakmp policy 10 authentication pre-share crypto isakmp key tunnel_kafc address 192.168.10.1 ! ! crypto ipsec transform-set VPN esp-des esp-md5-hmac mode transport ! crypto map kafc_vpn 10 ipsec-isakmp set peer 192.168.10.1 set transform-set VPN match address 102 ! ! interface Tunnel0 ip address 10.10.10.20 255.255.255.0 tunnel source FastEthernet0/0 tunnel destination 192.168.100.1 crypto map kafc_vpn ! interface FastEthernet0/0 ip address 192.168.222.1 255.255.255.0 secondary ip address 192.168.100.2 255.255.255.0 speed auto crypto map kafc_vpn ! ip classless ip route 192.168.111.0 255.255.255.0 10.10.10.10 no ip http server ! access-list 102 permit gre 192.168.222.0 0.0.0.255 192.168.111.0 0.0.0.255 ! call rsvp-sync ! dial-peer cor custom ! end
- помогите, angelweb, 14:02 , 08-Авг-06 (4)
- помогите, марлис, 14:15 , 08-Авг-06 (5)
>Почитай комментарии к статье http://faq-cisco.ru/comments.php?id=p3 я их читал и так и сделал >И ещё ip route 192.168.111.0 255.255.255.0 10.10.10.10 - ping будет да понял все правильно :) >Глянь sh crypto isakmp sa vpn_client#sh crypto isakmp sa dst src state conn-id slot 192.168.100.2 192.168.100.1 QM_IDLE 4 0 а как теперь проверить шифруются ли пакеты?
- помогите, angelweb, 14:25 , 08-Авг-06 (6)
- помогите, марлис, 15:02 , 08-Авг-06 (7)
>>>Почитай комментарии к статье http://faq-cisco.ru/comments.php?id=p3 >> >>я их читал и так и сделал >> >>>И ещё ip route 192.168.111.0 255.255.255.0 10.10.10.10 - ping будет >>да понял все правильно :) >> >>>Глянь sh crypto isakmp sa >> >>vpn_client#sh crypto isakmp sa >>dst >> src >> state >> conn-id slot >>192.168.100.2 192.168.100.1 QM_IDLE >> 4 >> 0 >> >> >>а как теперь проверить шифруются ли пакеты? > > >sh crypto session detail нету sessiona у меня :(((
- помогите, марлис, 15:19 , 08-Авг-06 (8)
sh crypto ipsec sa interface: Tunnel0 Crypto map tag: kafc_vpn, local addr. 192.168.100.1
local ident (addr/mask/prot/port): (192.168.111.0/255.255.255.0/47/0) remote ident (addr/mask/prot/port): (192.168.222.0/255.255.255.0/47/0) current_peer: 192.168.100.2 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 192.168.100.1, remote crypto endpt.: 192.168.100.2 path mtu 1500, media mtu 1500 current outbound spi: 0 inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: - помогите, марлис, 15:25 , 08-Авг-06 (9)
насколько я понимаю пакеты шифруются только те, которые попадают под правило в access-list ! видимо я немного не так раписал его?
- помогите, sas, 09:38 , 09-Авг-06 (10)
- помогите, марлис, 09:49 , 09-Авг-06 (11)
>>насколько я понимаю пакеты шифруются только те, которые попадают под правило в >>access-list ! >>видимо я немного не так раписал его? > >Видимо. >access-list 102 permit gre host 192.168.100.2 host 192.168.100.1 да да я это уже сделал все хорошо работает, спасибо :)
еще у меня вопрос - если на на другом конце я буду использовать BSD я могу обойтись виртуальным туннельным интерфейсом или надо использовать обязательно физический?
|