- VPN и IPSEC между двумя cisco роутерами,
 angelweb, 13:19 , 01-Июн-07 (1)
- VPN и IPSEC между двумя cisco роутерами, kurtik, 08:57 , 04-Июн-07 (2)
- VPN и IPSEC между двумя cisco роутерами, angelweb, 09:09 , 04-Июн-07 (3)
>>>Но в конфиге ни слова про vpn.
>>>Мне в принципе нужно организовать шифрование трафика между двумя cisco роутерами.
>>>Какими средствами это реализовать?
>>
>>
>>Тебе сюда http://faq-cisco.ru/page.php?id=3
>
>Спасибо за сцылку.
>Настроил как сказано в доке.
>
>Но
>
>sh interfaces Tunnel 0
>Tunnel0 is up, line protocol is down
>
>0 packets input, 0 bytes,
>0 packets output, 0 bytes,
>
>Пинги между интерфейсами роутеров присутствуют.
>
>Между Туннелями нет.
>
>Аналогично и на другом маршрутере.
>
>Что посоветуете?
Конфиги покажи
- VPN и IPSEC между двумя cisco роутерами, kurtik, 09:44 , 04-Июн-07 (4)
- VPN и IPSEC между двумя cisco роутерами, angelweb, 10:17 , 04-Июн-07 (5)
>>Конфиги покажи
>
>На головном
>sh interfaces Tunnel 0
>Tunnel0 is up, line protocol is down
>
>0 packets input, 0 bytes,
>0 packets output, 0 bytes,
>
>
>На другом роутере
>
>sh interfaces Tunnel 0
>Tunnel0 is up, line protocol is up
>
>0 packets input, 0 bytes,
>0 packets output, 0 bytes,
>
>Почему на одном down на другом up?
>
>//////////////////
>Конфа cisco голова
>//////////////////
>!
>crypto isakmp policy 10
> authentication pre-share
>crypto isakmp key 6 <слово ключ> address 10.10.10.2
>!
>crypto ipsec transform-set VPN esp-des esp-md5-hmac
> mode transport
>!
>crypto map vpn_cent-office 10 ipsec-isakmp
> set peer 10.10.10.2
> set transform-set VPN
> match address 101
>!
>interface Tunnel0
> ip address 222.222.222.1 255.255.255.248
> tunnel source GigabitEthernet0/0
> tunnel destination 222.222.222.2
> crypto map vpn_cent-office
>!
>interface GigabitEthernet0/0
> ip address 10.10.10.1 255.255.255.248
> no ip mroute-cache
> duplex auto
> speed auto
> media-type rj45
> negotiation auto
> crypto map vpn_cent-office
>!
>ip classless
>ip route 192.168.10.0 255.255.255.0 10.10.5.5
>ip route 192.168.200.0 255.255.255.0 Tunnel0
>!
>access-list 101 permit gre host 10.10.10.1 host 10.10.10.2
>!
>
>
>
>
>
>
>//////////////////
>Конфа cisco офис
>//////////////////
>!
>crypto isakmp policy 10
> authentication pre-share
>crypto isakmp key 6 <слово ключ> address 10.10.10.1
>!
>crypto ipsec transform-set VPN esp-des esp-md5-hmac
> mode transport
>!
>crypto map vpn_cent-office 10 ipsec-isakmp
> set peer 10.10.10.1
> set transform-set VPN
> match address 101
>!
>interface Tunnel0
> ip address 222.222.222.2 255.255.255.248
> tunnel source FastEthernet0/0
> tunnel destination 10.10.10.1
> crypto map vpn_cent-office
>!
>interface FastEthernet0/0
> ip address 10.10.10.2 255.255.255.248
> no ip mroute-cache
> duplex auto
> speed auto
> crypto map vpn_cent-office
>!
>ip classless
>ip route 192.168.10.0 255.255.255.0 Tunnel0
>ip route 192.168.200.0 255.255.255.0 10.10.6.6
>!
>access-list 101 permit gre host 10.10.10.2 host 10.10.10.1
>!
key, set peer и tunnel destination должны быть рнастроены на один адрес
- VPN и IPSEC между двумя cisco роутерами, Banshee, 11:26 , 04-Июн-07 (6)
- VPN и IPSEC между двумя cisco роутерами, kurtik, 13:19 , 04-Июн-07 (7)
- VPN и IPSEC между двумя cisco роутерами, angelweb, 14:10 , 04-Июн-07 (8)
>>В "Конфа cisco офис" на interface Tunnel0 tunnel destination должен быть 222.222.222.1,
>>а не 10.10.10.1, как у тебя.
>
>Судя по http://faq-cisco.ru/page.php?id=3
>
>tunnel destination должен быть удаленный физический интерфейс.
>
>из примера
>
>
>MAIN
>!
>interface Tunnel0
>tunnel destination 222.222.222.2
>!
>
>831
>!
>interface Ethernet0
>ip address 222.222.222.2 255.255.255.248
>crypto map myvpn
>!
>
>
>>key, set peer и tunnel destination должны быть рнастроены на один адрес
>Сделал.
>Теперь на обоих интерфейсах
>
>sh int tunnel 0
>Tunnel0 is up, line protocol is up
>
>Но 8-(
>
>0 packets output, 0 bytes, 0 underruns
sh crypto isakmp sa - что говорит ?
что пишется в консоли железок ? Включи debug Ты пытаешься пинговать с железок или из сети ?
- VPN и IPSEC между двумя cisco роутерами, kurtik, 14:34 , 04-Июн-07 (10)
- VPN и IPSEC между двумя cisco роутерами, angelweb, 14:36 , 04-Июн-07 (12)
>>sh crypto isakmp sa - что говорит ?
>>
>>что пишется в консоли железок ?
>>
>>Включи debug
>>
>>Ты пытаешься пинговать с железок или из сети ?
>
>Пардон ребята :-)
>
>Пинговал с ротуеров ничего не пингует.
>Пинганул с хостов, все гут.
>
>ping 192.168.200.10
>Ответ от 192.168.200.10: число байт=32 время=2мс TTL=124
>Ответ от 192.168.200.10: число байт=32 время=2мс TTL=124
>Ответ от 192.168.200.10: число байт=32 время=2мс TTL=124
>Ответ от 192.168.200.10: число байт=32 время=2мс TTL=124
>
>Статистика Ping для 192.168.200.10:
> Пакетов: отправлено = 4, получено = 4, потеряно
>= 0 (0% потерь),
>Приблизительное время приема-передачи в мс:
> Минимальное = 2мсек, Максимальное = 2 мсек, Среднее
>= 2 мсек
>---------------------------------------------------------------------
>tracert 192.168.200.10
>
>Трассировка маршрута к 192.168.200.10 с максимальным числом прыжков 30
>
> 1 1 ms
><1 мс <1 мс 192.168.10.1
> 2 <1 мс
>1 ms <1 мс 10.10.5.1
> 3 2 ms
> 2 ms 2 ms 222.222.222.2
>
> 4 2 ms
> 2 ms 2 ms 10.10.6.6
>
> 5 2 ms
> 1 ms 1 ms 192.168.200.10
>
>
>Трассировка завершена.
>------------------------------------------------------
>sh crypto isakmp sa
>
>dst
> src
> state
> conn-id slot status
>10.10.10.2 10.10.10.1
>QM_IDLE
> 1 0 ACTIVE
>
>Я так понимаю теперь ipsec шифрует трафик?
>Как это проверить командами на cisco?
>
>p.s. судя по тому что пинг и трэйс стал 2 ms шифрование
>все таки присутствует :-)
Всё верно. Пинг будет ходить только из сетки в сетку (с железок его не будет - почему ? :-) rtfm )
проверку делай при помощи команд sh crypto ?
- VPN и IPSEC между двумя cisco роутерами, Banshee, 14:43 , 04-Июн-07 (15)
- VPN и IPSEC между двумя cisco роутерами, Banshee, 14:36 , 04-Июн-07 (11)
- VPN и IPSEC между двумя cisco роутерами, Banshee, 14:30 , 04-Июн-07 (9)
- VPN и IPSEC между двумя cisco роутерами, kurtik, 14:39 , 04-Июн-07 (13)
- VPN и IPSEC между двумя cisco роутерами, Banshee, 14:39 , 04-Июн-07 (14)
- VPN и IPSEC между двумя cisco роутерами, kurtik, 09:28 , 05-Июн-07 (16)
- VPN и IPSEC между двумя cisco роутерами, kurtik, 09:53 , 06-Июн-07 (18)
- VPN и IPSEC между двумя cisco роутерами, fantom, 10:40 , 06-Июн-07 (19)
- VPN и IPSEC между двумя cisco роутерами, wellfitting, 11:33 , 06-Июн-07 (20)
- VPN и IPSEC между двумя cisco роутерами, angelweb, 11:42 , 06-Июн-07 (21)
>>>>>Я так понимаю теперь ipsec шифрует трафик?
>>>>>Как это проверить командами на cisco?
>>>>
>>>>debug crypto isakmp
>>>>debug crypto ipsec
>>>>
>>>>потом запусти пинг и увидишь в консоли.
>>>>
>>>
>>>Запустил пинг с одно хоста в сети на другой хост другой сети
>>>
>>>
>>>#debug crypto isakmp
>>>Crypto ISAKMP debugging is on
>>>
>>>#debug crypto ipsec
>>>Crypto IPSEC debugging is on
>>>
>>>Ничего не выводит.
>>>
>>>
>>>#show debugging
>>>
>>>Cryptographic Subsystem:
>>> Crypto ISAKMP debugging is on
>>> Crypto IPSEC debugging is on
>>>
>>>Как это понимать?
>>
>>terminal monitor
>>незабывать :)
>
>Всем добрый день.
>У меня тоже вопрос по поводу этих debugов.
>Не могу найти, в чем загвоздка при создании VPN. Посему пытаюсь это
>выяснить. Но и при terminal monitor все равно ничего не выводится.
>Не подскажете, в чем может быть дело? А подробней можешь описать проблему ? Что не получается ? VPN между чем и чем ? Какая конфигурация на клиенте и железках ? итд - VPN и IPSEC между двумя cisco роутерами, wellfitting, 12:36 , 06-Июн-07 (22)
- VPN и IPSEC между двумя cisco роутерами, wellfitting, 12:56 , 06-Июн-07 (23)
- VPN и IPSEC между двумя cisco роутерами, AlexDv, 14:10 , 06-Июн-07 (24)
- VPN и IPSEC между двумя cisco роутерами, wellfitting, 18:36 , 06-Июн-07 (25)
- VPN и IPSEC между двумя cisco роутерами, AlexDv, 19:39 , 06-Июн-07 (26)
- VPN и IPSEC между двумя cisco роутерами, wellfitting, 20:24 , 06-Июн-07 (27)
- VPN и IPSEC между двумя cisco роутерами, AlexDv, 22:02 , 06-Июн-07 (28)
- VPN и IPSEC между двумя cisco роутерами, wellfitting, 01:50 , 07-Июн-07 (29)
- VPN и IPSEC между двумя cisco роутерами, kurtik, 08:13 , 08-Июн-07 (30)
- VPN и IPSEC между двумя cisco роутерами, vovat, 14:42 , 09-Июн-07 (31)
|
Версия для распечатки
VPN и IPSEC между двумя cisco роутерами, 
