The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"IPSEC: Cisco 2821 Static IP -> DLink DI-804HV Dynamic IP"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"IPSEC: Cisco 2821 Static IP -> DLink DI-804HV Dynamic IP"  
Сообщение от dmitriy_rsl email(ok) on 01-Окт-07, 11:34 
У нас сейчас имеется корпоративная сеть, созданная на базе DLink DI-804HV со стороны филиалов и FreeBSD с isakmpd в на центральном узле. Филиалы имеют динамические ИПы, а центральный офис - статические. Сейчас стоит цель мигрировать на Cisco 2821.
Я хочу написать на циске такое:

crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
!
crypto isakmp client configuration group fse-regions
key <ключ>
!
crypto isakmp profile fse-profile
   match identity group fse-regions
!
crypto ipsec transform-set trans-esp-3des esp-3des
!
crypto dynamic-map bel 20
set security-association lifetime seconds 28800
set transform-set trans-esp-3des
set pfs group1
set isakmp-profile fse-profile
match address 102
!
crypto dynamic-map glu 30
set security-association lifetime seconds 28800
set transform-set trans-esp-3des
set pfs group1
set isakmp-profile fse-profile
match address 103
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
no ip mroute-cache
dialer pool 1
dialer-group 1
ppp authentication pap
ppp pap sent-username <login> password 0 <password>
crypto map bel
crypto map glu
!
access-list 102 permit ip 10.119.0.0 0.0.3.255 10.119.8.0 0.0.3.255
access-list 103 permit ip 10.119.0.0 0.0.3.255 10.119.12.0 0.0.3.255

насколько это будет правильным? И будет-ли вообще работать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "IPSEC: Cisco 2821 Static IP -> DLink DI-804HV Dynamic IP"  
Сообщение от Alan_2004 email(??) on 02-Окт-07, 22:45 
>[оверквотинг удален]
> dialer-group 1
> ppp authentication pap
> ppp pap sent-username <login> password 0 <password>
> crypto map bel
> crypto map glu
>!
>access-list 102 permit ip 10.119.0.0 0.0.3.255 10.119.8.0 0.0.3.255
>access-list 103 permit ip 10.119.0.0 0.0.3.255 10.119.12.0 0.0.3.255
>
>насколько это будет правильным? И будет-ли вообще работать?

Не будет работать. Во-первых, dynamic crypto map - это еще не crypto map, а только шаблон для него. Нужно создать из него crypto map, типа вот так:
crypto map mymap 10 ipsec-isakmp dynamic dynmap

Во-вторых, к интерфейсу можно прицепить только 1 crypto map. В ACL для этого crypto map указываешь весь трафик, который должен шифроваться при отправке через этот интерфейс, т.е.
permit ip 10.119.0.0 0.0.3.255 10.119.8.0 0.0.7.255

Скорее всего, этот список ошибок в конфиге не полный.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "IPSEC: Cisco 2821 Static IP -> DLink DI-804HV Dynamic IP"  
Сообщение от dmitriy_rsl email(ok) on 03-Окт-07, 12:27 
>[оверквотинг удален]
>crypto map, а только шаблон для него. Нужно создать из него
>crypto map, типа вот так:
>crypto map mymap 10 ipsec-isakmp dynamic dynmap
>
> Во-вторых, к интерфейсу можно прицепить только 1 crypto map. В ACL
>для этого crypto map указываешь весь трафик, который должен шифроваться при
>отправке через этот интерфейс, т.е.
>permit ip 10.119.0.0 0.0.3.255 10.119.8.0 0.0.7.255
>
>Скорее всего, этот список ошибок в конфиге не полный.

Что-то я не понял... Почему только 1 crypto map? А как быть, если нужно сделать несколько IPSEC туннелей? Если ИПы у друго стороны туннеля динамические - то я так понял надо именно dynamic crypto map использовать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "IPSEC: Cisco 2821 Static IP -> DLink DI-804HV Dynamic IP"  
Сообщение от www.bc.ru on 03-Окт-07, 13:44 
> Если ИПы у друго стороны
>туннеля динамические - то я так понял надо именно dynamic crypto
>map использовать?

Копайте в сторону Dynamic Multipoint VPN

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "IPSEC: Cisco 2821 Static IP -> DLink DI-804HV Dynamic IP"  
Сообщение от dmitriy_rsl email(ok) on 03-Окт-07, 14:50 
>> Если ИПы у друго стороны
>>туннеля динамические - то я так понял надо именно dynamic crypto
>>map использовать?
>
>Копайте в сторону Dynamic Multipoint VPN

Насколько я знаю, там уже другой метод используется, с использованием протокола GRE... А на DLink-ах такого нету.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "IPSEC: Cisco 2821 Static IP -> DLink DI-804HV Dynamic IP"  
Сообщение от Alan_2004 email(??) on 03-Окт-07, 20:03 
>>> Если ИПы у друго стороны
>>>туннеля динамические - то я так понял надо именно dynamic crypto
>>>map использовать?
>>
>>Копайте в сторону Dynamic Multipoint VPN

Не надо DMVPN. Dynamic crypto map будет нормально работать. По поводу нескольких туннелей на одном мапе - у crypto map есть sequence numbers, как у route-map. Так что в один crypto map можо загнать несколько правил. Попробуйте для начала с одним.
Все это хорошо расписано в Cisco IOS Security Configuration Guide.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "IPSEC: Cisco 2821 Static IP <-> Dynamic IP (IKE authenticati..."  
Сообщение от Incubus email(??) on 08-Окт-07, 13:12 
>[оверквотинг удален]
>>>>туннеля динамические - то я так понял надо именно dynamic crypto
>>>>map использовать?
>Не надо DMVPN. Dynamic crypto map будет нормально работать. По поводу нескольких
>туннелей на одном мапе - у crypto map есть sequence numbers,
>как у route-map. Так что в один crypto map можо загнать
>несколько правил. Попробуйте для начала с одним.
>Все это хорошо расписано в Cisco IOS Security Configuration Guide.

У кого-нибудь получилось настроить IKE на использование ID типа FQDN?
Аналогичная ситуация, только клиенты ZyXEL P662.
С IP-адресами всё работает прекрасно, но они динамические.
А с crypto isakmp identity hostname заставить работать никак не удаётся.
Здорово бы было посмотреть на кусочек рабочего конфига...


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "IPSEC: Cisco 2821 Static IP <-> Dynamic IP (IKE authenticati..."  
Сообщение от Incubus email(??) on 09-Окт-07, 11:18 
>С IP-адресами всё работает прекрасно, но они динамические.
>А с crypto isakmp identity hostname заставить работать никак не удаётся.

Проблема решилась включением агрессивного режима на зухеле.
Как выяснилось, cisco не работает в main mode с fqdn ID.
В main mode независимо от crypto isakmp identity в качестве ID используется ip-адрес.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру