The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Настройка IP VPN между ASA 5500 и D-LINK dfl-800"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"Настройка IP VPN между ASA 5500 и D-LINK dfl-800"  –1 +/
Сообщение от apofeoz email(ok) on 15-Окт-10, 09:53 
Здравствуйте.
Такая ситуация - необходимо настроить VPN-туннель. На удаленной стороне уже все настройки сделаны, ответственный за это человек прислал кусок конфига, который необходимо загрузить в циску, вот он:

crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
lifetime 600
crypto isakmp key xxxxxxxxxx address yy.yy.yy.yy
crypto isakmp keepalive 10 2
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map myset 10 ipsec-isakmp
set peer zz.zz.zz.zz
set security-association lifetime seconds 600
set transform-set myset
set pfs group2
match address vpn

ip access-list extended vpn
permit ip aa.aa.aa.aa 0.0.0.255 bb.bb.bb.bb 0.0.0.255

Собственно, проблема - циски нет :))) Есть dfl-800, который вроде как умеет делать Ipsec и VPN-туннели. Нужна помощь по трансформации конфига для циски в конфиг для dfl-а. Я сам много не работал с туннелями и если б циска была - все бы точно сам настроил, но в GUI-шном интерфейсе dfl-а все как-то очень уж непривычно и настроек дополнительных куча... Собственно, на удаленной стороне сказали, что если железка умеет делать 3des - то шанс есть... Я посмотрел - dfl вроде как умеет. Вообщем требуется любая консультационная помощь по настройке этого туннеля, огромное спасибо авансом!

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Настройка IP VPN между ASA 5500 и D-LINK dfl-800"  +/
Сообщение от root0 (ok) on 15-Окт-10, 11:31 
DFL-800 реально настроить через веб морду, туннель с любой циской поднимает и держит хоть AES256 :)

P.S. Для начала нужно написать какой софт стоит на DFL-800

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Настройка IP VPN между ASA 5500 и D-LINK dfl-800"  +/
Сообщение от apofeoz email(ok) on 15-Окт-10, 11:34 
> DFL-800 реально настроить через веб морду, туннель с любой циской поднимает и
> держит хоть AES256 :)
> P.S. Для начала нужно написать какой софт стоит на DFL-800

Это радостные новости! Софт вот такой:
Configuration: Version 101
Firmware Version: 2.20.02.12-7175
Jun 25 2008

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Настройка IP VPN между ASA 5500 и D-LINK dfl-800"  +/
Сообщение от root0 (ok) on 15-Окт-10, 12:04 
Для начала на DFL-800,
Перед тем как делать натройку IPSEC нужно создать в разделе Objects-Address Book-InterfaceAddresses сети - локальная сабнет, удаленная сабнет, удаленный gw для ipsec.
Потом приступаем к настройке IPSEC
заходим Objects-Authentication Objects и там создаем Pre-shared key т.е. пароль на туннель, потом идем в Objects-VPN Objects и настаиваем IKE Algorithms
и IPsec Algorithms под нужный уровень шифрования, хотя там уже есть предустановленные High и Medium Security ( Для удобства лучше создать свои группы с нужными параметрами )
После этого подымаем непосредственно интерфейс Interfaces-IPsec и создаем там IPSec Tunnel
К примеру как-то обзываем IPSec_to_
во вкладке Local Network - указываем локальную подсеть
во вкладке Remote Network - указываем удаленную подсеть
во вкладке Remote Endpoint - указываем удаленный гейт роутера
Encapsulation Mode - Tunnel
IKE Algorithms - указываем то что мы создали ( к примеру есть там High AES 256 )
IKE Life Time - лучше указать 86400 на Cisco нужно сделать тоже самое
IPsec Algorithms - указываем то что мы создали ( к примеру есть там High AES 256 )
IPsec Life Time - 28800 sec тоже самое нужно сделать и на Циске
IPsec Life Time - 4608000 kilobytes тоже самое нужно сделать и на Циске

Потом вверху на вкладке Authentication подставляем Pre-shared key который до этого создали
Во вкладке IKE Settings
IKE - Main тоже самое нужно сделать на Циске
PFS - к примеру можно поставить DH Group 2 тоже самое нужно будет сделать на Циске
Все остальное по умолчанию в этой вкладке
Во вкладке Advanced
Ставим Route Metric к примеру 90
Потом идем в файерволл Rules-IP Rules
И создаем правила что разрешаем из локальной сети какие протоколы в удаленную сеть
И второе правило наооборот что разрешаем из удаленной сети какие протоколы в локальную

P.S. Все параметры IPSec которые есть на DFL-800 должны быть в точности одинаковые и на Cisco тогда все подымется и будет работать :)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Настройка IP VPN между ASA 5500 и D-LINK dfl-800"  +/
Сообщение от apofeoz email(ok) on 15-Окт-10, 12:11 
>[оверквотинг удален]
> Все остальное по умолчанию в этой вкладке
> Во вкладке Advanced
> Ставим Route Metric к примеру 90
> Потом идем в файерволл Rules-IP Rules
> И создаем правила что разрешаем из локальной сети какие протоколы в удаленную
> сеть
> И второе правило наооборот что разрешаем из удаленной сети какие протоколы в
> локальную
> P.S. Все параметры IPSec которые есть на DFL-800 должны быть в точности
> одинаковые и на Cisco тогда все подымется и будет работать :)

omg, спасибо огромное за столь развернутое пояснение!
Буду пытаться чуть позже все это проделать - сейчас времени просто нет.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Настройка IP VPN между ASA 5500 и D-LINK dfl-800"  +/
Сообщение от root0 (ok) on 15-Окт-10, 12:15 
Если что пиши в 557133 можно сделать для обоих продуктов к примеру ASA и DFL-800 скриншот натройку
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Настройка IP VPN между ASA 5500 и D-LINK dfl-800"  +/
Сообщение от Дмитрий (??) on 13-Янв-14, 08:03 
Важная поправка, Remote Endpoint - это IP-адрес удалённого хоста, а не шлюза!!!
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Настройка IP VPN между ASA 5500 и D-LINK dfl-800"  +/
Сообщение от apofeoz (ok) on 18-Окт-10, 13:24 
Господа,

попробовал сделать как посоветовал уважаемый root, однако столкнулся с проблемами, в логе лезут вот такие сообщения:
ipdatalen=53 udptotlen=53  
2010-10-18
13:12:06 Info IPSEC
1800317  

peer_is_dead
IPsec_tunnel_disabled
peer=10.24.255.6  
2010-10-18
13:12:06 Info IPSEC
1802708  

ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0xcb8d33f7, AH=0x6f9a15a1 Responder SPI "  
2010-10-18
13:12:06 Warning IPSEC
1802022  

ike_sa_failed
no_ike_sa
statusmsg="Timeout" local_peer="127.0.0.1 ID 10.97.250.10" remote_peer="10.24.255.6 ID No Id" initiator_spi="ESP=0xcb8d33f7, AH=0x6f9a15a1"  
2010-10-18
13:12:06 Warning IPSEC
1802715  

event_on_ike_sa

side=Initiator msg="failed" int_severity=6  

Не подскажете, где искать проблему? Вроде бы все выставил, как описано, пробовал разные варианты некоторых настроек - не помогает, всегда одни и те же сообщения в логах. Спасибо!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Настройка IP VPN между ASA 5500 и D-LINK dfl-800"  +/
Сообщение от Slater (??) on 03-Янв-11, 21:15 
Господа, у меня точно такая же проблема как предыдущем посте, с разницой в том, что пытаюсь связать два DFL-800, но ошибка лезет так же, подскажите куда копать, плеасе, а то уже всю голову сломал, весь инет перерыл ...
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру