forum.opennet.ru

"VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"

Форум Маршрутизаторы CISCO и др. оборудование.
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

. "VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?"	+/–
Сообщение от Willy_Permit_Access (ok), 20-Авг-11, 18:00
одна из конфигурций которую пытался поднять \| \| \| \| V --------------------------Interface----------------------------------- ge-0/0/1 { vlan-tagging; unit 3 { description untrust-link; vlan-id 3; family inet { address yyy.yyy.yyy.1/30; } } unit 4 { description trust; vlan-id 4; family inet { address aaa.aaa.aaa.1/30; ----------------------------------Zone's--------------------------------------- security-zone trust { address-book { address local-net aaa.aaa.aaa.aaa/24; } host-inbound-traffic { system-services { ping; traceroute; http; } protocols { all; } } interfaces { ge-0/0/1.4; security-zone untrust { address-book { address remote-net bbb.bbb.bbb.bbb/27; } host-inbound-traffic { system-services { ike; ping; traceroute; } protocols { all; } } interfaces { ge-0/0/1.3; } ---------------------------------------Routing--------------------------------- static { route aaa.aaa.aaa.aaa/24 next-hop aaa.aaa.aaa.2; route xxx.xxx.xxx.xxx/32 next-hop yyy.yyy.yyy.2; } --------------------------------------------------------------------------- security ike proposal Phase1_for_##### { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm sha1; encryption-algorithm 3des-cbc; lifetime-seconds 3600; Policy Policy_for_##### { mode main; proposals Phase1_for_#####; pre-shared-key ascii-text "encrypted keys"; ## SECRET-DATA gateway ##### { ike-policy Policy_for_#####; address xxx.xxx.xxx.xxx; external-interface ge-0/0/1.3; ------------------------------------------------------ security ipsec proposal Phase-2_for_##### { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; lifetime-seconds 3600; lifetime-kilobytes 1048576; policy Police_Phase2_for_##### { perfect-forward-secrecy { keys group2; } proposals Phase-2_for_#####; vpn VPN_##### { ike { gateway #####; ipsec-policy Police_Phase2_for_#####; } establish-tunnels immediately; } ------------------------------------------------------------ Policy from-zone trust to-zone untrust { policy vpnpolicy-tr-unt { match { source-address local-net; destination-address remote-net; application any; } then { permit { tunnel { ipsec-vpn #####; pair-policy vpnpolicy-unt-tr; } } } } policy any-permit { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy vpnpolicy-unt-tr { match { source-address remote-net; destination-address local-net; application any; } then { permit { tunnel { ipsec-vpn #####; pair-policy vpnpolicy-tr-unt; } } } } } ------------------------------------------------------------
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

VPN IPsec между CISCO ASA и Juniper SRX240, миф или реальность?, Willy_Permit_Access, 20-Авг-11, 16:36 [смотреть все]

одна из конфигурций которую пытался поднять 124 124 124 124 V------------ , Willy_Permit_Access, 20-Авг-11, 18:00 (1) //
- попробуй убрать из ipsec perfect-forward-secrecy keys group2, Seva, 20-Авг-11, 19:38 (2) //
  - на прошлой недели подружил с cisco роутером джунипер SRX240 Думаю с ASA тоже во, Aleks305, 20-Авг-11, 21:55 (3) //
    - на прошлой недели подружил с cisco роутером джунипер SRX240 Думаю с ASA тоже во, Aleks305, 20-Авг-11, 21:58 (4)
      - С роутером тоже дружил, только GRE over IPsec проблема в том что полиси не заво, с роутером дружил цисковским, 21-Авг-11, 14:03 (5)
        
        В понедельник скину другой вариант конфиги которую поднимал, существует небольша, с роутером дружил цисковским, 21-Авг-11, 14:06 (6)
      - Что можете сказать по поводу роутинга , Willy_Permit_Access, 21-Авг-11, 14:16 (7)
        
        ну как там у Вас получилось что-нить , Aleks305, 22-Авг-11, 10:50 (8)
        
        Да честно говоря пока нет Работает в одну сторону , и то пинги прерываются , Willy_Permit_Access, 23-Авг-11, 15:19 (9)
        
        gt оверквотинг удален честно говоря курю маны уже второй день, и прихожу к выв, Willy_Permit_Access, 23-Авг-11, 15:25 (10)
        
        gt оверквотинг удален а конфиг asa актуальный есть доступ можете временный да, Aleks305, 23-Авг-11, 16:29 (11)
        
        gt оверквотинг удален Да я с удовольствием бы сам покопался, но асашка стоит н, Willy_Permit_Access, 24-Авг-11, 07:01 (12)
        
        gt оверквотинг удален да я не про cisco, а про juniper Плюс конфиг ASA нужен , Aleks305, 24-Авг-11, 09:42 (13)
        
        gt оверквотинг удален нашли траблу только она на стороне АСЫ нарыл ASA после , Willy_Permit_Access, 24-Авг-11, 10:29 (14)
        gt оверквотинг удален если есть скайп напиши постучусь, Willy_Permit_Access, 24-Авг-11, 10:29 (15)
        gt оверквотинг удален скайпа на работе не держу, а дома некогда будет пообщать, Aleks305, 24-Авг-11, 11:33 (16)
        gt оверквотинг удален Sergey Lesin ---- в аське постучись, Willy_Permit_Access, 24-Авг-11, 12:28 (17)
        gt оверквотинг удален Проблема решена, спасибо за помощь и содействие Aleks30, Willy_Permit_Access, 25-Авг-11, 07:09 (18)
        Добрый день всем У меня аналогичная проблема с asa5505 и juniper srx100Только си, kopic, 27-Окт-11, 12:02 (19)
        Конфиги с обоих сторон могу приложить , kopic, 27-Окт-11, 12:06 (20)
        У вас туннель ipsec появляется только когда трафик интересный описанный acl про, Aleks305, 27-Окт-11, 22:19 (21)
        Такая строчка прописана Результата положительного не добавляет , kopic, 28-Окт-11, 12:40 (22)
        покажите конфиги , Aleks305, 28-Окт-11, 19:48 (23)
        Не охото сюда писать Постучитесь в icq 162877374 , kopic, 31-Окт-11, 15:03 (24)
        скинул линку в icq, общаться давайте тут, на работе icq нету , kopic, 02-Ноя-11, 10:08 (25)
        Для того чтобы туннели оставались поднятыми постоянно я делал route-based vpn на, Aleks305, 02-Ноя-11, 10:28 (26)
        На ASA подняты а можно пример route-based это gre тунели чтоле , kopic, 02-Ноя-11, 15:45 (27)
        нет на джунипере надо - Asa не надо трогать , Aleks305, 02-Ноя-11, 17:04 (28)
        Можешь тогда дать пример конфига У меня есть тестовый джунипер, я на нем потрени, kopic, 02-Ноя-11, 17:57 (29)
        Могешь даже тот поправить, который я прислал , kopic, 02-Ноя-11, 17:57 (30)
        http forums juniper net t5 SRX-Services-Gateway SRX240-to-Cisco-IPsec-site-to-, Aleks305, 02-Ноя-11, 22:48 (31)
        Конечно погляжу сегодня Но вот эта строчка меня сразу пугает Anyone know if it, kopic, 03-Ноя-11, 09:25 (32)
        2- Route based VPN Here you can create multiple phase 2 VPN entries where you e, kopic, 03-Ноя-11, 09:34 (33)
        я делал с одним st0 0 больше не практиковал Просто у меня сетку целую надо было , Aleks305, 03-Ноя-11, 11:36 (34)
        А могешь конфиг таки прислать а то интерфейсы я не создавал никогда, а в статье, kopic, 03-Ноя-11, 11:50 (35)
        set interface st0 0 , Aleks305, 03-Ноя-11, 13:29 (36)
        Ну вот смотри чего я налабал Нифига не работает Помогай, где чего не так interf, kopic, 03-Ноя-11, 14:10 (37)
        как-то такfrom-zone trust to-zone vpn policy loc-to-remote match source-ad, Aleks305, 03-Ноя-11, 15:28 (40)
        даже первая фаза не строится , kopic, 03-Ноя-11, 14:10 (38)
        zone и zone-pair поменял То есть у тебя будет теперь 3 зоны trust,untrust и vpn , Aleks305, 03-Ноя-11, 15:24 (39)
        неа забыл Щас поменяю , kopic, 03-Ноя-11, 15:41 (41)
        ну как дела , Aleks305, 06-Ноя-11, 00:33 (42)
        работает все ок Спасибо за помощь , kopic, 22-Дек-11, 11:23 (43)
        хорошо, что через 2 месяца ответил, Aleks305, 22-Дек-11, 14:05 (44)
        to Aleks305А вот ещё у меня вопрос такой есть, как на нем поглядеть соединения н, kopic, 12-Янв-12, 14:40 (45)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру