The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"IPSEC-шифрование трафика циски "
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"IPSEC-шифрование трафика циски " 
Сообщение от andrew emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 18-Июн-04, 14:53  (MSK)
Уважаемые! Есть 1760, 1 IP реальный, 1 - левый. И есть FreeBSD с аналогичными интефейсами. Как заставить циску шифровать весь трафик между ней и фрихой не уточняя приватных сетей? Шифровать трафик из одной приватной сети в другую - без проблем, шифровать весь трафик между 2 фрихами - тоже без проблем, а вот циска-фриха - никак...
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "IPSEC-шифрование трафика циски " 
Сообщение от Corhaid Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 21-Июн-04, 02:07  (MSK)
>Уважаемые! Есть 1760, 1 IP реальный, 1 - левый. И есть FreeBSD
>с аналогичными интефейсами. Как заставить циску шифровать весь трафик между ней
>и фрихой не уточняя приватных сетей? Шифровать трафик из одной приватной
>сети в другую - без проблем, шифровать весь трафик между 2
>фрихами - тоже без проблем, а вот циска-фриха - никак...

Идеология IPSec на сиске такова, что шифруются только явно указанные сети. Решение - строить GRE Tunnel  и шифровать его целиком.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "IPSEC-шифрование трафика циски " 
Сообщение от andrew emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 21-Июн-04, 17:06  (MSK)
>>Уважаемые! Есть 1760, 1 IP реальный, 1 - левый. И есть FreeBSD
>>с аналогичными интефейсами. Как заставить циску шифровать весь трафик между ней
>>и фрихой не уточняя приватных сетей? Шифровать трафик из одной приватной
>>сети в другую - без проблем, шифровать весь трафик между 2
>>фрихами - тоже без проблем, а вот циска-фриха - никак...
>
>Идеология IPSec на сиске такова, что шифруются только явно указанные сети. Решение
>- строить GRE Tunnel  и шифровать его целиком.
А не встречал ли кто примеров настройки шифрованного gre-туннеля?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "IPSEC-шифрование трафика циски " 
Сообщение от Skiv Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 21-Июн-04, 18:21  (MSK)
>>>Уважаемые! Есть 1760, 1 IP реальный, 1 - левый. И есть FreeBSD
>>>с аналогичными интефейсами. Как заставить циску шифровать весь трафик между ней
>>>и фрихой не уточняя приватных сетей? Шифровать трафик из одной приватной
>>>сети в другую - без проблем, шифровать весь трафик между 2
>>>фрихами - тоже без проблем, а вот циска-фриха - никак...
>>
>>Идеология IPSec на сиске такова, что шифруются только явно указанные сети. Решение
>>- строить GRE Tunnel  и шифровать его целиком.
>А не встречал ли кто примеров настройки шифрованного gre-туннеля?


что то вроде этого (там IPX - просто удали все что про него)
http://www.cisco.com/en/US/tech/tk827/tk369/technologies_configuration_example09186a0080093f70.shtml

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "IPSEC-шифрование трафика циски " 
Сообщение от andrew emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 22-Июн-04, 17:41  (MSK)
Поднял GRE-туннел - те же грабли, вид сбоку...
из подсетки в подсетку шифрует, а ping с циски на фриху идет мимо туннеля.
роутинг ip route 0.0.0.0 0.0.0.0 tunnel0. Где копать?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "IPSEC-шифрование трафика циски " 
Сообщение от Corhaid Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 23-Июн-04, 01:42  (MSK)
>Поднял GRE-туннел - те же грабли, вид сбоку...
>из подсетки в подсетку шифрует, а ping с циски на фриху идет
>мимо туннеля.
>роутинг ip route 0.0.0.0 0.0.0.0 tunnel0. Где копать?

Ну конфигу попрошу в студию, для начала сиськину.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "IPSEC-шифрование трафика циски " 
Сообщение от andrew emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 23-Июн-04, 09:20  (MSK)
>>Поднял GRE-туннел - те же грабли, вид сбоку...
>>из подсетки в подсетку шифрует, а ping с циски на фриху идет
>>мимо туннеля.
>>роутинг ip route 0.0.0.0 0.0.0.0 tunnel0. Где копать?
>
>Ну конфигу попрошу в студию, для начала сиськину.


crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
crypto isakmp key 123456 address IP_PUB_CISCO
!
!
crypto ipsec transform-set fgs esp-3des esp-md5-hmac
!
crypto map fgm local-address FastEth0/0
crypto map fgm local-address Loopb0
crypto map fgm local-address Tunnel0
crypto map fgm 1 ipsec-isakmp
set peer IP_PUB_BSD
set transform-set fgs
set pfs group2
match address 100
!
!
!
interface Tunnel0
ip address IP_TUN_1 255.255.255.252
  tunnel source IP_PUB_CISCO
tunnel destination IP_PUB_BSD
crypto map fgm
!
interface Ethernet0/0
description local
ip address IP_LOCAL 255.255.255.0
!
interface FastEthernet0/0
ip address IP_PUB_CISCO 255.255.255.0
crypto map fgm
!

ip route 0.0.0.0 0.0.0.0 tun0
access-list 100 permit gre host 172.20.25.20 host 172.20.25.21

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "IPSEC-шифрование трафика циски " 
Сообщение от andrew emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 23-Июн-04, 09:22  (MSK)
Малость ошибся - Access-list выглядит так:
access-list 100 permit gre host IP_PUB_CISCO host IP_PUB_BSD
  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "IPSEC-шифрование трафика циски " 
Сообщение от Corhaid Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 23-Июн-04, 09:33  (MSK)

>crypto isakmp key 123456 address IP_PUB_CISCO
Здесь должен быть ключ удаленного адреса. т.е. должен быть БСДшный адрес.

>crypto map fgm local-address FastEth0/0
>crypto map fgm local-address Loopb0
>crypto map fgm local-address Tunnel0
Обычно ничего этого не пишу. И все тип-топ


> interface Tunnel0
> ip address IP_TUN_1 255.255.255.252
>  tunnel source IP_PUB_CISCO
> tunnel destination IP_PUB_BSD
> crypto map fgm

Если версия ИОС 12.3 то крипто-мапа на туннеле не нужна 100%. И в 12.2 у меня на 12.2(23) и выше без нее все работает.

>ip route 0.0.0.0 0.0.0.0 tun0

Можно попробовать заменить тун0 на ИП адрес выхода из туннеля.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "IPSEC-шифрование трафика циски " 
Сообщение от ВОЛКА emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 23-Июн-04, 11:20  (MSK)
а на циске других роутов больше нет??
  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "IPSEC-шифрование трафика циски " 
Сообщение от andrew emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 23-Июн-04, 12:05  (MSK)
IOS Version 12.2(15)T9
без крипто-мапа туннель вааще не поднимается
других маршрутов нет, кроме ip route 0.0.0.0 0.0.0.0 tun0
(пытался ставить вместо tun0 ip фришного конца туннеля - монопенисуально)
когда пингуешь фриху с циски tcpdump пишет
cisco_pub_ip > bsd_pub_ip: icmp: echo request
и пинг не проходит (явно идет мимо туннеля)
а вот када пингуешь циску с фрихи - пинги лезут в туннель, но циска не отзывается:
bsd_pub_ip > cisco_pub_ip: ESP(spi=0x8f376f05,seq=0x18
bsd_pub_ip > cisco_pub_ip: ESP(spi=0x8f376f05,seq=0x19
а весь трафик из локальных сетей уходит в туннель нормально
cisco_pub_ip > bsd_pub_ip : ESP(spi=0x0b111d17,seq=0x19)
bsd_pub_ip > cisco_pub_ip : ESP(spi=0x8f376f05,seq=0x27)
То ли какая то хрень с access-list, то ли c роутингом...


  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "IPSEC-шифрование трафика циски " 
Сообщение от ВОЛКА emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 23-Июн-04, 12:17  (MSK)
надо прописать еще маршрут на другой конец тунеля....
  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "IPSEC-шифрование трафика циски " 
Сообщение от andrew emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 23-Июн-04, 12:52  (MSK)
>IOS Version 12.2(15)T9
>без крипто-мапа туннель вааще не поднимается
>других маршрутов нет, кроме ip route 0.0.0.0 0.0.0.0 tun0
>(пытался ставить вместо tun0 ip фришного конца туннеля - монопенисуально)
>когда пингуешь фриху с циски tcpdump пишет
> cisco_pub_ip > bsd_pub_ip: icmp: echo request
>и пинг не проходит (явно идет мимо туннеля)
>а вот када пингуешь циску с фрихи - пинги лезут в туннель,
>но циска не отзывается:
> bsd_pub_ip > cisco_pub_ip: ESP(spi=0x8f376f05,seq=0x18
> bsd_pub_ip > cisco_pub_ip: ESP(spi=0x8f376f05,seq=0x19
>а весь трафик из локальных сетей уходит в туннель нормально
> cisco_pub_ip > bsd_pub_ip : ESP(spi=0x0b111d17,seq=0x19)
> bsd_pub_ip > cisco_pub_ip : ESP(spi=0x8f376f05,seq=0x27)
>То ли какая то хрень с access-list, то ли c роутингом...

нашел беду -
надо access-list 100 permit ip host cisco_pub_ip host bsd_pub_ip
а было
надо access-list 100 permit gre host cisco_pub_ip host bsd_pub_ip

  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "IPSEC-шифрование трафика циски " 
Сообщение от andrew emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 30-Июн-04, 11:52  (MSK)
А вот еще вопрос: Если вместо интерфейса FastEth0/0 использовать
interface Serial0
physical-layer async
ip address cisco_pub_ip 255.255.255.252
encapsulation ppp
как в этом случае поднять туннель?
как делать сrypto map на cisco_pub_ip?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "IPSEC-шифрование трафика циски " 
Сообщение от Corhaid Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 01-Июл-04, 01:49  (MSK)
>А вот еще вопрос: Если вместо интерфейса FastEth0/0 использовать
>interface Serial0
> physical-layer async
> ip address cisco_pub_ip 255.255.255.252
> encapsulation ppp
>как в этом случае поднять туннель?
>как делать сrypto map на cisco_pub_ip?

По идее все должно быть так же. Но я сам не пробовал именно в таком виде - у меня на РРР асинках нигде нету IPSec, только старый Cisco`вский CET. Но на синхронном РРР все работает без проблемм.

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру