форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

"Cisco ISAKMP IPSEC"	+/–
Сообщение от drake0103 (ok) on 15-Дек-15, 19:42
Добрый день, дали задачу настроить впн. В сетях я не очень разбираюь, по этому делал аналогично тому как настроены другие тунели. Железка к которой нужно подключится находится далеко и доступа туда нету, там дугие админы сетапят Задача от них Device IP         109.202.112.DD VPN Network's        10.5.30.0/26 ISAKMP (Phase1)     Authentication Method    Pre-Shared Key  (To be exchanged over text message or over the phone) Encryption Algorithm    Aes256 Hashing Algorithm    SHA2 Diffie-Hellman Group    Group 2 Lifetime    86400 seconds IPSec (Phase 2)     Encryption Algorithm    AES256 Authentication Algorithm    SHA2 Perfect Forward Secrecy    no pfs Lifetime    3600 seconds IPSec Granularity    ESP Настроил у себя crypto isakmp policy 5 encr aes 256 hash sha256 authentication pre-share group 2 crypto isakmp key g4L4cor4lt0k4ndc address 109.202.112.DD crypto ipsec transform-set telebet esp-aes 256 esp-sha256-hmac mode tunnel crypto map MAP_TO_tunnels 11 ipsec-isakmp description TeleBet   set peer 109.202.112.DD set transform-set telebet match address Telebet ip access-list extended Telebet permit ip 10.5.30.64 0.0.0.63 10.5.30.0 0.0.0.63 Добаил еще и роут ip route  109.202.112.DD 1255.255.255.255 213.160.153.DD permanent Но подключениях нету добавленного айпи #show crypto isakmp sa IPv4 Crypto ISAKMP SA dst             src             state          conn-id status 82.146.CC.DD    95.67.CC.DD   QM_IDLE           7573 ACTIVE 213.160.CC.DD   148.251.CC.DD Может я что то упустил, подскажите что не так
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Cisco ISAKMP IPSEC"	+/–
Сообщение от Andrey (??) on 15-Дек-15, 22:39
>[оверквотинг удален] > #show crypto isakmp sa > IPv4 Crypto ISAKMP SA > dst             >  src           >    state         >   conn-id status > 82.146.CC.DD    95.67.CC.DD   QM_IDLE     >       7573 ACTIVE > 213.160.CC.DD   148.251.CC.DD > Может я что то упустил, подскажите что не так 1. Сначала снимаете криптомап с интерфейса, потом настраиваете, потом вешаете криптомап на интерфейс обратно. 2. Из объяснения не понятно: это должен быть именно криптомап на интерфейсе или это должен быть туннель (GRE or IPIP)с IPSec? Из вашего объяснения складывается впечатление про необходимость криптомапа, но что скажут удаленные админы? 3. Из вашего объяснения не ясно, вы создали новый криптомап или добавили конфигурацию к существующему? 4. Скрипач... ,пардон, дополнительный маршрут не нужен, если только у вас не несколько каналов и вас ждут с определенного IP.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Cisco ISAKMP IPSEC"	+/–
	Сообщение от drake0103 (ok) on 16-Дек-15, 12:47
	>[оверквотинг удален] >> dst >>  src >>    state >>   conn-id status >> 82.146.CC.DD    95.67.CC.DD   QM_IDLE >>       7573 ACTIVE >> 213.160.CC.DD   148.251.CC.DD >> Может я что то упустил, подскажите что не так > 1. Сначала снимаете криптомап с интерфейса, потом настраиваете, потом вешаете криптомап > на интерфейс обратно. Снял настроил и обратно повесил результату ноль. Поправка, так сделал, на интерфейсе появился: Crypto Map IPv4 "MAP_tunnels" 11 ipsec-isakmp     Description: telbet_coral_test     Peer = 109.202.112.DD     Extended IP access list Telebet         access-list Telebet permit ip 10.5.30.64 0.0.0.63 10.5.30.0 0.0.0.63         access-list Telebet permit ip 10.5.30.0 0.0.0.63 10.5.30.64 0.0.0.63     Current peer: 109.202.112.DD     Security association lifetime: 4608000 kilobytes/3600 seconds     Responder-Only (Y/N): N     PFS (Y/N): N     Transform sets={         Playtech_coral_telebet:  { esp-256-aes esp-sha256-hmac  } ,         }     Interfaces using crypto map MAP_TO_Playtech_tunnels:         GigabitEthernet0/0         GigabitEthernet0/1 > 2. Из объяснения не понятно: это должен быть именно криптомап на интерфейсе > или это должен быть туннель (GRE or IPIP)с IPSec? Из вашего > объяснения складывается впечатление про необходимость криптомапа, но что скажут удаленные > админы? Тут настроено уже около 5 криптомапов в другую компанию по такому типу > 3. Из вашего объяснения не ясно, вы создали новый криптомап или добавили > конфигурацию к существующему? Создавал новый криптомап, так как нужен еще один тунель > 4. Скрипач... ,пардон, дополнительный маршрут не нужен, если только у вас не > несколько каналов и вас ждут с определенного IP. У нас два палинка и именно с этого айпи и юудут ждать
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Cisco ISAKMP IPSEC"	+/–
	Сообщение от Andrey (??) on 16-Дек-15, 22:11
	>[оверквотинг удален] >> или это должен быть туннель (GRE or IPIP)с IPSec? Из вашего >> объяснения складывается впечатление про необходимость криптомапа, но что скажут удаленные >> админы? > Тут настроено уже около 5 криптомапов в другую компанию по такому типу >> 3. Из вашего объяснения не ясно, вы создали новый криптомап или добавили >> конфигурацию к существующему? > Создавал новый криптомап, так как нужен еще один тунель >> 4. Скрипач... ,пардон, дополнительный маршрут не нужен, если только у вас не >> несколько каналов и вас ждут с определенного IP. > У нас два палинка и именно с этого айпи и юудут ждать Давайте с начала.   Криптомап это то, что вешается на интерфейс и определяется в конфигурации как "crypto map <NAME>". В той-же строке идет порядковый номер обработки. При наличии нескольких порядковых номеров криптомап с одним и тем-же <NAME> все равно остается только один. На один исходящий интерфейс можно повесить только один криптомап. Вы говорите что у вас 5 криптомапов. Это значит что у вас должно быть 5 внешних интерфейсов и на каждом свой криптомап. Далее... ТЗ: секция ISAKMP encryption - aes256; hash - sha2. У вас hash почему-то стал sha256. Почему вдруг?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Cisco ISAKMP IPSEC"	+/–
	Сообщение от drake0103 (ok) on 16-Дек-15, 23:26
	>[оверквотинг удален] > Давайте с начала. > Криптомап это то, что вешается на интерфейс и определяется в конфигурации как > "crypto map <NAME>". В той-же строке идет порядковый номер обработки. При > наличии нескольких порядковых номеров криптомап с одним и тем-же <NAME> все > равно остается только один. > На один исходящий интерфейс можно повесить только один криптомап. > Вы говорите что у вас 5 криптомапов. Это значит что у вас > должно быть 5 внешних интерфейсов и на каждом свой криптомап. > Далее... ТЗ: секция ISAKMP encryption - aes256; hash - sha2. У вас > hash почему-то стал sha256. Почему вдруг? Все криптомапы имеют одно название crypto map MAP_TO_tunnels 1 ipsec-isakmp description Tunnel to Israel set peer 178.255 set transform-set PlayTech_trans_set match address Israel ..................... crypto map MAP_TO_tunnels 11 ipsec-isakmp description telbet set peer 109.202. set transform-set telebet match address Telebet interface GigabitEthernet0/1 ..... crypto map MAP_TO_tunnels .... end > Далее... ТЗ: секция ISAKMP encryption - aes256; hash - sha2. У вас > hash почему-то стал sha256. Почему вдруг? Выбор только такой был (config-isakmp)#hash ?   md5     Message Digest 5   sha     Secure Hash Standard   sha256  Secure Hash Standard 2 (256 bit)   sha384  Secure Hash Standard 2 (384 bit)   sha512  Secure Hash Standard 2 (512 bit) Protection suite of priority 5         encryption algorithm:   AES - Advanced Encryption Standard (256 bit keys).         hash algorithm:         Secure Hash Standard 2 (256 bit)         authentication method:  Pre-Shared Key         Diffie-Hellman group:   #2 (1024 bit)         lifetime:               86400 seconds, no volume limit
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема