The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Cisco ISAKMP IPSEC"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"Cisco ISAKMP IPSEC"  +/
Сообщение от drake0103 email(ok) on 15-Дек-15, 19:42 
Добрый день, дали задачу настроить впн. В сетях я не очень разбираюь, по этому делал аналогично тому как настроены другие тунели.

Железка к которой нужно подключится находится далеко и доступа туда нету, там дугие админы сетапят

Задача от них

Device IP         109.202.112.DD
VPN Network's        10.5.30.0/26


ISAKMP (Phase1)    
Authentication Method    Pre-Shared Key  (To be exchanged over text message or over the phone)
Encryption Algorithm    Aes256
Hashing Algorithm    SHA2
Diffie-Hellman Group    Group 2
Lifetime    86400 seconds


IPSec (Phase 2)    
Encryption Algorithm    AES256
Authentication Algorithm    SHA2
Perfect Forward Secrecy    no pfs
Lifetime    3600 seconds
IPSec Granularity    ESP

Настроил у себя

crypto isakmp policy 5
encr aes 256
hash sha256
authentication pre-share
group 2

crypto isakmp key g4L4cor4lt0k4ndc address 109.202.112.DD


crypto ipsec transform-set telebet esp-aes 256 esp-sha256-hmac
mode tunnel


crypto map MAP_TO_tunnels 11 ipsec-isakmp
description TeleBet  
set peer 109.202.112.DD
set transform-set telebet
match address Telebet

ip access-list extended Telebet
permit ip 10.5.30.64 0.0.0.63 10.5.30.0 0.0.0.63

Добаил еще и роут

ip route  109.202.112.DD 1255.255.255.255 213.160.153.DD permanent

Но подключениях нету добавленного айпи
#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
82.146.CC.DD    95.67.CC.DD   QM_IDLE           7573 ACTIVE
213.160.CC.DD   148.251.CC.DD

Может я что то упустил, подскажите что не так


Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco ISAKMP IPSEC"  +/
Сообщение от Andrey (??) on 15-Дек-15, 22:39 
>[оверквотинг удален]
> #show crypto isakmp sa
> IPv4 Crypto ISAKMP SA
> dst            
>  src          
>    state        
>   conn-id status
> 82.146.CC.DD    95.67.CC.DD   QM_IDLE    
>       7573 ACTIVE
> 213.160.CC.DD   148.251.CC.DD
> Может я что то упустил, подскажите что не так

1. Сначала снимаете криптомап с интерфейса, потом настраиваете, потом вешаете криптомап на интерфейс обратно.
2. Из объяснения не понятно: это должен быть именно криптомап на интерфейсе или это должен быть туннель (GRE or IPIP)с IPSec? Из вашего объяснения складывается впечатление про необходимость криптомапа, но что скажут удаленные админы?
3. Из вашего объяснения не ясно, вы создали новый криптомап или добавили конфигурацию к существующему?
4. Скрипач... ,пардон, дополнительный маршрут не нужен, если только у вас не несколько каналов и вас ждут с определенного IP.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Cisco ISAKMP IPSEC"  +/
Сообщение от drake0103 email(ok) on 16-Дек-15, 12:47 
>[оверквотинг удален]
>> dst
>>  src
>>    state
>>   conn-id status
>> 82.146.CC.DD    95.67.CC.DD   QM_IDLE
>>       7573 ACTIVE
>> 213.160.CC.DD   148.251.CC.DD
>> Может я что то упустил, подскажите что не так
> 1. Сначала снимаете криптомап с интерфейса, потом настраиваете, потом вешаете криптомап
> на интерфейс обратно.

Снял настроил и обратно повесил результату ноль.
Поправка, так сделал, на интерфейсе появился:

Crypto Map IPv4 "MAP_tunnels" 11 ipsec-isakmp
    Description: telbet_coral_test
    Peer = 109.202.112.DD
    Extended IP access list Telebet
        access-list Telebet permit ip 10.5.30.64 0.0.0.63 10.5.30.0 0.0.0.63
        access-list Telebet permit ip 10.5.30.0 0.0.0.63 10.5.30.64 0.0.0.63
    Current peer: 109.202.112.DD
    Security association lifetime: 4608000 kilobytes/3600 seconds
    Responder-Only (Y/N): N
    PFS (Y/N): N
    Transform sets={
        Playtech_coral_telebet:  { esp-256-aes esp-sha256-hmac  } ,
        }
    Interfaces using crypto map MAP_TO_Playtech_tunnels:
        GigabitEthernet0/0

        GigabitEthernet0/1

> 2. Из объяснения не понятно: это должен быть именно криптомап на интерфейсе
> или это должен быть туннель (GRE or IPIP)с IPSec? Из вашего
> объяснения складывается впечатление про необходимость криптомапа, но что скажут удаленные
> админы?

Тут настроено уже около 5 криптомапов в другую компанию по такому типу
> 3. Из вашего объяснения не ясно, вы создали новый криптомап или добавили
> конфигурацию к существующему?

Создавал новый криптомап, так как нужен еще один тунель
> 4. Скрипач... ,пардон, дополнительный маршрут не нужен, если только у вас не
> несколько каналов и вас ждут с определенного IP.

У нас два палинка и именно с этого айпи и юудут ждать


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Cisco ISAKMP IPSEC"  +/
Сообщение от Andrey (??) on 16-Дек-15, 22:11 
>[оверквотинг удален]
>> или это должен быть туннель (GRE or IPIP)с IPSec? Из вашего
>> объяснения складывается впечатление про необходимость криптомапа, но что скажут удаленные
>> админы?
> Тут настроено уже около 5 криптомапов в другую компанию по такому типу
>> 3. Из вашего объяснения не ясно, вы создали новый криптомап или добавили
>> конфигурацию к существующему?
> Создавал новый криптомап, так как нужен еще один тунель
>> 4. Скрипач... ,пардон, дополнительный маршрут не нужен, если только у вас не
>> несколько каналов и вас ждут с определенного IP.
> У нас два палинка и именно с этого айпи и юудут ждать

Давайте с начала.  
Криптомап это то, что вешается на интерфейс и определяется в конфигурации как "crypto map <NAME>". В той-же строке идет порядковый номер обработки. При наличии нескольких порядковых номеров криптомап с одним и тем-же <NAME> все равно остается только один.
На один исходящий интерфейс можно повесить только один криптомап.
Вы говорите что у вас 5 криптомапов. Это значит что у вас должно быть 5 внешних интерфейсов и на каждом свой криптомап.

Далее... ТЗ: секция ISAKMP encryption - aes256; hash - sha2. У вас hash почему-то стал sha256. Почему вдруг?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Cisco ISAKMP IPSEC"  +/
Сообщение от drake0103 (ok) on 16-Дек-15, 23:26 
>[оверквотинг удален]
> Давайте с начала.
> Криптомап это то, что вешается на интерфейс и определяется в конфигурации как
> "crypto map <NAME>". В той-же строке идет порядковый номер обработки. При
> наличии нескольких порядковых номеров криптомап с одним и тем-же <NAME> все
> равно остается только один.
> На один исходящий интерфейс можно повесить только один криптомап.
> Вы говорите что у вас 5 криптомапов. Это значит что у вас
> должно быть 5 внешних интерфейсов и на каждом свой криптомап.
> Далее... ТЗ: секция ISAKMP encryption - aes256; hash - sha2. У вас
> hash почему-то стал sha256. Почему вдруг?

Все криптомапы имеют одно название
crypto map MAP_TO_tunnels 1 ipsec-isakmp
description Tunnel to Israel
set peer 178.255
set transform-set PlayTech_trans_set
match address Israel

.....................

crypto map MAP_TO_tunnels 11 ipsec-isakmp
description telbet
set peer 109.202.
set transform-set telebet
match address Telebet

interface GigabitEthernet0/1
.....
crypto map MAP_TO_tunnels
....
end


> Далее... ТЗ: секция ISAKMP encryption - aes256; hash - sha2. У вас
> hash почему-то стал sha256. Почему вдруг?

Выбор только такой был

(config-isakmp)#hash ?
  md5     Message Digest 5
  sha     Secure Hash Standard
  sha256  Secure Hash Standard 2 (256 bit)
  sha384  Secure Hash Standard 2 (384 bit)
  sha512  Secure Hash Standard 2 (512 bit)


Protection suite of priority 5
        encryption algorithm:   AES - Advanced Encryption Standard (256 bit keys).
        hash algorithm:         Secure Hash Standard 2 (256 bit)
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #2 (1024 bit)
        lifetime:               86400 seconds, no volume limit

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру