Здравствуйте.
Есть задача построить vpn между удаленными офисами, через арендованный канал.
Оборудование - Cisco PIX 515E и Cisco PIX 506.
Задача классическая, но почему-то не работает :)
Видимо, мы что-то делаем не так.
Заранее благодарен!
конфигурация:
PIX 515
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 vpn security10
nameif ethernet3 intf3 security6
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
access-list crypto1 permit ip 192.168.0.0 255.255.255.0 192.168.23.0 255.255.255
.0
ip address outside 192.168.1.1 255.255.255.0
ip address inside 192.168.0.64 255.255.255.0
ip address vpn 192.168.8.2 255.255.255.0
global (outside) 1 192.168.1.2-192.168.1.5 netmask 255.255.255.0
nat (inside) 0 access-list crypto1
nat (inside) 1 192.168.0.0 255.255.255.0 0 0
sysopt connection permit-ipsec
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto map pixmap 10 ipsec-isakmp
crypto map pixmap 10 match address crypto1
crypto map pixmap 10 set peer 192.168.8.3
crypto map pixmap 10 set transform-set myset
crypto map pixmap interface vpn
isakmp enable vpn
isakmp key 12345 address 192.168.8.3 netmask 255.255.255.255
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 2400
***************************************************************************************
PIX 506
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security99
ip address outside 192.168.8.3 255.255.255.0
ip address inside 192.168.23.20 255.255.255.0
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto map pix1map 10 ipsec-isakmp
crypto map pix1map 10 match address crypto1
crypto map pix1map 10 set peer 192.168.8.2
crypto map pix1map 10 set transform-set myset
crypto map pix1map interface outside
isakmp enable outside
isakmp key 12345 address 192.168.8.2 netmask 255.255.255.255
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 2400
>Здравствуйте.
>Есть задача построить vpn между удаленными офисами, через арендованный канал.
>Оборудование - Cisco PIX 515E и Cisco PIX 506.
>Задача классическая, но почему-то не работает :)
>Видимо, мы что-то делаем не так.
>Заранее благодарен!
>конфигурация:
>PIX 515
>interface ethernet0 auto
>interface ethernet1 auto
>interface ethernet2 auto
>interface ethernet3 auto shutdown
>interface ethernet4 auto shutdown
>interface ethernet5 auto shutdown
>nameif ethernet0 outside security0
>nameif ethernet1 inside security100
>nameif ethernet2 vpn security10
>nameif ethernet3 intf3 security6
>nameif ethernet4 intf4 security8
>nameif ethernet5 intf5 security10
>access-list crypto1 permit ip 192.168.0.0 255.255.255.0 192.168.23.0 255.255.255
>.0
>ip address outside 192.168.1.1 255.255.255.0
>ip address inside 192.168.0.64 255.255.255.0
>ip address vpn 192.168.8.2 255.255.255.0
>global (outside) 1 192.168.1.2-192.168.1.5 netmask 255.255.255.0
>nat (inside) 0 access-list crypto1
>nat (inside) 1 192.168.0.0 255.255.255.0 0 0
>sysopt connection permit-ipsec
>crypto ipsec transform-set myset esp-3des esp-sha-hmac
>crypto map pixmap 10 ipsec-isakmp
>crypto map pixmap 10 match address crypto1
>crypto map pixmap 10 set peer 192.168.8.3
>crypto map pixmap 10 set transform-set myset
>crypto map pixmap interface vpn
>isakmp enable vpn
>isakmp key 12345 address 192.168.8.3 netmask 255.255.255.255
>isakmp identity address
>isakmp policy 10 authentication pre-share
>isakmp policy 10 encryption 3des
>isakmp policy 10 hash md5
>isakmp policy 10 group 2
>isakmp policy 10 lifetime 2400
>***************************************************************************************
>PIX 506
>interface ethernet0 auto
>interface ethernet1 auto
>nameif ethernet0 outside security0
>nameif ethernet1 inside security99
>ip address outside 192.168.8.3 255.255.255.0
>ip address inside 192.168.23.20 255.255.255.0
>crypto ipsec transform-set myset esp-3des esp-sha-hmac
>crypto map pix1map 10 ipsec-isakmp
>crypto map pix1map 10 match address crypto1
>crypto map pix1map 10 set peer 192.168.8.2
>crypto map pix1map 10 set transform-set myset
>crypto map pix1map interface outside
>isakmp enable outside
>isakmp key 12345 address 192.168.8.2 netmask 255.255.255.255
>isakmp policy 10 authentication pre-share
>isakmp policy 10 encryption 3des
>isakmp policy 10 hash md5
>isakmp policy 10 group 2
>isakmp policy 10 lifetime 2400
Где на 506ом access-list для впн? access-list должен быть симетричен акцес-листу на 515 (наоборот), иначе на заработает.
Где route. Не указал куда роутить запросы на 23тью сеть (для 515 - route vpn 192.168.23.0 255.255.255.0 192.168.8.3 ).
симметричный acess-list и необходимый route тоже, прошу прощения в торопях копировал конфигу. Кроме этого какие-то проблемы еще могут быть?
>симметричный acess-list и необходимый route тоже, прошу прощения в торопях копировал конфигу.
>Кроме этого какие-то проблемы еще могут быть?Могут быть траблы в самом IOS. У меня несколько раз были - некоторые команды типа sysopt connection permit-vpn (на ASA 5520) не работала, пока не перезалил ios
>>симметричный acess-list и необходимый route тоже, прошу прощения в торопях копировал конфигу.
>>Кроме этого какие-то проблемы еще могут быть?
>
>Могут быть траблы в самом IOS. У меня несколько раз были -
>некоторые команды типа sysopt connection permit-vpn (на ASA 5520) не
>работала, пока не перезалил iosМогу выложить нормальный IOS - 722 (8 метров), попробуешь (вот только не знаю, станет ли на 506). выложу на ftp://ciscoman:ciscoman@81.17.157.10/ в UPLOAD/tmp