URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 15356
[ Назад ]

Исходное сообщение
"IPSec тунель - Netsim 6.0"

Отправлено damianAVS , 27-Янв-08 09:44 
Привет Всем. Будьте добры подскажите, а то что-то я не допонимаю.

Есть примтивная схема:

Lan (192.168.1.0) -> Switch (192.168.1.1) ->Router(192.168.1.100 - S1 ???)
и соответственно зеркало
Lan (192.168.2.0) -> Switch (192.168.2.1) ->Router(192.168.2.100 - S0 ???)

Мне нужно через Интернет создать IPSec туннель.

Соответственно я понимаю , у меня должны быть два Реальных IP, с одной стороны и сдругой.
Пусть будут : 220.220.220.201 - S1 и S0 - 220.220.220.200

Вопрос:

Set peer - адрес другого маршрутизатора  - Это IP адрес interface Tunel0 и Tunel1(которые надо создавать? просто у меня нету такой возможности, я пишу interf tunnel0 - Invalid comand) -
Т.е. любой типа 10.0.0.1 и 10.0.0.2

или надо прописать реальные IP адреса ?

Если нужно прописать реальные тогда такой вопрос:
Можно ли с помощью nat и access-list настроить хождения трафика, чтобы интернетовский шел в интернет а между локалками по IPSec.

Подскажите люди добрые:

PS: почему-то при такой конфигурации, у меня не идет пинг из одной подсети в другую, с компов,а со свитчей идет?

R1:

R_3640_#sh r
Building configuration...

!
Version 12.1
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname R_3640_
enable secret 5 $sdf$6978yhg$jnb76sd
!
!
!
ip subnet-zero
!
!
!
!
crypto isakmp policy 10
authentication pre-share
!
crypto isakmp key asdf address 10.0.0.1
!
crypto ipsec security-association lifetime seconds 3000
!
crypto ipsec transform-set ipsec_nabor esp-des
!
crypto map name_map_ipsec_3640 1 ipsec-isakmp
set peer 10.0.0.2
set transform-set ipsec_nabor
match address 122
!
!
ip host router2 160.10.1.2
!
!
!
!
interface Serial1/0
ip address 10.0.0.1 255.255.255.252
no ip directed-broadcast
bandwidth 1544
crypto map name_map_ipsec_3640
!
interface FastEthernet0/0
ip address 192.168.1.100 255.255.255.0
no ip directed-broadcast
bandwidth 100000
!
!
router eigrp 111
redistribute IGRP 222
network 10.0.0.0
network 192.168.2.0
network 192.168.1.0
!

ip classless
no ip http server
access-list 122 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 122 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 122 permit ip host 10.0.0.1 host 10.0.0.2
access-list 122 permit ip host 10.0.0.2 host 10.0.0.1
access-list 122 deny   ip any any
!
!
cdp holdtime 170
cdp timer 50
!
banner motd ^C
Welcome to Router1 - Authorized Users Only ^C
line con 0
login
transport input none
password boson
line aux 0
line vty 0 4
!
no scheduler allocate

R2:

R2620_#sh r
Building configuration...

!
Version 12.1
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname R2620_
enable secret 5 $sdf$6978yhg$jnb76sd
!
!
!
ip subnet-zero
!
!
!
!
crypto isakmp policy 10
authentication pre-share
!
crypto isakmp key asdf address 10.0.0.1
!
!
crypto ipsec transform-set ipsec_r2620 esp-des
!
crypto map name_map_ipsec_2620 1 ipsec-isakmp
set peer 10.0.0.1
set transform-set ipsec_r2620
match address 122
!
!
!
!
!
!
!
interface Serial1
ip address 10.0.0.2 255.255.255.252
no ip directed-broadcast
bandwidth 1544
crypto map name_map_ipsec_2620
!
interface FastEthernet0/0
ip address 192.168.2.100 255.255.255.0
no ip directed-broadcast
bandwidth 100000
!
!
router eigrp 111
redistribute IGRP 222
network 10.0.0.0
network 192.168.1.0
network 192.168.2.0

!
ip classless
no ip http server
access-list 122 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 122 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 122 permit ip host 10.0.0.2 host 10.0.0.1
access-list 122 permit ip host 10.0.0.1 host 10.0.0.2
access-list 122 deny   ip any any log
!
!
!
line con 0
transport input none
line aux 0
line vty 0 4
login
password cisco
!
no scheduler allocate
end

PS2:
Clock rate 56000 - почему-то не отображается, хотя выствлял

R2620_(config)#int s1
R2620_(config-if)#clock rate 56000
R2620_(config-if)#no shutdown

PS3:
Извините если что не так


Содержание

Сообщения в этом обсуждении
"IPSec тунель - Netsim 6.0"
Отправлено ajaxx , 28-Янв-08 14:19 
бррррр...наворотили...в принципе, действия правильные, но уже вижу немного лишнего мусора...set peer - это адрес удаленного интерфейса, с которым поднимается туннель..и это не любой адрес..в вашем случае это должны быть публичные адреса, т.е. непосредственно адреса wan-овских интерфейсов...простым языком - вначале нужно элементарно создать связность двух маршрутизаторов, а после этого поднимать туннель..
1. повесить на serial-интерфейсы некие адреса (если вы работаете в нетсиме, то это могут быть и приватные)
2. создать крипто-полисинг, который будет описывать не только аутентификацию, но и методы шифрования (должен совпадать на обоих сторонах):
crypto isakmp policy 1
encr aes
authentication pre-share
group 2
3. создать одинаковые ключи (crypto isakmp key)
4. описать механизм инкапсуляции, например:
crypto ipsec transform-set VPN esp-aes 256 esp-md5-hmac
5. создать акцес-лист, который будет описывать защищаемые сети
6. создать непосредственно сам crypto-map:
crypto map GRE 50 ipsec-isakmp
set peer (удаленный адрес)
set transform-set VPN
match address (имя или номер ACL)
7. и, наконец, повесить созданный крипто-мап на wan-овский интерфейс..

замечу, что туннель поднимется только, если инициатором соединения будет какой-либо адрес защищаемой сети..

удалите все свои конфиги и сделайте заново по приведенным выше шагам...

зы: акцес-лист должен выглядеть следующим образом:
access-list 100 permit ip [локальная защищаемая сеть] [удаленная защищаемая сеть]