URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 15477
[ Назад ]

Исходное сообщение
"vpn тунель между 2-мя Cisco 871 "

Отправлено Александр , 08-Фев-08 12:09 
LAN(192.168.0.x/24) -> cisco 871 (fixed ext ip)-> internet <- (fixed ext.ip)(dlink-router nat) <- cisco 871 <- (192.168.1.x/24) LAN
вот такая схема включения!
одна киска за натом (причем наитупейшим натом но проброс портов организовать можно), др. циска имеет внешний ip, необходимо объеденить две сети, если кто сталкивался с документацией по объеденению сетей в подобном случае, дайте сцылку.
я читал:
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
проблема в роутере что за натом, он вообще не инициализирует соединение с сервером (при снифе пакетов, с fa4 вообще ничего не уходит)
может есть др. примеры?

Содержание

Сообщения в этом обсуждении
"vpn тунель между 2-мя Cisco 871 "
Отправлено Giro , 08-Фев-08 12:58 
>LAN(192.168.0.x/24) -> cisco 871 (fixed ext ip)-> internet <- (fixed ext.ip)(dlink-router nat) <- cisco 871 <- (192.168.1.x/24) LAN
>вот такая схема включения!

или вы не указали подробностей или все элементарно...

>проблема в роутере что за натом, он вообще не инициализирует соединение с
>сервером

про что здесь речь?


"vpn тунель между 2-мя Cisco 871 "
Отправлено Александр , 08-Фев-08 13:04 
>>LAN(192.168.0.x/24) -> cisco 871 (fixed ext ip)-> internet <- (fixed ext.ip)(dlink-router nat) <- cisco 871 <- (192.168.1.x/24) LAN
>>вот такая схема включения!
>
>или вы не указали подробностей или все элементарно...

дайте плз ссылку непутевому, где почитать можно о настройки такой схемы.

>
>>проблема в роутере что за натом, он вообще не инициализирует соединение с
>>сервером
>
>про что здесь речь?

я говорил что делал по документации, канал у меня даже  не пытался встать... с интерфейса не перли пакеты...


"vpn тунель между 2-мя Cisco 871 "
Отправлено Александр , 08-Фев-08 13:05 
>>LAN(192.168.0.x/24) -> cisco 871 (fixed ext ip)-> internet <- (fixed ext.ip)(dlink-router nat) <- cisco 871 <- (192.168.1.x/24) LAN
>>вот такая схема включения!
>
>или вы не указали подробностей или все элементарно...

не могли бы вы дать ссылку на документацию.


"vpn тунель между 2-мя Cisco 871 "
Отправлено Giro , 08-Фев-08 13:15 
Вот честно самого раздражает когда отправляют в гугль или cisco.com но вам наверное сначала туда.
Можете еще ciscolab.ru там много переводов на русский для типичных примеров.
И не зацикоивайтесь на dlink-е вашем, если он все тупо натит - забудьте про него.


"vpn тунель между 2-мя Cisco 871 "
Отправлено Александр , 12-Фев-08 16:43 
многоуважаемый Грио, подскажите пожалйста
в случае если я на dlink проброшу на циску 500 и 4500 порты
должн ли у меня поднятся канал между сетями?
я настраиваю железки по примеру
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...

кто мне может объяснить что означает ошибка
stasova#
Feb 12 13:39:31.921: IPSEC(crypto_map_check_encrypt_core): CRYPTO: Packet dropped because cryptomap is currently being created
stasova#


"vpn тунель между 2-мя Cisco 871 "
Отправлено bfc , 13-Фев-08 14:06 
>>>LAN(192.168.0.x/24) -> cisco 871 (fixed ext ip)-> internet <- (fixed ext.ip)(dlink-router nat) <- cisco 871 <- (192.168.1.x/24) LAN
>>>вот такая схема включения!
>>
>>или вы не указали подробностей или все элементарно...
>
>не могли бы вы дать ссылку на документацию.

http://www.dlink.ru/technical/faq_vpn_1.php

мне это помогло когда-то, возможно и вам поможет. На модель длинка не обращайте внимание у них ipsec одинаково настраивается.


"vpn тунель между 2-мя Cisco 871 "
Отправлено Ярослав Росомахо , 12-Фев-08 17:01 
Пусть у маршрутизатора который не за натом IP - 1.1.1.1, а у DLINKа внешний IP - 2.2.2.2. Пусть интерфейс WAN называется WAN0/0.

Маршрутизатор который за натом:

crypto isakmp policy 10
auth pre
hash md5
encr 3des
group 5

crypto isakmp key VERYBIGSECRET addr 1.1.1.1

crypto ipsec transform 3DES_MD5 esp-3des esp-md5

ip access-list e R1_TO_R2
permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255

crypto map VPN 10 ipsec-isakmp
set peer 1.1.1.1
set trans 3DES_MD5
match addr R1_TO_R2

int WAN0/0
crypto map VPN

Маршрутизатор который не за натом:

crypto isakmp policy 10
auth pre
hash md5
encr 3des
group 5

crypto isakmp key VERYBIGSECRET addr 2.2.2.2

crypto ipsec transform 3DES_MD5 esp-3des esp-md5

ip access-list e R2_TO_R1
permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255

crypto dynamic-map DYNAMIC 10
set trans 3DES_MD5
match addr R1_TO_R2

crypto map VPN 10 ipsec-isakmp dynamic DYNAMIC

int WAN0/0
crypto map VPN


Писал по памяти, где-то мог опечататься или ошибиться.


"vpn тунель между 2-мя Cisco 871 "
Отправлено Александр , 11-Мрт-08 18:48 
привожу в свой конфиги с логами, вышеперечисленные советы не помогли, если у кого есть мысли - пишите.

ервый гейт с внешним IP


! Last configuration change at 18:01:14 Moscow Tue Mar 11 2008 by concord
! NVRAM config last updated at 16:31:16 Moscow Tue Mar 11 2008 by concord
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname stasova
!
boot-start-marker
boot-end-marker
!
enable password ххх
!
aaa new-model
!
!
aaa authentication login clientauth local
aaa authorization network groupauthor local
!
!
aaa session-id common
clock timezone Moscow 3
!
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key ууу address 84.14.20.111
!
!
crypto ipsec transform-set basic esp-des esp-md5-hmac
!
!
!
!
crypto map mymap 10 ipsec-isakmp
set peer 84.14.20.111
set transform-set basic
match address 102
!
!
crypto pki trustpoint TP-self-signed-2459862607
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2459862607
revocation-check none
rsakeypair TP-self-signed-2459862607
!
!
ip cef
!
username ххх password 0 ххх
archive
log config
  hidekeys
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address 91.196.3.155 255.255.255.128
ip nat outside
no ip virtual-reassembly
duplex auto
speed auto
no cdp enable
crypto map mymap
!
interface Vlan1
ip address 192.168.69.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 91.196.3.129 permanent
!
ip http server
ip http secure-server
ip dns server
ip nat inside source list 1 interface FastEthernet4 overload
!
access-list 1 permit 192.168.69.0 0.0.0.255
access-list 102 permit ip 192.168.69.0 0.0.0.255 192.168.68.0 0.0.0.255
access-list 102 remark Crypto ACL
no cdp run
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
password ххх
!
!
webvpn cef
end

############################################################################################################
шлюз что за PATом - NATом


office#show running-config
Building configuration...

Current configuration : 2239 bytes
!
! Last configuration change at 18:02:37 Moscow Tue Mar 11 2008 by concord
! NVRAM config last updated at 15:05:03 Moscow Fri Mar 7 2008 by concord
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname office
!
boot-start-marker
boot-end-marker
!
enable password xxx
!
aaa new-model
!
!
aaa authentication login clientauth local
aaa authorization network groupauthor local
!
!
aaa session-id common
clock timezone Moscow 3
!
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key yyy address 91.196.3.155
!
!
crypto ipsec transform-set basic esp-des esp-md5-hmac
!
!
crypto map mymap 10 ipsec-isakmp
set peer 91.196.3.155
set transform-set basic
match address 102
!
!
!
no ip source-route
ip cef
!
!
username ххх password 0 ххх
archive
log config
  hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address 192.168.222.2 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
crypto map mymap
!
interface Vlan1
ip address 192.168.68.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 192.168.222.1
!
ip http server
ip http secure-server
ip dns server
ip nat inside source list 1 interface FastEthernet4 overload
!
access-list 1 permit 192.168.68.0 0.0.0.255
access-list 102 permit ip 192.168.68.0 0.0.0.255 192.168.69.0 0.0.0.255
access-list 102 remark Crypto ACL
no cdp run
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
password xxx
!
webvpn cef
end
############################################################################################################

у обоих версия IOS одинаковая
office#show version
Cisco IOS Software, C870 Software (C870-ADVSECURITYK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Wed 18-Jul-07 16:47 by prod_rel_team

ROM: System Bootstrap, Version 12.3(8r)YI4, RELEASE SOFTWARE

office uptime is 4 days, 3 hours, 50 minutes
System returned to ROM by reload at 14:22:04 Moscow Fri Feb 1 2008
System restarted at 14:35:46 Moscow Fri Mar 7 2008
System image file is "flash:c870-advsecurityk9-mz.124-15.T1.bin"
Configuration register is 0x2102

############################################################################################################

в качестве шлюза (192.168.222.1) - dlink 604 di
на котором проброшены udp порты 4500 и 500 на 192.168.222.2
соответственно

############################################################################################################

на 871 что за натом
office#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status

IPv6 Crypto ISAKMP SA

office#show crypto ipsec sa

interface: FastEthernet4
    Crypto map tag: mymap, local addr 192.168.222.2

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.68.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.69.0/255.255.255.0/0/0)
   current_peer 91.196.3.155 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 192.168.222.2, remote crypto endpt.: 91.196.3.155
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet4
     current outbound spi: 0x0(0)

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:


############################################################################################################

на 871 что торчит лицом в иннет

stasova#show crypto ipsec sa

interface: FastEthernet4
    Crypto map tag: mymap, local addr 91.196.3.155

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.69.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.68.0/255.255.255.0/0/0)
   current_peer 84.17.20.111 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 91.196.3.155, remote crypto endpt.: 84.14.20.111
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet4
     current outbound spi: 0x0(0)

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:

stasova#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status

IPv6 Crypto ISAKMP SA

stasova#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status

IPv6 Crypto ISAKMP SA

###########################################
в логах пусто
#show debugging
Generic IP:
  IP packet debugging is on for access list 111
Cryptographic Subsystem:
  Crypto ISAKMP Error debugging is on
  Crypto ISAKMP High Availability debugging is on
  Crypto IPSEC Error debugging is on
  Crypto IPSEC High Availability debugging is on
dot11:
  dot11 Syslog debugging is on
PKI:
  verbose debug output debugging is on


только выскачила ошибка, что там, что там:
  
IPSEC(crypto_map_check_encrypt_core): CRYPTO: Packet dropped because cryptomap is currently being created


если у кого есть мысли по этому поводу и вермя, оставте телефон и
скажите когда удобней позвонить, я обезательно с Вами свяжусь.
------------------------


"vpn тунель между 2-мя Cisco 871 "
Отправлено sturgeon , 12-Мрт-08 16:16 
не понимаю зачем тебе д-линк. сделай все цисками. у меня схема такая

\__office1__/-->|__cisco 871__|-->(__internet__)<--|__cisco 871__|<--\__office2__/


"vpn тунель между 2-мя Cisco 871 "
Отправлено AlexDv , 12-Мрт-08 17:14 
>[оверквотинг удален]
>вот такая схема включения!
>одна киска за натом (причем наитупейшим натом но проброс портов организовать можно),
>др. циска имеет внешний ip, необходимо объеденить две сети, если кто
>сталкивался с документацией по объеденению сетей в подобном случае, дайте сцылку.
>
>я читал:
>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
>проблема в роутере что за натом, он вообще не инициализирует соединение с
>сервером (при снифе пакетов, с fa4 вообще ничего не уходит)
>может есть др. примеры?

Вот этот пример надо было смотреть
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...