URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 15477
[ Назад ]

Исходное сообщение
"vpn тунель между 2-мя Cisco 871 "
Отправлено Александр , 08-Фев-08 12:09

LAN(192.168.0.x/24) -> cisco 871 (fixed ext ip)-> internet <- (fixed ext.ip)(dlink-router nat) <- cisco 871 <- (192.168.1.x/24) LAN
вот такая схема включения!
одна киска за натом (причем наитупейшим натом но проброс портов организовать можно), др. циска имеет внешний ip, необходимо объеденить две сети, если кто сталкивался с документацией по объеденению сетей в подобном случае, дайте сцылку.
я читал:
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
проблема в роутере что за натом, он вообще не инициализирует соединение с сервером (при снифе пакетов, с fa4 вообще ничего не уходит)
может есть др. примеры?

Содержание

vpn тунель между 2-мя Cisco 871 ,Giro, 12:58 , 08-Фев-08
- vpn тунель между 2-мя Cisco 871 ,Александр, 13:04 , 08-Фев-08
- vpn тунель между 2-мя Cisco 871 ,Александр, 13:05 , 08-Фев-08
  - vpn тунель между 2-мя Cisco 871 ,Giro, 13:15 , 08-Фев-08
    - vpn тунель между 2-мя Cisco 871 ,Александр, 16:43 , 12-Фев-08
  - vpn тунель между 2-мя Cisco 871 ,bfc, 14:06 , 13-Фев-08
vpn тунель между 2-мя Cisco 871 ,Ярослав Росомахо, 17:01 , 12-Фев-08
- vpn тунель между 2-мя Cisco 871 ,Александр, 18:48 , 11-Мрт-08
  - vpn тунель между 2-мя Cisco 871 ,sturgeon, 16:16 , 12-Мрт-08
vpn тунель между 2-мя Cisco 871 ,AlexDv, 17:14 , 12-Мрт-08

Сообщения в этом обсуждении

"vpn тунель между 2-мя Cisco 871 "
Отправлено Giro , 08-Фев-08 12:58

>LAN(192.168.0.x/24) -> cisco 871 (fixed ext ip)-> internet <- (fixed ext.ip)(dlink-router nat) <- cisco 871 <- (192.168.1.x/24) LAN
>вот такая схема включения!
или вы не указали подробностей или все элементарно...
>проблема в роутере что за натом, он вообще не инициализирует соединение с
>сервером
про что здесь речь?

"vpn тунель между 2-мя Cisco 871 "
Отправлено Александр , 08-Фев-08 13:04

>>LAN(192.168.0.x/24) -> cisco 871 (fixed ext ip)-> internet <- (fixed ext.ip)(dlink-router nat) <- cisco 871 <- (192.168.1.x/24) LAN
>>вот такая схема включения!
>
>или вы не указали подробностей или все элементарно...
дайте плз ссылку непутевому, где почитать можно о настройки такой схемы.
>
>>проблема в роутере что за натом, он вообще не инициализирует соединение с
>>сервером
>
>про что здесь речь?
я говорил что делал по документации, канал у меня даже не пытался встать... с интерфейса не перли пакеты...

"vpn тунель между 2-мя Cisco 871 "
Отправлено Александр , 08-Фев-08 13:05

>>LAN(192.168.0.x/24) -> cisco 871 (fixed ext ip)-> internet <- (fixed ext.ip)(dlink-router nat) <- cisco 871 <- (192.168.1.x/24) LAN
>>вот такая схема включения!
>
>или вы не указали подробностей или все элементарно...
не могли бы вы дать ссылку на документацию.

"vpn тунель между 2-мя Cisco 871 "
Отправлено Giro , 08-Фев-08 13:15

Вот честно самого раздражает когда отправляют в гугль или cisco.com но вам наверное сначала туда.
Можете еще ciscolab.ru там много переводов на русский для типичных примеров.
И не зацикоивайтесь на dlink-е вашем, если он все тупо натит - забудьте про него.

"vpn тунель между 2-мя Cisco 871 "
Отправлено Александр , 12-Фев-08 16:43

многоуважаемый Грио, подскажите пожалйста
в случае если я на dlink проброшу на циску 500 и 4500 порты
должн ли у меня поднятся канал между сетями?
я настраиваю железки по примеру
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
кто мне может объяснить что означает ошибка
stasova#
Feb 12 13:39:31.921: IPSEC(crypto_map_check_encrypt_core): CRYPTO: Packet dropped because cryptomap is currently being created
stasova#

"vpn тунель между 2-мя Cisco 871 "
Отправлено bfc , 13-Фев-08 14:06

>>>LAN(192.168.0.x/24) -> cisco 871 (fixed ext ip)-> internet <- (fixed ext.ip)(dlink-router nat) <- cisco 871 <- (192.168.1.x/24) LAN
>>>вот такая схема включения!
>>
>>или вы не указали подробностей или все элементарно...
>
>не могли бы вы дать ссылку на документацию.
http://www.dlink.ru/technical/faq_vpn_1.php
мне это помогло когда-то, возможно и вам поможет. На модель длинка не обращайте внимание у них ipsec одинаково настраивается.

"vpn тунель между 2-мя Cisco 871 "
Отправлено Ярослав Росомахо , 12-Фев-08 17:01

Пусть у маршрутизатора который не за натом IP - 1.1.1.1, а у DLINKа внешний IP - 2.2.2.2. Пусть интерфейс WAN называется WAN0/0.
Маршрутизатор который за натом:
crypto isakmp policy 10
auth pre
hash md5
encr 3des
group 5
crypto isakmp key VERYBIGSECRET addr 1.1.1.1
crypto ipsec transform 3DES_MD5 esp-3des esp-md5
ip access-list e R1_TO_R2
permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
crypto map VPN 10 ipsec-isakmp
set peer 1.1.1.1
set trans 3DES_MD5
match addr R1_TO_R2
int WAN0/0
crypto map VPN
Маршрутизатор который не за натом:
crypto isakmp policy 10
auth pre
hash md5
encr 3des
group 5
crypto isakmp key VERYBIGSECRET addr 2.2.2.2
crypto ipsec transform 3DES_MD5 esp-3des esp-md5
ip access-list e R2_TO_R1
permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
crypto dynamic-map DYNAMIC 10
set trans 3DES_MD5
match addr R1_TO_R2
crypto map VPN 10 ipsec-isakmp dynamic DYNAMIC
int WAN0/0
crypto map VPN

Писал по памяти, где-то мог опечататься или ошибиться.

"vpn тунель между 2-мя Cisco 871 "
Отправлено Александр , 11-Мрт-08 18:48

привожу в свой конфиги с логами, вышеперечисленные советы не помогли, если у кого есть мысли - пишите.
ервый гейт с внешним IP

! Last configuration change at 18:01:14 Moscow Tue Mar 11 2008 by concord
! NVRAM config last updated at 16:31:16 Moscow Tue Mar 11 2008 by concord
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname stasova
!
boot-start-marker
boot-end-marker
!
enable password ххх
!
aaa new-model
!
!
aaa authentication login clientauth local
aaa authorization network groupauthor local
!
!
aaa session-id common
clock timezone Moscow 3
!
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key ууу address 84.14.20.111
!
!
crypto ipsec transform-set basic esp-des esp-md5-hmac
!
!
!
!
crypto map mymap 10 ipsec-isakmp
set peer 84.14.20.111
set transform-set basic
match address 102
!
!
crypto pki trustpoint TP-self-signed-2459862607
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2459862607
revocation-check none
rsakeypair TP-self-signed-2459862607
!
!
ip cef
!
username ххх password 0 ххх
archive
log config
  hidekeys
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address 91.196.3.155 255.255.255.128
ip nat outside
no ip virtual-reassembly
duplex auto
speed auto
no cdp enable
crypto map mymap
!
interface Vlan1
ip address 192.168.69.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 91.196.3.129 permanent
!
ip http server
ip http secure-server
ip dns server
ip nat inside source list 1 interface FastEthernet4 overload
!
access-list 1 permit 192.168.69.0 0.0.0.255
access-list 102 permit ip 192.168.69.0 0.0.0.255 192.168.68.0 0.0.0.255
access-list 102 remark Crypto ACL
no cdp run
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
password ххх
!
!
webvpn cef
end
############################################################################################################
шлюз что за PATом - NATом

office#show running-config
Building configuration...
Current configuration : 2239 bytes
!
! Last configuration change at 18:02:37 Moscow Tue Mar 11 2008 by concord
! NVRAM config last updated at 15:05:03 Moscow Fri Mar 7 2008 by concord
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname office
!
boot-start-marker
boot-end-marker
!
enable password xxx
!
aaa new-model
!
!
aaa authentication login clientauth local
aaa authorization network groupauthor local
!
!
aaa session-id common
clock timezone Moscow 3
!
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key yyy address 91.196.3.155
!
!
crypto ipsec transform-set basic esp-des esp-md5-hmac
!
!
crypto map mymap 10 ipsec-isakmp
set peer 91.196.3.155
set transform-set basic
match address 102
!
!
!
no ip source-route
ip cef
!
!
username ххх password 0 ххх
archive
log config
  hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address 192.168.222.2 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
crypto map mymap
!
interface Vlan1
ip address 192.168.68.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 192.168.222.1
!
ip http server
ip http secure-server
ip dns server
ip nat inside source list 1 interface FastEthernet4 overload
!
access-list 1 permit 192.168.68.0 0.0.0.255
access-list 102 permit ip 192.168.68.0 0.0.0.255 192.168.69.0 0.0.0.255
access-list 102 remark Crypto ACL
no cdp run
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
password xxx
!
webvpn cef
end
############################################################################################################
у обоих версия IOS одинаковая
office#show version
Cisco IOS Software, C870 Software (C870-ADVSECURITYK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Wed 18-Jul-07 16:47 by prod_rel_team
ROM: System Bootstrap, Version 12.3(8r)YI4, RELEASE SOFTWARE
office uptime is 4 days, 3 hours, 50 minutes
System returned to ROM by reload at 14:22:04 Moscow Fri Feb 1 2008
System restarted at 14:35:46 Moscow Fri Mar 7 2008
System image file is "flash:c870-advsecurityk9-mz.124-15.T1.bin"
Configuration register is 0x2102
############################################################################################################
в качестве шлюза (192.168.222.1) - dlink 604 di
на котором проброшены udp порты 4500 и 500 на 192.168.222.2
соответственно
############################################################################################################
на 871 что за натом
office#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
IPv6 Crypto ISAKMP SA
office#show crypto ipsec sa
interface: FastEthernet4
    Crypto map tag: mymap, local addr 192.168.222.2
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.68.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.69.0/255.255.255.0/0/0)
   current_peer 91.196.3.155 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
     local crypto endpt.: 192.168.222.2, remote crypto endpt.: 91.196.3.155
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet4
     current outbound spi: 0x0(0)
     inbound esp sas:
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
     outbound ah sas:
     outbound pcp sas:

############################################################################################################
на 871 что торчит лицом в иннет
stasova#show crypto ipsec sa
interface: FastEthernet4
    Crypto map tag: mymap, local addr 91.196.3.155
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.69.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.68.0/255.255.255.0/0/0)
   current_peer 84.17.20.111 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
     local crypto endpt.: 91.196.3.155, remote crypto endpt.: 84.14.20.111
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet4
     current outbound spi: 0x0(0)
     inbound esp sas:
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
     outbound ah sas:
     outbound pcp sas:
stasova#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
IPv6 Crypto ISAKMP SA
stasova#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
IPv6 Crypto ISAKMP SA
###########################################
в логах пусто
#show debugging
Generic IP:
  IP packet debugging is on for access list 111
Cryptographic Subsystem:
  Crypto ISAKMP Error debugging is on
  Crypto ISAKMP High Availability debugging is on
  Crypto IPSEC Error debugging is on
  Crypto IPSEC High Availability debugging is on
dot11:
  dot11 Syslog debugging is on
PKI:
  verbose debug output debugging is on

только выскачила ошибка, что там, что там:

IPSEC(crypto_map_check_encrypt_core): CRYPTO: Packet dropped because cryptomap is currently being created

если у кого есть мысли по этому поводу и вермя, оставте телефон и
скажите когда удобней позвонить, я обезательно с Вами свяжусь.
------------------------

"vpn тунель между 2-мя Cisco 871 "
Отправлено sturgeon , 12-Мрт-08 16:16

не понимаю зачем тебе д-линк. сделай все цисками. у меня схема такая
\__office1__/-->|__cisco 871__|-->(__internet__)<--|__cisco 871__|<--\__office2__/

"vpn тунель между 2-мя Cisco 871 "
Отправлено AlexDv , 12-Мрт-08 17:14

>[оверквотинг удален]
>вот такая схема включения!
>одна киска за натом (причем наитупейшим натом но проброс портов организовать можно),
>др. циска имеет внешний ip, необходимо объеденить две сети, если кто
>сталкивался с документацией по объеденению сетей в подобном случае, дайте сцылку.
>
>я читал:
>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
>проблема в роутере что за натом, он вообще не инициализирует соединение с
>сервером (при снифе пакетов, с fa4 вообще ничего не уходит)
>может есть др. примеры?
Вот этот пример надо было смотреть
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...