Добрый день! Помогите настроить IPSec по следующей схеме имеется центральный маршрутизатор С7204 и два подключенных к нему С2801 по каналам E1.
Нужно чтобы эти соединения проходили по IPSec туннелю.
Ключей никаких не сгенерировано.

Конфигурация интерфейсов
На 7204

interface Serial1/0:1
description ## to Site 3 ##
ip address 172.18.0.1 255.255.255.252
encapsulation ppp
ip ospf 10 area 0
ip rtp priority 5000 6000 500
!
interface Serial1/1:1
description ## to Site 4 ##
ip address 172.19.0.1 255.255.255.252
encapsulation ppp
ip ospf 10 area 0
ip rtp priority 5000 6000 500

На С2801-1
interface Serial0/2/0:1
description ## to Site 1 ##
ip address 172.18.0.2 255.255.255.252
ip nat outside
ip virtual-reassembly
encapsulation ppp

На С2801-2

interface Serial0/2/0:1
description ## to Site 1 ##
ip address 172.19.0.2 255.255.255.252
ip nat outside
ip virtual-reassembly
encapsulation ppp

• Настройка IPSec по типу звезда,tashmen, 11:44 , 16-Янв-09
• Настройка IPSec по типу звезда,tashmen, 11:47 , 16-Янв-09
  • Настройка IPSec по типу звезда,gagner, 17:12 , 16-Янв-09
    • Настройка IPSec по типу звезда,tashmen, 11:18 , 17-Янв-09
      • Настройка IPSec по типу звезда,gagner, 15:43 , 29-Янв-09
• Настройка IPSec по типу звезда,Вас, 22:28 , 16-Янв-09
  • Настройка IPSec по типу звезда,tashmen, 11:17 , 17-Янв-09
    • Настройка IPSec по типу звезда,Вас, 13:20 , 17-Янв-09
      • Настройка IPSec по типу звезда,merko, 06:11 , 19-Янв-09
        • Настройка IPSec по типу звезда,merko, 06:14 , 19-Янв-09
          • Настройка IPSec по типу звезда,tashmen, 10:19 , 19-Янв-09

дублирование

Достаточно ли следующих настроек для 7204????

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set T1 esp-3des esp-sha-hmac
!
crypto ipsec profile P1
set transform-set T1
!
!
interface Tunnel0
ip address 10.18.0.1 255.255.255.0
ip ospf mtu-ignore
load-interval 30
tunnel source 172.18.0.1
tunnel destination 172.18.0.2
tunnel mode ipsec ipv4
tunnel protection ipsec profile P1
!
interface Tunnel1
ip address 10.19.0.1 255.255.255.0
ip ospf mtu-ignore
load-interval 30
tunnel source 172.19.0.1
tunnel destination 172.19.0.2
tunnel mode ipsec ipv4
tunnel protection ipsec profile P1
!
interface Serial1/0:1
description ## to Site 3 ##
ip address 172.18.0.1 255.255.255.252
encapsulation ppp
ip ospf 10 area 0
ip rtp priority 5000 6000 500
!
interface Serial1/1:1
description ## to Site 4 ##
ip address 172.19.0.1 255.255.255.252
encapsulation ppp
ip ospf 10 area 0
ip rtp priority 5000 6000 500
!

в crypto ipsec profile можно добавить security-association lifetime и security-association idle-time.

туннели по инету я делаю крипто-мапами:
crypto map MAP 10 ipsec-isakmp
set peer X.X.X.X
set transform-set SET
set pfs group2
match address LIST

+ полиси, трансформ сет, кей, ACL и все это привязать к интерфейсу.

со своими - мульти-точку VPN nhrp. если у вас будет больше 2х точек, то могу привести кусок конфига, ибо так оно как-то краше.
навскидку в вашем варианте косяков не вижу.

>[оверквотинг удален]
> set pfs group2
> match address LIST
>
>+ полиси, трансформ сет, кей, ACL и все это привязать к интерфейсу.
>
>
>со своими - мульти-точку VPN nhrp. если у вас будет больше 2х
>точек, то могу привести кусок конфига, ибо так оно как-то краше.
>
>навскидку в вашем варианте косяков не вижу.

Точек будет девять %) если можно то приведите конфиг

>Точек будет девять %) если можно то приведите конфиг

На мультиточке:
interface Tunnel0
ip address 192.168.0.1 255.255.255.128 - виртуальная адресация
no ip redirects
ip mtu 1400
ip nhrp authentication KEY
ip nhrp map multicast dynamic
ip nhrp network-id №
ip ospf network broadcast
tunnel source X.X.X.X - реальный адрес мульти-точки
tunnel mode gre multipoint
tunnel key KEY
tunnel protection ipsec profile PROFILE

На точках:
interface Tunnel0
ip address 192.168.0.2 255.255.255.128
ip mtu 1400
ip nhrp authentication A-KEY
ip nhrp map 192.168.0.1 X.X.X.X
ip nhrp network-id №
ip nhrp nhs 192.168.0.1
ip ospf network broadcast
tunnel source INT/IP
tunnel destination X.X.X.X
tunnel key KEY
tunnel protection ipsec profile PROFILE

В общем, как-то так. )) Основная прелесть в том, что на мультиточке только 1 интерфейс и нигде не фигурируют адреса самих точек.
Проверить работу туннеля для начала можно пингами до виртуальных адресов на другом конце. ))

Очень рекомендую ленивый вариант - настраивать ipsec через граф.интерфейс SDM. В этом случае, настроив центральную циску, система сама сгенерирует зеркальную конфигурацию, которую надо будет перенести на каждый удалённый маршрутизатор.

>Очень рекомендую ленивый вариант - настраивать ipsec через граф.интерфейс SDM. В этом
>случае, настроив центральную циску, система сама сгенерирует зеркальную конфигурацию, которую надо
>будет перенести на каждый удалённый маршрутизатор.

не подскажете как к нему подрубиться??

>>Очень рекомендую ленивый вариант - настраивать ipsec через граф.интерфейс SDM. В этом
>>случае, настроив центральную циску, система сама сгенерирует зеркальную конфигурацию, которую надо
>>будет перенести на каждый удалённый маршрутизатор.
>
>не подскажете как к нему подрубиться??

В браузере ->   http://IP_Вашей_циски
Должна быть включена Java.

>>>Очень рекомендую ленивый вариант - настраивать ipsec через граф.интерфейс SDM. В этом
>>>случае, настроив центральную циску, система сама сгенерирует зеркальную конфигурацию, которую надо
>>>будет перенести на каждый удалённый маршрутизатор.
>>
>>не подскажете как к нему подрубиться??
>
>В браузере ->   http://IP_Вашей_циски
>Должна быть включена Java.

1. Должна быть установлена на ПК приблуда "Cisco SDM"
2. Java
3. По http лезть на циску с помощью Internet Explorer (Мозилой не получится)
4. Советую настраивать все-таки с консоли

Пример настройки GRE туннеля: http://www.ciscolab.ru/2007/07/22/ipsec_router_nat.html

А как проверить что все работает через туннель а не напрямую через физический интерфейс????