Помогите настроить Шифрованную сеть между двумя офисами на Cisco 851Имеется:
2 Cisco 851;
2 статичных IP на одном провайдере.Нужно сделать между ними шифрованный канал.
Короче говоря нужна локальная сеть между двумя офисами, которая будет защищенной.В силу отсутствия опыта, практики, знаний. Прошу помощи.
Нашел вот этот пример. Но не знаю подойдет ли мне.
http://www.opennet.me/openforum/vsluhforumID6/19829.html
>[оверквотинг удален]
>2 Cisco 851;
>2 статичных IP на одном провайдере.
>
>Нужно сделать между ними шифрованный канал.
>Короче говоря нужна локальная сеть между двумя офисами, которая будет защищенной.
>
>В силу отсутствия опыта, практики, знаний. Прошу помощи.
>
>Нашел вот этот пример. Но не знаю подойдет ли мне.
>http://www.opennet.me/openforum/vsluhforumID6/19829.htmlпопробуй так только без ацл для начала
http://www.tek-tips.com/viewthread.cfm?qid=1122222&page=1
У меня построены туннели на IPSec и GRE.
Не плохая статья вот тут
http://faq-cisco.ru/statji/bezopasnostj/nastraivaem-ipsec-tu...
тут что-то надо будет менять кроме моих внешних и внутренних IP, или можно тупо копировать конфигурацию?
>тут что-то надо будет менять кроме моих внешних и внутренних IP, или
>можно тупо копировать конфигурацию?Не совсем. На сколько я понял у тебя с на одной железке статический IP а на другой ты получаешь динамически от провайдера?!
Если так то тебе необходимо на роутере где статический IP настраивать динамическую Crypto Map и ставить "crypto isakmp key" след образомcrypto isakmp key cisco123 address 0.0.0.0
Если использовать
tunnel protection ipsec profile....
то будет еще проще... ;)
>
>Если использовать
> tunnel protection ipsec profile....
>то будет еще проще... ;)Возможно, надо попробовать :) до сия момента обходился динамическими картами )
>
>Если использовать
> tunnel protection ipsec profile....
>то будет еще проще... ;)только что реализовал по этой доке http://www.cisco.com/en/US/technologies/tk583/tk372/technolo...
всё хорошо, вот только данное решение предназначено для реализации динамической маршрутизации по средствам шифрованных туннелей. Пока не понял каким образом ограничивать трафик который необходимо заворачивать в туннель, а какой заворачивать скажем на NAT.
>
>Если использовать
> tunnel protection ipsec profile....
>то будет еще проще... ;)А можно увидеть кусок конфига, может в жизни пригодиться :-)
По сути вот мой пример. Это то что нужно? Это шифрованный канал получается?
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...в принципе здесь, все понятно.
У меня оба ip статика.
>По сути вот мой пример. Это то что нужно? Это шифрованный канал
>получается?
>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
>
>в принципе здесь, все понятно.
>
>У меня оба ip статика.Да, это твой случай.
вот конфиги обоих железок между которыми реализовал шифрованный канал:
схема следующая LAN1(172.16.0.0)---R1----R2---LAN2(172.16.1.0)*************************************************
Router R1:crypto isakmp policy 1
encr aes
authentication pre-share
group 2
crypto isakmp key test123 address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set MYSET esp-3des esp-md5-hmac
!
crypto ipsec profile VTI
set transform-set MYSET
!
!
policy-map TEST
class class-default
!
!
interface Tunnel1
ip address 192.168.0.1 255.255.255.0
tunnel source 10.0.0.1
tunnel destination 10.0.0.2
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI
service-policy output TEST
!
interface FastEthernet0/0
description WAN
ip address 10.0.0.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
description LAN
ip address 172.16.0.1 255.255.255.0
duplex auto
speed auto
!
router eigrp 1
network 172.16.0.0 0.0.0.255
network 192.168.0.1 0.0.0.0
network 192.168.0.0
no auto-summary***************************************************************
Router R2:!
crypto isakmp policy 1
encr aes
authentication pre-share
group 2
crypto isakmp key test123 address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set MYSET esp-3des esp-md5-hmac
!
crypto ipsec profile VTI
set transform-set MYSET
!
!
policy-map TEST
class class-default
!
!
interface Tunnel1
ip address 192.168.0.2 255.255.255.0
tunnel source 10.0.0.2
tunnel destination 10.0.0.1
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI
service-policy output TEST
!
interface FastEthernet0/0
description WAN
ip address 10.0.0.2 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
description LAN
ip address 172.16.1.1 255.255.255.0
duplex auto
speed auto
!
router eigrp 1
network 172.16.1.0 0.0.0.255
network 192.168.0.0
no auto-summary
Попробовал я сделать конфиг по образу той ссылки.Вот что у меня получилось.
Итог.
Пинги идут на локальный ip роутера а через Cisco Configuration Professional не могу зайти на него. Только через консоль.hostname C1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
clock timezone EST 0
ip subnet-zero
no ip domain lookup
!
!
crypto isakmp policy 10
authentication pre-share
!
crypto isakmp key ciscokey address 55.55.55.50
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map myvpn 10 ipsec-isakmp
set peer 55.55.55.50
set transform-set mysetnetwork traffic
match address 101
!
!
interface Vlan1
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface FastEthernet4
ip address 55.55.55.51 255.255.255.0
ip nat outside
ip virtual-reassembly
crypto map myvpn
!
ip classless
ip route 0.0.0.0 0.0.0.0 55.55.55.254
!
ip http server
no ip http secure-server
!ip nat inside source list 175 interface FastEthernet4 overload
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 10.1.1.0 0.0.0.255access-list 175 deny ip 10.10.10.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 175 permit ip 10.10.10.0 0.0.0.255 any
!
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
login
!
end
>[оверквотинг удален]
>control-plane
>!
>!
>line con 0
> exec-timeout 0 0
>line aux 0
>line vty 0 4
> login
>!
>endпопробуй telnet. GUI это хорошо, но командная строка более функциональна. советую через неё работать.
А так попробуй разрешить HTTPSip http secure-server
к стати не вижу настроек пользователя .
username <имя пользователя> privilege 15 password <пароль> .
>попробуй telnet. GUI это хорошо, но командная строка более функциональна. советую через
>неё работать.
>А так попробуй разрешить HTTPS
>
>ip http secure-server
>Я работаю через SecureCRT на COM1 цепляюсь :-)
Сейчас попробую
>к стати не вижу настроек пользователя .
>
>username <имя пользователя> privilege 15 password <пароль> .А я его настраивал при первом подключении к роутеру через Cisco Configuration Professional
>[оверквотинг удален]
>Я работаю через SecureCRT на COM1 цепляюсь :-)
>
>Сейчас попробую
>
>>к стати не вижу настроек пользователя .
>>
>>username <имя пользователя> privilege 15 password <пароль> .
>
>А я его настраивал при первом подключении к роутеру через Cisco Configuration
>Professionalтогда не забудь добавить
line vty 0 4
login local
privilege level 15
no password
>>к стати не вижу настроек пользователя .
>>
>>username <имя пользователя> privilege 15 password <пароль> .Кстати. Сюда я привел код не show run
А просто кусок конфига, что вбивал сам руками.
Конфиг первого роутера
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
clock timezone EST 0
ip subnet-zero
no ip domain lookup
!
!
crypto isakmp policy 10
authentication pre-share
!
crypto isakmp key ciscokey address 200.1.1.1
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map myvpn 10 ipsec-isakmp
set peer 200.1.1.1
set transform-set myset!--- Include the private-network-to-private-network traffic
!--- in the encryption process:match address 101
!
!
!
interface FastEthernet4
ip address 100.1.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Vlan1
ip address 172.16.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
crypto map myvpn
!
ip classless
ip route 0.0.0.0 0.0.0.0 100.1.1.254
!
ip http server
no ip http secure-server
!!--- Except the private network from the NAT process:
ip nat inside source list 175 interface FastEthernet4 overload
!!--- Include the private-network-to-private-network traffic
!--- in the encryption process:access-list 101 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
!--- Except the private network from the NAT process:
access-list 175 deny ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 175 permit ip 172.16.1.0 0.0.0.255 any
!
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
login
!
endКонфиг второго роутера
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R3
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
clock timezone EST 0
ip subnet-zero
no ip domain lookup
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key ciscokey address 100.1.1.1
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map myvpn 10 ipsec-isakmp
set peer 100.1.1.1
set transform-set myset!--- Include the private-network-to-private-network traffic
!--- in the encryption process:match address 101
!
!
!
interface FastEthernet4
ip address 200.1.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Vlan1
ip address 10.1.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
crypto map myvpn
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 200.1.1.254
!
no ip http server
no ip http secure-server
!!--- Except the private network from the NAT process:
ip nat inside source list 122 interface FastEthernet4 overload
!--- Except the static-NAT traffic from the NAT process if destined
!--- over the encrypted tunnel:ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat
!
access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255!--- Except the private network from the NAT process:
access-list 122 deny ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 122 permit ip 10.1.1.0 0.0.0.255 any!--- Except the static-NAT traffic from the NAT process if destined
!--- over the encrypted tunnel:access-list 150 deny ip host 10.1.1.3 172.16.1.0 0.0.0.255
access-list 150 permit ip host 10.1.1.3 any
!
route-map nonat permit 10
match ip address 150
!
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
login
!
endНа первой машине указываю ip 172.16.1.30 шлюз 172.16.1.1
НА второй машине указываю ip 10.10.1.30 шлюз 10.10.1.1
Wan горит. Но не пингов, ни связи нет. Хотя делаю вроде по шаблону cisco
А ты ключ сгенерировал ?crypto key gener rsa и поставь длину ключа 1024.
Так же предлагаю тебе добавить следующееcrypto isakmp policy 10
encr 3des
hash md5и покажи вывод команд
show cry isa sa
sho cry ipsec sa
>[оверквотинг удален]
>crypto key gener rsa и поставь длину ключа 1024.
>Так же предлагаю тебе добавить следующее
>
>crypto isakmp policy 10
> encr 3des
> hash md5
>
>и покажи вывод команд
>show cry isa sa
>sho cry ipsec saНичего не генерировал. Я делал в точности как по ссылке дана статья.
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
Я думал тут полный-рабочий пример.
это вполне рабочий пример )
попробуй сгенерировать ключ и посмотри что будет!