URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 21534
[ Назад ]

Исходное сообщение
"Помогите настроить сеть между двумя офисами на Cisco 851"

Отправлено Iphirion , 31-Авг-10 17:02 
Помогите настроить Шифрованную сеть между двумя офисами на Cisco 851

Имеется:
2 Cisco 851;
2 статичных IP на одном провайдере.

Нужно сделать между ними шифрованный канал.
Короче говоря нужна локальная сеть между двумя офисами, которая будет защищенной.

В силу отсутствия опыта, практики, знаний. Прошу помощи.

Нашел вот этот пример. Но не знаю подойдет ли мне.
http://www.opennet.me/openforum/vsluhforumID6/19829.html


Содержание

Сообщения в этом обсуждении
"Помогите настроить сеть между двумя офисами на Cisco 851"
Отправлено Николай , 31-Авг-10 18:49 
>[оверквотинг удален]
>2 Cisco 851;
>2 статичных IP на одном провайдере.
>
>Нужно сделать между ними шифрованный канал.
>Короче говоря нужна локальная сеть между двумя офисами, которая будет защищенной.
>
>В силу отсутствия опыта, практики, знаний. Прошу помощи.
>
>Нашел вот этот пример. Но не знаю подойдет ли мне.
>http://www.opennet.me/openforum/vsluhforumID6/19829.html

попробуй так только без ацл для начала
http://www.tek-tips.com/viewthread.cfm?qid=1122222&page=1


"Помогите настроить сеть между двумя офисами на Cisco 851"
Отправлено kolyaniust , 31-Авг-10 18:52 
У меня построены туннели на IPSec и GRE.
Не плохая статья вот тут
http://faq-cisco.ru/statji/bezopasnostj/nastraivaem-ipsec-tu...

"Помогите настроить сеть между двумя офисами на Cisco 851"
Отправлено Iphirion , 01-Сен-10 13:28 
тут что-то надо будет менять кроме моих внешних и внутренних IP, или можно тупо копировать конфигурацию?

"Помогите настроить сеть между двумя офисами на Cisco 851"
Отправлено del23 , 02-Сен-10 17:48 
>тут что-то надо будет менять кроме моих внешних и внутренних IP, или
>можно тупо копировать конфигурацию?

Не совсем. На сколько я понял у тебя с на одной железке статический IP а на другой ты получаешь динамически от провайдера?!
Если так то тебе необходимо на роутере где статический IP настраивать динамическую Crypto Map и ставить "crypto isakmp key" след образом

crypto isakmp key cisco123 address 0.0.0.0


"Помогите настроить сеть между двумя офисами на Cisco 851"
Отправлено j_vw , 02-Сен-10 20:53 

Если использовать
tunnel protection ipsec profile....
то будет еще проще... ;)


"Помогите настроить сеть между двумя офисами на Cisco 851"
Отправлено del23 , 03-Сен-10 11:01 
>
>Если использовать
> tunnel protection ipsec profile....
>то будет еще проще... ;)

Возможно, надо попробовать :) до сия момента обходился динамическими картами )


"Помогите настроить сеть между двумя офисами на Cisco 851"
Отправлено del23 , 03-Сен-10 12:54 
>
>Если использовать
> tunnel protection ipsec profile....
>то будет еще проще... ;)

только что реализовал по этой доке http://www.cisco.com/en/US/technologies/tk583/tk372/technolo...

всё хорошо, вот только данное решение предназначено для реализации динамической маршрутизации по средствам шифрованных туннелей. Пока не понял каким образом ограничивать трафик который необходимо заворачивать в туннель, а какой заворачивать скажем на NAT.


"Помогите настроить сеть между двумя офисами на Cisco 851"
Отправлено kolyaniust , 03-Сен-10 13:24 
>
>Если использовать
> tunnel protection ipsec profile....
>то будет еще проще... ;)

А можно увидеть кусок конфига, может в жизни пригодиться :-)



"Помогите настроить сеть между двумя офисами на Cisco 851"
Отправлено Iphirion , 03-Сен-10 13:49 
По сути вот мой пример. Это то что нужно? Это шифрованный канал получается?
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...

в принципе здесь, все понятно.

У меня оба ip статика.


"Помогите настроить сеть между двумя офисами на Cisco 851"
Отправлено del23 , 03-Сен-10 14:08 
>По сути вот мой пример. Это то что нужно? Это шифрованный канал
>получается?
>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
>
>в принципе здесь, все понятно.
>
>У меня оба ip статика.

Да, это твой случай.

вот конфиги обоих железок между которыми реализовал шифрованный канал:
схема следующая LAN1(172.16.0.0)---R1----R2---LAN2(172.16.1.0)

*************************************************
Router R1:

crypto isakmp policy 1
encr aes
authentication pre-share
group 2
crypto isakmp key test123 address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set MYSET esp-3des esp-md5-hmac
!
crypto ipsec profile VTI
set transform-set MYSET
!
!
policy-map TEST
class class-default
!
!
interface Tunnel1
ip address 192.168.0.1 255.255.255.0
tunnel source 10.0.0.1
tunnel destination 10.0.0.2
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI
service-policy output TEST
!
interface FastEthernet0/0
description WAN
ip address 10.0.0.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
description LAN
ip address 172.16.0.1 255.255.255.0
duplex auto
speed auto
!
router eigrp 1
network 172.16.0.0 0.0.0.255
network 192.168.0.1 0.0.0.0
network 192.168.0.0
no auto-summary

***************************************************************
Router R2:

!
crypto isakmp policy 1
encr aes
authentication pre-share
group 2
crypto isakmp key test123 address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set MYSET esp-3des esp-md5-hmac
!
crypto ipsec profile VTI
set transform-set MYSET
!
!
policy-map TEST
class class-default
!
!
interface Tunnel1
ip address 192.168.0.2 255.255.255.0
tunnel source 10.0.0.2
tunnel destination 10.0.0.1
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI
service-policy output TEST
!
interface FastEthernet0/0
description WAN
ip address 10.0.0.2 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
description LAN
ip address 172.16.1.1 255.255.255.0
duplex auto
speed auto
!
router eigrp 1
network 172.16.1.0 0.0.0.255
network 192.168.0.0
no auto-summary


"Помогите настроить сеть между двумя офисами на Cisco 851"
Отправлено Iphirion , 03-Сен-10 15:44 
Попробовал я сделать конфиг по образу той ссылки.

Вот что у меня получилось.
Итог.
Пинги идут на локальный ip роутера а через Cisco Configuration Professional не могу зайти на него. Только через консоль.

hostname C1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
clock timezone EST 0
ip subnet-zero
no ip domain lookup
!
!
crypto isakmp policy 10
authentication pre-share
!
crypto isakmp key ciscokey address 55.55.55.50
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map myvpn 10 ipsec-isakmp
set peer 55.55.55.50
set transform-set myset

network traffic

match address 101
!
!
interface Vlan1
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface FastEthernet4
ip address 55.55.55.51 255.255.255.0
ip nat outside
ip virtual-reassembly
crypto map myvpn
!
ip classless
ip route 0.0.0.0 0.0.0.0 55.55.55.254
!
ip http server
no ip http secure-server
!

ip nat inside source list 175 interface FastEthernet4 overload
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 10.1.1.0 0.0.0.255

access-list 175 deny   ip 10.10.10.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 175 permit ip 10.10.10.0 0.0.0.255 any
!
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
login
!
end


"Помогите настроить сеть между двумя офисами на Cisco 851"
Отправлено del23 , 03-Сен-10 15:49 
>[оверквотинг удален]
>control-plane
>!
>!
>line con 0
> exec-timeout 0 0
>line aux 0
>line vty 0 4
> login
>!
>end

попробуй telnet. GUI это хорошо, но командная строка более функциональна. советую через неё работать.
А так попробуй разрешить HTTPS

ip http secure-server

к стати не вижу настроек пользователя .

username <имя пользователя> privilege 15 password <пароль> .


"Помогите настроить сеть между двумя офисами на Cisco 851"
Отправлено Iphirion , 03-Сен-10 15:55 
>попробуй telnet. GUI это хорошо, но командная строка более функциональна. советую через
>неё работать.
>А так попробуй разрешить HTTPS
>
>ip http secure-server
>

Я работаю через SecureCRT на COM1 цепляюсь :-)

Сейчас попробую

>к стати не вижу настроек пользователя .
>
>username <имя пользователя> privilege 15 password <пароль> .

А я его настраивал при первом подключении к роутеру через Cisco Configuration Professional


"Помогите настроить сеть между двумя офисами на Cisco 851"
Отправлено del23 , 03-Сен-10 15:59 
>[оверквотинг удален]
>Я работаю через SecureCRT на COM1 цепляюсь :-)
>
>Сейчас попробую
>
>>к стати не вижу настроек пользователя .
>>
>>username <имя пользователя> privilege 15 password <пароль> .
>
>А я его настраивал при первом подключении к роутеру через Cisco Configuration
>Professional

тогда не забудь добавить

line vty 0 4
login local
privilege level 15
no password


"Помогите настроить сеть между двумя офисами на Cisco 851"
Отправлено Iphirion , 03-Сен-10 16:14 
>>к стати не вижу настроек пользователя .
>>
>>username <имя пользователя> privilege 15 password <пароль> .

Кстати. Сюда я привел код не show run
А просто кусок конфига, что вбивал сам руками.


"Помогите настроить сеть между двумя офисами на Cisco 851"
Отправлено Iphirion , 06-Сен-10 10:11 
Конфиг первого роутера

service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
clock timezone EST 0
ip subnet-zero
no ip domain lookup
!
!
crypto isakmp policy 10
authentication pre-share
!
crypto isakmp key ciscokey address 200.1.1.1
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map myvpn 10 ipsec-isakmp
set peer 200.1.1.1
set transform-set myset

!--- Include the private-network-to-private-network traffic
!--- in the encryption process:

match address 101
!
!
!
interface FastEthernet4
ip address 100.1.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Vlan1
ip address 172.16.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
crypto map myvpn
!
ip classless
ip route 0.0.0.0 0.0.0.0 100.1.1.254
!
ip http server
no ip http secure-server
!

!--- Except the private network from the NAT process:

ip nat inside source list 175 interface FastEthernet4 overload
!

!--- Include the private-network-to-private-network traffic
!--- in the encryption process:

access-list 101 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255

!--- Except the private network from the NAT process:

access-list 175 deny   ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 175 permit ip 172.16.1.0 0.0.0.255 any
!
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
login
!
end

Конфиг второго роутера

 

service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R3
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
clock timezone EST 0
ip subnet-zero
no ip domain lookup
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key ciscokey address 100.1.1.1
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map myvpn 10 ipsec-isakmp
set peer 100.1.1.1
set transform-set myset

!--- Include the private-network-to-private-network traffic
!--- in the encryption process:

match address 101
!
!
!
interface FastEthernet4
ip address 200.1.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Vlan1
ip address 10.1.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
crypto map myvpn
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 200.1.1.254
!
no ip http server
no ip http secure-server
!

!--- Except the private network from the NAT process:

ip nat inside source list 122 interface FastEthernet4 overload

!--- Except the static-NAT traffic from the NAT process if destined
!--- over the encrypted tunnel:

ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat
!
access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

!--- Except the private network from the NAT process:

access-list 122 deny   ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 122 permit ip 10.1.1.0 0.0.0.255 any

!--- Except the static-NAT traffic from the NAT process if destined
!--- over the encrypted tunnel:

access-list 150 deny   ip host 10.1.1.3 172.16.1.0 0.0.0.255
access-list 150 permit ip host 10.1.1.3 any
!
route-map nonat permit 10
match ip address 150
!
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
login
!
end

На первой машине указываю ip 172.16.1.30 шлюз 172.16.1.1
НА второй машине указываю ip 10.10.1.30 шлюз 10.10.1.1
Wan горит. Но не пингов, ни связи нет. Хотя делаю вроде по шаблону cisco


"Помогите настроить сеть между двумя офисами на Cisco 851"
Отправлено del23 , 06-Сен-10 11:23 
А ты ключ сгенерировал ?

crypto key gener rsa  и поставь длину ключа 1024.
Так же предлагаю тебе добавить следующее

crypto isakmp policy 10
encr 3des
hash md5

и покажи вывод команд
show cry isa sa
sho cry ipsec sa


"Помогите настроить сеть между двумя офисами на Cisco 851"
Отправлено Iphirion , 06-Сен-10 12:54 
>[оверквотинг удален]
>crypto key gener rsa  и поставь длину ключа 1024.
>Так же предлагаю тебе добавить следующее
>
>crypto isakmp policy 10
> encr 3des
> hash md5
>
>и покажи вывод команд
>show cry isa sa
>sho cry ipsec sa

Ничего не генерировал. Я делал в точности как по ссылке дана статья.
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
Я думал тут полный-рабочий пример.


"Помогите настроить сеть между двумя офисами на Cisco 851"
Отправлено del23 , 07-Сен-10 23:03 
это вполне рабочий пример )
попробуй сгенерировать ключ и посмотри что будет!