URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 21734
[ Назад ]

Исходное сообщение
"VPN между cisco 871 и telesys 750 "

Отправлено bigdragon , 10-Окт-10 22:03 
задача - объединить по впн офисы
со стороны телесиски - (между существующими офисами) имеется следующая конфигурация
# PPP templates configuration
create ppp template=1 description="Road warrior user vpn-profile"
set ppp template=1 bap=off ippool="vpn_users_ipool" authentication=chap mssheader=120 echo=30
# L2TP configuration
enable l2tp
enable l2tp server=both
add l2tp ip=1.1.1.1-255.255.255.254 ppptemplate=1
# IP configuration
enable ip
add ip int=vlan1 ip=192.168.0.1
add ip int=eth0 ip=99.99.99.111 mask=255.255.255.240
add ip rou=0.0.0.0 mask=0.0.0.0 int=eth0 next=хх.хх.хх.222
create ip pool="vpn_users_ipool" ip=192.168.0.100-192.168.0.120
# IPSEC configuration
create ipsec pol="office1" int=eth0 ac=ipsec key=isakmp bund=2 peer=<ip-EXTtelesys> isa="office1"
set ipsec pol="office1" lad=192.168.0.0 lma=255.255.255.0 rad=192.168.5.0 rma=255.255.255.0
set ipsec pol="office1" usepfsk=TRUE gro=2
create ipsec pol="internet" int=eth0 ac=permit
enable ipsec
# ISAKMP configuration
create isakmp pol="office1" pe=<ip-EXTtelesys> has=md5 enc=3desouter key=3
set isakmp pol="office1" gro=2
set isakmp pol="office1" sendi=true

и впн прекрасно соединяются.
ключи конечно для каждого впн - свои
вопрос - как сделать аналогичное соединение между cisco 871 и telesys 750
что писать в конфиге со стороны телесиски - понятно а вот что задавать на cisco - не нашёл. и как генерить ключи на cisco тоже неясно.
во всех офисах пров выдает внешний ip - но все найденные примеры описывают динамику..

помогите ссылкой на маны или советом в каком направлении копать
enable isakmp


Содержание

Сообщения в этом обсуждении
"VPN между cisco 871 и telesys 750 "
Отправлено bigdragonxxx , 12-Окт-10 14:32 
пробовал вот так (на циске) но много неясностей
vpdn enable
!
vpdn-group L2TP
! Default L2TP VPDN group
accept-dialin
  protocol l2tp
  virtual-template 2
local name <какое имя надо указывать?>
no l2tp tunnel authentication


crypto isakmp policy 10
encr aes 256
authentication pre-share
!
crypto isakmp policy 20
encr 3des
authentication pre-share
group 2
crypto isakmp key <secret> address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set L2TP-TSET-AES128 esp-aes esp-sha-hmac
mode transport
crypto ipsec transform-set L2TP-TSET-3DES esp-3des esp-sha-hmac
mode transport
!
crypto dynamic-map L2TP-DYN-MAP 10
set nat demux
set transform-set L2TP-TSET-AES128
crypto dynamic-map L2TP-DYN-MAP 20
set nat demux
set transform-set L2TP-TSET-3DES
!
!
crypto map L2TP-CMAP local-address Loopback0
crypto map L2TP-CMAP 10 ipsec-isakmp dynamic L2TP-DYN-MAP


"VPN между cisco 871 и telesys 750 "
Отправлено j_vw , 12-Окт-10 18:58 
А у вас Cisco - клиент или сервер?

http://forum.sysadmins.su/index.php?showtopic=9033
Гляньте 3й пост....
Может и наведет на мысль....


"VPN между cisco 871 и telesys 750 "
Отправлено bigdragon , 12-Окт-10 22:24 
> А у вас Cisco - клиент или сервер?
> http://forum.sysadmins.su/index.php?showtopic=9033
> Гляньте 3й пост....
> Может и наведет на мысль....

на телесисках - точка-точка настроены впны. 3й пост не совсем понятен - с цисками не очень сталкивался.
на телесисках - внешний ip смотрит в инет vlan-ы в локалку 192.168.20.xx 192.168.30.xx 192.168.40.xx и т.д.
4 офиса коннектяца друг на друга - задача подцепить к этой схеме 5й только на циске.
пример конфига из телесиски приведен выше а на циске как поднимать впн с IPSEC и ISAKMP неясно пошагово нигде не описано.


"VPN между cisco 871 и telesys 750 "
Отправлено j_vw , 12-Окт-10 23:17 
> на телесисках - точка-точка настроены впны. 3й пост не совсем понятен -
> с цисками не очень сталкивался.

Я к тому, что L2TP, вроде как, по топологии, клиент - сервер.
И из того что я, кмк, вижу (про telesys, уж, извините, даже не слышал), в приведенном конфиге настроен сервер....  
И а Cisco, тоже, какие то "серверные" куски........Какая то кучка "policy", "transform-set" "crypto-map". Ни одного намека на авторизацию ни в ту, ни в другую сторону...
Почему я вас и направил по ссылке....

Давайте так...
Я ничего не понимаю в telesys....
Если понимаете, что там к чему, можете к нему, ну, например, Винду прицепить?
Дальше будет существенно проще...



"VPN между cisco 871 и telesys 750 "
Отправлено j_vw , 12-Окт-10 23:35 
Кстати, ЭТО для кого писано?
http://www.alliedtelesis.ru/media/datasheets/howto/howto_con...


"VPN между cisco 871 и telesys 750 "
Отправлено bigdragon , 13-Окт-10 09:21 
> Кстати, ЭТО для кого писано?
> http://www.alliedtelesis.ru/media/datasheets/howto/howto_con...

по этому ману -
LAC Configuration on Cisco Router:
hostname lac
username lac password 0 lns <что означает ins?? и для чего вообще этот lac??это хостнейм циски?>
username lns password 0 lns
ip subnet-zero
vpdn enable
vpdn search-order domain <"domain" - это имя надо понимать?>
vpdn-group 1
request-dialin
protocol l2tp
domain domain.com
initiate-to ip 200.1.1.1
local name lac
isdn switch-type basic-net3
interface Ethernet0 - вот это для чего? ведь у меня vlan1 со статическим ip в локалку уже есть
ip address 200.1.1.2 255.255.255.0


"VPN между cisco 871 и telesys 750 "
Отправлено bigdragon , 13-Окт-10 10:00 
на телесиске сгенерил ключ для подключения еще одного офиса (телесиски обмениваются ключами при установлении впн в блоке # ISAKMP configuration каждому соединению присваивается ключ сиречь пароль если хотите)
еще раз по телесиске -
# PPP templates configuration
create ppp template=1 description="Road warrior user vpn-profile"
set ppp template=1 bap=off ippool="vpn_users_ipool" authentication=chap mssheader=120 echo=30
это про впн

# IPSEC configuration
create ipsec pol="офис2" int=eth0 ac=ipsec key=isakmp bund=2 peer=<внешн ip офис2> isa="офис2"
set ipsec pol="офис2" lad=192.168.10.0 lma=255.255.255.0 rad=192.168.7.0 rma=255.255.255.0
set ipsec pol="офис2" usepfsk=TRUE gro=2

для каждого впн создается в этом блоке lad=192.168.10.0 - внутр подсеть офис1 (откуда)  
rad=192.168.7.0 внутр подсеть офис2 (куда)

# ISAKMP configuration
create isakmp pol="office1" pe=<внешн ip office1> has=md5 enc=3desouter key=3
set isakmp pol="office1" gro=2
set isakmp pol="office1" sendi=true
здесь для каждого соединения прописывается key=3 (он-же пароль собстно)


"VPN между cisco 871 и telesys 750 "
Отправлено bigdragon , 13-Окт-10 10:17 
по этой howto почти подходит мне
Example 4 - Cisco and Allied Telesis router as peers over
virtual tunnel
только все равно не ясно
Configuration on Allied Telesis Router peer:
enable l2tp
enable l2tp server=both
add l2tp call="remote" rem="tunnel" ip=211.132.221.233 ty=virtual prec=out
! 211.132.221.233 - получается это внешний циски так?
create ppp=0 idle=240 over=tnl-remote
set ppp=0 iprequest=on username="username" password="password"
! username - что писать сюда??
enable ip
enable ip remote
add ip int=eth0 ip=192.168.1.10
add ip int=eth1 ip=10.34.1.1 mask=255.255.255.0
add ip int=ppp0 ip=0.0.0.0 mask=0.0.0.0
add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0
add ip rou=211.132.221.0 mask=255.255.255.0 int=eth0 next=192.168.1.5

Configuration on Cisco Router peer:
username username password 0 password
vpdn enable
vpdn-group vpns
! vpns - это имя пула или как??
Default L2TP VPDN group
Default PPTP VPDN group
accept-dialin
protocol any
virtual-template 1
local name remote
no l2tp tunnel authentication
l2tp tunnel timeout no-session 30
interface FastEthernet0/0
ip address 211.132.221.233 255.255.255.0
duplex auto
speed auto
interface Virtual-Template1
ip address 172.20.1.100 255.255.255.0
no ip redirects
no ip proxy-arp
ip mroute-cache
peer default ip address pool default
ppp authentication chap
ip local pool default 172.20.1.1 172.20.1.50
ip classless
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 211.132.221.1
! откуда взялся 211.132.221.1 ??
! куда прописывать IP внутренней сети телесиса и куда IP внутренней сети циски?
! где указать IP внешний телесиса? как они будут друг с другом коннектица??


"VPN между cisco 871 и telesys 750 "
Отправлено bigdragon , 13-Окт-10 11:55 
представляется вот такой конфиг на циске (поправьте если не так)
vpdn enable
vpdn-group "имя циски" (оно-же имя впн пула)
Default L2TP VPDN group
Default PPTP VPDN group
accept-dialin
protocol any
virtual-template 1
local name remote
no l2tp tunnel authentication
l2tp tunnel timeout no-session 30

interface FastEthernet4
description Internet
ip address внешний адрес/маска циски
ip nat outside
ip nat enable
ip virtual-reassembly
duplex auto
speed auto

interface Virtual-Template1
ip address 172.20.1.100 255.255.255.0
no ip redirects
no ip proxy-arp
ip mroute-cache
peer <внешний ip телесики> address pool default
ppp authentication chap
ip local pool default 172.20.1.1 172.20.1.50 - наверное впн-пулл для установленного впн соединения
ip classless
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 211.132.221.1 - дефолтный маршрут для трафика впн

остаются вопросы как прописать ключ/пароль для того чтоб циска и телесис увидели что надо поднять канал впн, обменялись ключами и соединились


"VPN между cisco 871 и telesys 750 "
Отправлено bigdragon , 13-Окт-10 12:21 
со стороны телесиса будет вот так -
# Firewall configuration
add firewall poli="main" ru=115 ac=non int=vlan1 prot=ALL ip=192.168.10.1-192.168.10.254
set firewall poli="main" ru=115 rem=192.168.50.0-192.168.50.254

# IPSEC configuration
create ipsec pol="ofice-cisco" int=eth0 ac=ipsec key=isakmp bund=2 peer=<внешний ip cisco> isa="ofice-cisco"
set ipsec pol="ofice-cisco" lad=192.168.10.0 lma=255.255.255.0 rad=192.168.50.0 rma=255.255.255.0
set ipsec pol="ofice-cisco" usepfsk=TRUE gro=2

# ISAKMP configuration
create isakmp pol="ofice-cisco" pe=<внешний ip cisco> has=md5 enc=3desouter key=8
set isakmp pol="ofice-cisco" gro=2
set isakmp pol="ofice-cisco" sendi=true

где
192.168.50.x - lan cisco
192.168.10.x - lan telesys
ofice-cisco - имя циски и пула впн для неё-же


"VPN между cisco 871 и telesys 750 "
Отправлено bigdragon , 14-Окт-10 00:23 
так и не ответил никто - правильно ли направление мысли???

"VPN между cisco 871 и telesys 750 "
Отправлено bigdragon , 18-Окт-10 12:08 
> так и не ответил никто - правильно ли направление мысли???

судя по молчанию - нет решения так надо понимать????


"VPN между cisco 871 и telesys 750 "
Отправлено bigdragon , 19-Окт-10 17:00 
гуру откликнитесь как правильно настроить????

"VPN между cisco 871 и telesys 750 "
Отправлено j_vw , 19-Окт-10 20:46 
> гуру откликнитесь как правильно настроить????

Проблема в том, что рутеры Allied Telesyn здесь зверь достаточно редкий....
Попробуйте найти профильную конфу...Не обязательно русскоязычную...

Я же вам, уже советовал:
"Давайте так...
Я ничего не понимаю в telesys....
Если понимаете, что там к чему, можете к нему, ну, например, Винду прицепить?
Дальше будет существенно проще..."




"VPN между cisco 871 и telesys 750 "
Отправлено bigdragon , 20-Окт-10 01:02 
>> гуру откликнитесь как правильно настроить????
> Проблема в том, что рутеры Allied Telesyn здесь зверь достаточно редкий....
> Попробуйте найти профильную конфу...Не обязательно русскоязычную...
> Я же вам, уже советовал:
> "Давайте так...
> Я ничего не понимаю в telesys....
> Если понимаете, что там к чему, можете к нему, ну, например, Винду
> прицепить?
> Дальше будет существенно проще..."

"прицепить винду" имеется ввиду подключится к циске по PPtP надо понимать??
но мне не надо цеплять к циске виндового (или иного) клиента
мне нужен канал между двумя железками, причем конфиг со стороны телесиса (рабочий) уже известен. а поскольку в цисках разбираюсь не очень - поэтому и пробую разные варианты.
вот например для генерации ключа в телесисе надо сделать
create enco key=2 type=general value=пароль description="ISAKMP Key"
причем "пароль" должен быть одинаковый на обеих железках (телесис генерит этой строчкой ключ) а вот КАК сделать подобное на циске не знаю! скорее всего это будет в таком виде:
crypto isakmp key "тот самый пароль" address хх.хх.х9.227
по конфигу что нарыл из разный источников удаётся дойти до 1й фазы (железки друг друга видят но толи не могут обменяться ключами, толи не правильно заданы какието настройки) в общем впн не поднимается. собственно делал на примере впн между двумя цисками отсюда вопрос - как циски поднимают канал при появлении первого пакета попадающего под правило? тогда какого вида должно быть правило которое пропускает пакеты в канал например с vlan1 (это внутренний циски 192.168.10.0 0.0.0.255)  
ip access-list extended IPSEC-TUN
permit ip 192.168.10.0 0.0.0.255 192.168.5.0 0.0.0.255
а криптомап навешивать на этот интерфейс циски вот так??
interface Tunnel0
ip address 192.168.5.200 255.255.255.0
tunnel source FastEthernet4
tunnel destination хх.хх.х9.227
crypto map TUNNEL0
вопросов много только чтото никто не хочет даже подсказать тправильно ли делаю.


"VPN между cisco 871 и telesys 750 "
Отправлено bigdragon , 20-Окт-10 02:00 
и еще в догонку -
router-ofice10#sh int tunnel0
Tunnel0 is up, line protocol is down
  Hardware is Tunnel
  Internet address is 192.168.10.200/24
  MTU 1514 bytes, BW 9 Kbit/sec, DLY 500000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation TUNNEL, loopback not set
  Keepalive not set
  Tunnel source ххх.ххх.ххх.71 (FastEthernet4), destination хх.хх.х9.227
  Tunnel protocol/transport GRE/IP
    Key disabled, sequencing disabled
    Checksumming of packets disabled
  Tunnel TTL 255
  Fast tunneling enabled
  Tunnel transmit bandwidth 8000 (kbps)
  Tunnel receive bandwidth 8000 (kbps)
  Last input never, output 03:55:30, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 17599
  Queueing strategy: fifo
  Output queue: 0/0 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     0 packets input, 0 bytes, 0 no buffer
     Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     115251 packets output, 19671619 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 unknown protocol drops
     0 output buffer failures, 0 output buffers swapped out

вот это правильно, что loopback not set???
или надо всеж назначить чегото??
и Key disabled - ?? это нормально??
по циске ответтте раз уж телесис не знаете
кстати если пакеты появляются (любое обращение с той или другой стороны) - железки пытаются соединиться (отладку с небольшими вариациями приводил выше)
но в логах - тока 1-я фаза и после нескольких попыток - обломс..
(собстно попытки поднять канал наблюдаются пока идет обращение с любой стороны)


"VPN cisco 871 <> telesys 750 решение"
Отправлено bigdragon , 21-Окт-10 22:24 
собственно впн получилось поднять но не стабильно (конфиг на циске)
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key bla-bla-key address 222.222.222.222
!
crypto ipsec transform-set VPN-office8 esp-3des esp-md5-hmac
mode transport
!
crypto map TUNNEL0 1 ipsec-isakmp
set peer 222.222.222.222
set transform-set VPN-office8
match address IPSEC-TUN0
qos pre-classify
!
interface Tunnel0
bandwidth 10000
ip address 192.168.8.140 255.255.255.0
ip tcp adjust-mss 1360
tunnel source FastEthernet4
tunnel destination 222.222.222.222
crypto map TUNNEL0

ip access-list extended IPSEC-TUN0
permit ip any any
permit ip 192.168.10.0 0.0.0.255 any
permit ip 192.168.8.0 0.0.0.255 any
ip access-list extended inside
!
access-list 1 permit 192.168.10.0 0.0.0.255
acl 1 - это чтоб инет в подсеть циски пускать
проблема - со стороны 192.168.8.0 подсети подсеть циски (192.168.8.0) можно пинговать а наоборот нет
при этом канал устанолен
VPN-office10#sh crypto map
Crypto Map "TUNNEL0" 1 ipsec-isakmp
        Peer = 222.222.222.222
        Extended IP access list IPSEC-TUN0
            access-list IPSEC-TUN0 permit ip any any
            access-list IPSEC-TUN0 permit ip 192.168.10.0 0.0.0.255 any
            access-list IPSEC-TUN0 permit ip 192.168.8.0 0.0.0.255 any
        Current peer: 222.222.222.222
        Security association lifetime: 4608000 kilobytes/3600 seconds
        PFS (Y/N): N
        Transform sets={
                VPN-office10,
        }
        QOS pre-classification
        Interfaces using crypto map TUNNEL0:
                Tunnel0

VPN-office10#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst                  src             state    conn-id   slot   status
222.222.222.222  111.111.111.111    QM_IDLE     2007    0      ACTIVE

IPv6 Crypto ISAKMP SA
при этом туннель вроде как поднимается и тут-же падает
какой лучше указывать для ipsec вариант туннельный или транспортный?
как сделать ACL чтоб подсетки 192.168.8.0 и 192.168.10.0 видели друг друга??



"VPN между cisco 871 и telesys 750 маршрутизация или acl ??"
Отправлено vaxer , 23-Окт-10 20:54 
есть какое нибудь решение?
на циске настроено вот так:

no ip dhcp use vrf connected
!
ip dhcp pool dhcp-pool
   network 192.168.18.0 255.255.255.0
   dns-server 192.168.18.50
   default-router 192.168.18.50
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key supperkey address 22.22.22.22
!
!
crypto ipsec transform-set OFFICE18 esp-3des esp-md5-hmac
!
crypto map TUNNEL0 1 ipsec-isakmp
set peer 22.22.22.22
set transform-set OFFICE18
match address IPSEC-TUN0
!
interface Tunnel0
bandwidth 10000
ip address 192.168.17.40 255.255.255.0
ip tcp adjust-mss 1360
tunnel source FastEthernet4
tunnel destination 22.22.22.22
crypto map TUNNEL0
!
interface FastEthernet4
description Internet
ip address dhcp
ip nat outside
ip nat enable
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.18.250 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Tunnel0
!
ip nat inside source list 10 interface FastEthernet4 overload
!
ip access-list extended IPSEC-TUN0
permit ip any any
ip access-list extended inside
!
access-list 10 permit 192.168.18.0 0.0.0.255
no cdp run
!

из локалки 192.168.17.0 шлюз сетки -> 192.168.18.50 пингуется!
когда появляются пакеты с любой из локалок - тоннель поднимается!
но пинги только с одной стороны и локалки не видят друг друга!
подскажите как настроить ACL и маршрутизацию а то уже перепробовал разные варианты а результата нету!!! мозк пухнет и идей никаких.
22.22.22.22 - это внешний айпи куда строим впн
192.168.17.0 локалка удаленного офиса
на этом interface FastEthernet4
description Internet
ip address dhcp - постоянный айпишник (так сложилось исторически)


собственно нужно настроить так чтоб локалки видели друг друга а поскольку с одной стороны присутствуют пинги на шлюз другой локалки - вывод что надо создать правило. вот только какое не понятно! в цисках не очень разбираюс. Гуру подскажите плиииз!