URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 21741
[ Назад ]

Исходное сообщение
"Cisco 881 +VPN"

Отправлено Michail_M , 11-Окт-10 15:38 
Есть два маршрутизатора Cisco 881. Можно ли через них связать два офиса через VPN/ В каком направлении копать? С VPN не сталкивался.

Содержание

Сообщения в этом обсуждении
"Cisco 881 +VPN"
Отправлено Николай , 11-Окт-10 15:45 
> Есть два маршрутизатора Cisco 881. Можно ли через них связать два офиса
> через VPN/ В каком направлении копать? С VPN не сталкивался.

Копать в направлении ВПН :))
В зависимости от подключения - хотя бы на одном из них должен быть фиксированный ИНЕТ ИП. Далее смотри в сторону
Site ti Site VPN - другими словами IPSEC (crypto map)
Dynamic VPN
GRE+IPSEC
Easy VPN


"Cisco 881 +VPN"
Отправлено Michail_M , 26-Окт-10 08:40 
Так и не смог определиться, что выбрать.
Easy VPN отпадает сразу. Я так понимаю это для PIXов.
Dynamic VPN не смог поднять, как впрочем и IPSEC.

GW(config)#crypto ?
    ca Certification authority
    key Long term key operations
    pki Public Key components
    provisioning Secure Device Provisioning
    wui Crypto HTTP configuration interfaces
Начинаю сомневаться что можно как-то создать VPN между 881.


"Cisco 881 +VPN"
Отправлено kolyaniust , 26-Окт-10 11:00 
> Так и не смог определиться, что выбрать.
> Easy VPN отпадает сразу. Я так понимаю это для PIXов.
> Dynamic VPN не смог поднять, как впрочем и IPSEC.
> GW(config)#crypto ?
>     ca Certification authority
>     key Long term key operations
>     pki Public Key components
>     provisioning Secure Device Provisioning
>     wui Crypto HTTP configuration interfaces
> Начинаю сомневаться что можно как-то создать VPN между 881.

Версию IOSа проверьте.
У меня старая c880data-universalk9-mz.124-20.T1.bin

ХХХ(config)#crypto ?
  ca            Certification authority
  call          Configure Crypto Call Admission Control
  ctcp          Configure cTCP encapsulation
  dynamic-map   Specify a dynamic crypto map template
  engine        Enter a crypto engine configurable menu
  gdoi          Configure GDOI policy
  identity      Enter a crypto identity list
  ipsec         Configure IPSEC policy
  isakmp        Configure ISAKMP policy
  key           Long term key operations
  keyring       Key ring commands
  logging       logging messages
  map           Enter a crypto map
  mib           Configure Crypto-related MIB Parameters
  pki           Public Key components
  provisioning  Secure Device Provisioning
  wui           Crypto HTTP configuration interfaces
  xauth         X-Auth parameters


И все гут работает.


"Cisco 881 +VPN"
Отправлено svel , 26-Окт-10 11:19 
> Так и не смог определиться, что выбрать.
> Easy VPN отпадает сразу. Я так понимаю это для PIXов.
> Dynamic VPN не смог поднять, как впрочем и IPSEC.
> GW(config)#crypto ?
>     ca Certification authority
>     key Long term key operations
>     pki Public Key components
>     provisioning Secure Device Provisioning
>     wui Crypto HTTP configuration interfaces
> Начинаю сомневаться что можно как-то создать VPN между 881.

Покажите народу листинг #show version
станет понятно что и как у вас, и к тому же если просто задача соединить две подсети разных офисов то мне кажется лучше выбрать gre ip туннель.


"Cisco 881 +VPN"
Отправлено Michail_M , 26-Окт-10 12:43 
Задача подключить небольшую сеть к существующей.

Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9_NPE-M), Version 15.1(1)T
1, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2010 by Cisco Systems, Inc.
Compiled Mon 19-Jul-10 07:17 by prod_rel_team

ROM: System Bootstrap, Version 12.4(22r)YB5, RELEASE SOFTWARE (fc1)

GW uptime is 1 day, 4 hours, 17 minutes
System returned to ROM by power-on
System image file is "flash:c880data-universalk9_npe-mz.151-1.T1.bin"
Last reload type: Normal Reload


This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

Cisco 881 (MPC8300) processor (revision 1.0) with 236544K/25600K bytes of memory
.
Processor board ID FCZ14339371

5 FastEthernet interfaces
256K bytes of non-volatile configuration memory.
125440K bytes of ATA CompactFlash (Read/Write)


License Info:

License UDI:

-------------------------------------------------
Device#   PID                   SN
-------------------------------------------------
*0        CISCO881-K9           FCZ14339371


License Information for 'c880-data'
    License Level: advsecurity_npe   Type: Permanent
    Next reboot license Level: advsecurity_npe


Configuration register is 0x2102


"Cisco 881 +VPN"
Отправлено svel , 26-Окт-10 16:33 
>[оверквотинг удален]
> -------------------------------------------------
> Device#   PID        
>           SN
> -------------------------------------------------
> *0        CISCO881-K9  
>        FCZ14339371
> License Information for 'c880-data'
>     License Level: advsecurity_npe   Type: Permanent
>     Next reboot license Level: advsecurity_npe
> Configuration register is 0x2102

Мне очень жаль npe означает No Payload Encryption или по русски будет вырезанная функция шифрования. Так что IPSec вам не доступен. Ваш шанс просто поднять gre/ip туннель. Не совсем безопасно но задачу поставленную перед вами решит.
создаете туннель интерфейсы:
пример
<Cisco 881-a> ------ <Cisco 881-b>
192.168.0.0/24       192.168.1.0/24
  Vlan1                Vlan1

На роутере Cisco 881-a пишем следующие команды
#enable
#configure terminal
#interface tunnel 100
#description Tunnel to main office
#ip address unnumbered Vlan1
#tunnel source fastethernet 4 <указываете интерфейс смотрящий в интернет>
#tunnel destination 123.123.123.123 <указываете ИП адрес роутера Cisco 881-b,>
#exit
#ip route 192.168.1.0 255.255.255.0 tunnel 100
#exit
#write

На роутере Cisco 881-b пишем тоже самое но обратно
#enable
#configure terminal
#interface tunnel 100
#description Tunnel to remote office
#ip address unnumbered Vlan1
#tunnel source fastethernet 4 <указываете интерфейс смотрящий в интернет>
#tunnel destination 456.456.456.456 <указываете ИП адрес роутера Cisco 881-a,>
#exit
#ip route 192.168.0.0 255.255.255.0 tunnel 100
#exit
#write

Пробуем пинговать роутера друг друга

#ping 192.168.0.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

В принципе все, теперь если эти маршрутизаторы стоят как Основной шлюз у всех машин в сети то компьютеры из одной сети будут спокойно видеть компьютеры из другой.


"Cisco 881 +VPN"
Отправлено Michail_M , 26-Окт-10 17:13 
Огромное спасибо! Хотя бы так.
Тогда еще вопрос - предложенный вариант предполагает работу через "белые" адреса. А если один "белый" (тот что в основной сети), а другой "серый" -  такой вариант можно реализовать? У меня давно реализована схема с VPN на ISA - там клиент может находиться где угодно. Можно ли так же реализовать?
И еще -  в самой цмске ведь какое-то шифрование предусмотрено? Не обязательно IPSEC.
Может с использованием сертификатов?
Вотна всякий случай рабочий конфиг.
#sh run
Building configuration...

Current configuration : 4834 bytes
!
! Last configuration change at 14:23:38 UTC Mon Oct 25 2010 by michail
!
version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname GW
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
memory-size iomem 10
ip source-route
!
!

!
ip cef
no ip domain lookup
no ipv6 cef
!
!
!
crypto pki trustpoint TP-self-signed-3234641122
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3234641122
revocation-check none
rsakeypair TP-self-signed-3234641122
!
!
crypto pki certificate chain TP-self-signed-3234641122
certificate self-signed 01
  30820243 308201AC A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 33323334 36343131 3232301E 170D3130 31303235 30353234
  34335A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 32333436
  34313132 3230819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100B7CF 8095E349 4AE3527F DA1CFC93 CCBE062F C69CF8E7 DDD6CF3F 5041716B
  895E1263 DEA5BC41 4DCFC4EA C7CC21FA A0BC8FF6 8959A298 C85A7F8C 8087161D
  17F2DF58 DA3B930E D2D70829 7B824E23 E477344E 8BFBE4D4 BFDF081F 23FC208F
  58AAFBD2 A1207413 AE8CF4DD 77C67FE9 4A942B12 A78E7ABC 5DC2A79A 106E4E81
  5F090203 010001A3 6B306930 0F060355 1D130101 FF040530 030101FF 30160603
  551D1104 0F300D82 0B47575F 56535F50 656E7A61 301F0603 551D2304 18301680
  14718F63 C18F966F F2F53CBD 97484924 85496BEC 51301D06 03551D0E 04160414
  718F63C1 8F966FF2 F53CBD97 48492485 496BEC51 300D0609 2A864886 F70D0101
  04050003 81810042 5E05B19C 25FD6791 3294279C 50C277CD EEC89420 75A4C988
  3C895F4F 095D999C 181ED6B2 3F86A823 3EC8A265 7CF1FA4B D031EBDD B16D7F8A
  2D6869AE CCEFD436 2861925F FA84B395 279CCC9A B134BA7B A2CF377C A6D389F4
  461F75DA 32C4B4B3 2D8D2C00 AD42CCA3 C4782187 F4F04B88 4C2AFF6A 5B7297B7
  F98A0798 A04AF6
        quit
license udi pid CISCO881-K9 sn FCZ14339371
!
!
!
!
!
class-map type inspect match-all ccp-invalid-src
match access-group 100
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $FW_OUTSIDE$$ES_WAN$
ip address xxxxxxxxxxxxxxxxxx
duplex auto
speed auto
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$FW_INSIDE$
ip address 192.168.10.171 255.255.255.0
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
no cdp run

!
!
!
!
!
control-plane
!
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
end


"Cisco 881 +VPN"
Отправлено svel , 26-Окт-10 18:28 
>[оверквотинг удален]
> line con 0
>  login local
>  no modem enable
> line aux 0
> line vty 0 4
>  privilege level 15
>  login local
>  transport input telnet ssh
> !
> end

Ну cisco шифрует трафик от "ip http secure-server" используя "certificate self-signed 01", но трафик проходящий через туннель вам так не загнать, только на ASA можно использовать ssl vpn. Вам бы я порекомендовал следующее:

<Cisco 881-a> ------ <Cisco 881-b>
192.168.0.0/24       192.168.1.0/24
  Vlan1                Vlan1

На роутере Cisco 881-a пишем следующие команды
#enable
#configure terminal
#interface tunnel 100
#description Tunnel to remote office
#ip address unnumbered Vlan1
#ip nhrp authentication test
#ip nhrp map multicast dynamic
#ip nhrp network-id 100000
#tunnel source fastethernet 4 <указываете интерфейс смотрящий в интернет>
#tunnel mode gre multipoint
#tunnel key 100000
#exit
#ip route 192.168.1.0 255.255.255.0 tunnel 100
#exit
#write

На роутере Cisco 881-b пишем тоже самое но обратно
#enable
#configure terminal
#interface tunnel 100
#description Tunnel to main office
#ip address unnumbered Vlan1
#ip nhrp authentication test
#ip nhrp map 192.168.0.1 456.456.456.456
#ip nhrp network-id 100000
#ip nhrp nhs 192.168.0.1
#tunnel source fastethernet4
#tunnel destination 456.456.456.456 <указываете ИП адрес роутера Cisco 881-a,>
#exit
#ip route 192.168.0.0 255.255.255.0 tunnel 100
#exit
#write

Я признаюсь честно сам не пробовал "Dynamic Tunnels Between Spokes Behind a NAT Device", так что вот вам ссылка для более подробной информации - http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/...


"Cisco 881 +VPN"
Отправлено Michail_M , 26-Окт-10 20:55 
Еще раз огромное вам спасибо!!!
Буду пробовать
Особенно в направлении DMVPN.
Именно это мне и нужно.
Спасибо!


"Cisco 881 +VPN"
Отправлено Michail_M , 27-Окт-10 08:52 
Добрый день!
Вопрос к  svel.
Сегодня решил сделать как вы предлагали. И опять проблемы.

#ip address unnumbered Vlan1
                                  ^
% Invalid input detected at '^' marker.

(config-if)#ip address ?
  A.B.C.D  IP address
  pool     IP Address autoconfigured from a local DHCP pool


"Cisco 881 +VPN"
Отправлено GolDi , 27-Окт-10 10:11 
>[оверквотинг удален]
> #ip address unnumbered Vlan1
>            
>          
>          
> ^
> % Invalid input detected at '^' marker.
> (config-if)#ip address ?
>   A.B.C.D  IP address
>   pool     IP Address autoconfigured from a
> local DHCP pool

Ну присвойте какой-нибудь серый адрес,это будет сеть в туннеле


"Cisco 881 +VPN"
Отправлено svel , 27-Окт-10 10:12 
>[оверквотинг удален]
> #ip address unnumbered Vlan1
>            
>          
>          
> ^
> % Invalid input detected at '^' marker.
> (config-if)#ip address ?
>   A.B.C.D  IP address
>   pool     IP Address autoconfigured from a
> local DHCP pool

Прошу прощения, я просто на память писал и ошибся, пример моего конфига для туннеля на аналогичной модели

interface Tunnel100
description tunnel to main router in Yekaterinburg city
ip unnumbered Vlan1
tunnel source FastEthernet4
tunnel destination 222.222.222.000

понятно что в вашем случае надо еще добавить настройки для динамических туннелей за НАТ устройствами.


"Cisco 881 +VPN"
Отправлено Michail_M , 27-Окт-10 10:49 
> понятно что в вашем случае надо еще добавить настройки для динамических туннелей
> за НАТ устройствами.

А какие настройки?
И какой выход?
Ситуация такая - есть некая сеть класса А (10.0.0.0/24). Сеть выхода в инет не имела (да и не нужен). Необходимо к этой сети подключиться. Причем иногда в разных местах. Т.е. адрес может быть любым. Со стороны основной сети адрес "белый".
Я так понимаю мне надо на туннель ставить какой-то адрес и потом прописать маршрут между внешним интерфейсом и туннелем и между туннелем и vlan?


"Cisco 881 +VPN"
Отправлено svel , 27-Окт-10 12:19 
>[оверквотинг удален]
>> за НАТ устройствами.
> А какие настройки?
> И какой выход?
> Ситуация такая - есть некая сеть класса А (10.0.0.0/24). Сеть выхода в
> инет не имела (да и не нужен). Необходимо к этой сети
> подключиться. Причем иногда в разных местах. Т.е. адрес может быть любым.
> Со стороны основной сети адрес "белый".
> Я так понимаю мне надо на туннель ставить какой-то адрес и потом
> прописать маршрут между внешним интерфейсом и туннелем и между туннелем и
> vlan?

да надо указать какой либо ИП адрес
настройки я указал вам в предыдущем посте, только вместо
#ip address unnumbered Vlan1
указываете
#ip unnumbered Vlan1


"Cisco 881 +VPN"
Отправлено svel , 27-Окт-10 12:29 
> Ситуация такая - есть некая сеть класса А (10.0.0.0/24). Сеть выхода в
> инет не имела (да и не нужен). Необходимо к этой сети
> подключиться. Причем иногда в разных местах. Т.е. адрес может быть любым.
> Со стороны основной сети адрес "белый".

это интересно, я думал ваша задача такого плана:

Офис №1                --- Интернет --- Офис №2
сеть 10.0.0.0/24                        сеть 10.0.1.0/24
внешний ИП <серый>                      внешний ИП <белый>

Надо чтобы компьютера из сети Офиса №1 и 2 спокойно видели друг друга.


"Cisco 881 +VPN"
Отправлено Michail_M , 27-Окт-10 15:06 
Вот такая задача:

     Офис №1      ---    Интернет   ---    Офис №2
сеть 10.X.Y.0/24                      сеть 10.X.Y.0/24
внешний ИП <белый>                    внешний ИП <серый>


"Cisco 881 +VPN"
Отправлено Michail_M , 01-Ноя-10 10:53 
Туннель сделал. Работает. Но в сеть не пускает - дальше маршрутизатора со стороны основной сети не идет. (Адреса внешней сети взял с потолка - маршрутизаторы тупо соединил друг с другом внешними портами для облегчения настройки)

GW#sh run
Building configuration...

Current configuration : 4850 bytes
!
! Last configuration change at 08:09:42 UTC Mon Nov 1 2010 by michail
!
version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname GW
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
memory-size iomem 10
ip source-route
!
!
!
!
ip cef
no ip domain lookup
no ipv6 cef
!
!
!
crypto pki trustpoint TP-self-signed-3234641122
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3234641122
revocation-check none
rsakeypair TP-self-signed-3234641122
!
!
crypto pki certificate chain TP-self-signed-3234641122
certificate self-signed 01
  30820243 308201AC A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 33323334 36343131 3232301E 170D3130 31303237 31323431
  31335A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 32333436
  34313132 3230819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100B7CF 8095E349 4AE3527F DA1CFC93 CCBE062F C69CF8E7 DDD6CF3F 5041716B
  895E1263 DEA5BC41 4DCFC4EA C7CC21FA A0BC8FF6 8959A298 C85A7F8C 8087161D
  17F2DF58 DA3B930E D2D70829 7B824E23 E477344E 8BFBE4D4 BFDF081F 23FC208F
  58AAFBD2 A1207413 AE8CF4DD 77C67FE9 4A942B12 A78E7ABC 5DC2A79A 106E4E81
  5F090203 010001A3 6B306930 0F060355 1D130101 FF040530 030101FF 30160603
  551D1104 0F300D82 0B47575F 56535F50 656E7A61 301F0603 551D2304 18301680
  14718F63 C18F966F F2F53CBD 97484924 85496BEC 51301D06 03551D0E 04160414
  718F63C1 8F966FF2 F53CBD97 48492485 496BEC51 300D0609 2A864886 F70D0101
  04050003 8181001F 92B36B56 5FF16F1C DE26E6BD BCD5162D 2BAE0344 B54E3B32
  005A3C01 CB1FC2F2 DB0ABB1A 95CD1A85 FF3DFE29 FC0B0B28 C698817C D1B3B378
  1BF1587B 1325021C 55226D83 8916525A 5104D583 C1947438 DA4E5C70 CE40E4B4
  25C1276E 77576857 46153EEC E0789DDA 6F0F9D98 0746E2E8 95FAB488 0BA5D703
  61DDC8B3 F77671
        quit
license udi pid CISCO881-K9 sn FCZ14339371
!
!
!
!
!
!
!
!
interface Tunnel100
description Tunnel to main office
ip unnumbered Vlan1
tunnel source FastEthernet4
tunnel destination 71.10.19.35
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $ES_WAN$
ip address 71.10.19.34 255.255.255.0
duplex auto
speed auto
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 10.1.1.171 255.255.255.0
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip route 192.168.1.0 255.255.255.0 Tunnel100
!
no cdp run

!
!
!
!
!
control-plane
!
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
end

Ext#sh run
Building configuration...

Current configuration : 4894 bytes
!
! Last configuration change at 07:09:42 UTC Mon Nov 1 2010 by michail
!
version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Ext
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
memory-size iomem 10
ip source-route
!
!
!
!
ip cef
no ip domain lookup
no ipv6 cef
!
!
!
crypto pki trustpoint TP-self-signed-3354675918
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3354675918
revocation-check none
rsakeypair TP-self-signed-3354675918
!
!
crypto pki certificate chain TP-self-signed-3354675918
certificate self-signed 01
  30820244 308201AD A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 33333534 36373539 3138301E 170D3130 31303235 30343235
  35335A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 33353436
  37353931 3830819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100A37B 9AB40038 19E3C560 A16D8FA2 1E896F33 6427FAE4 498C6A71 03675A5C
  4DFF0207 5BE311AE 5A007FD9 350AAD99 34F217EE CF8F96D9 82D64B1F 5D6C24E2
  3B941EB5 BBF86F33 083AFF6E F7A96D4A 3DF4A3C8 AC3D3E81 B9141307 C22BDB30
  C01C405D EBDB2222 01E90F01 CD1F22F3 78726161 54593D35 EA0977C0 97FC01EA
  52EF0203 010001A3 6C306A30 0F060355 1D130101 FF040530 030101FF 30170603
  551D1104 10300E82 0C457874 5F56535F 50656E7A 61301F06 03551D23 04183016
  80142168 974A059F 7012CA8D 064E16CB 12E3ECD8 A26A301D 0603551D 0E041604
  14216897 4A059F70 12CA8D06 4E16CB12 E3ECD8A2 6A300D06 092A8648 86F70D01
  01040500 03818100 4AFE29A3 AA24FA01 0C83A012 B8285231 CCA6BDB0 B591994E
  DE4C5272 FBA2E920 1EDC5B20 5F4705A1 35DAAC51 FF6AA765 C10ED5AE EF099831
  990A0A8A 26C56324 BBC51C65 23B9C661 D105A391 6CEFB407 0A3054E3 92CB3830
  F0DB95CD A3F964A3 378B0FE3 D9095360 B3214467 799F8FB4 AFB7100B AA812A10
  54C1C00C 640E011C
        quit
license udi pid CISCO881-K9 sn FCZ1433937F
!
!
!
!
!
!
!
!
interface Tunnel100
description Tunnel to remote office
ip unnumbered Vlan1
tunnel source FastEthernet4
tunnel destination 71.10.19.34
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address 71.10.19.35 255.255.255.0
duplex auto
speed auto
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 192.168.1.1 255.255.255.0
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip route 10.0.0.0 255.0.0.0 Tunnel100
!
no cdp run

!
!
!
!
!
control-plane
!
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
end


из сети 192.168.1.0 пинги доходят до маршрутизатора GW - 10.1.1.171, а вот другие адреса в этой сети не пингуются (10.1.1.11 например). С самого маршрутизатора все в порядке. Что-то с маршрутами наверняка, но не вижу что.


"Cisco 881 +VPN"
Отправлено svel , 03-Ноя-10 12:45 
>[оверквотинг удален]
> line vty 0 4
>  privilege level 15
>  login local
>  transport input telnet ssh
> !
> end
> из сети 192.168.1.0 пинги доходят до маршрутизатора GW - 10.1.1.171, а вот
> другие адреса в этой сети не пингуются (10.1.1.11 например). С самого
> маршрутизатора все в порядке. Что-то с маршрутами наверняка, но не вижу
> что.

Листинг sh ip ro с обоих роутеров в студию.


"Cisco 881 +VPN"
Отправлено Michail_M , 03-Ноя-10 13:28 
GW#sh ip ro
Gateway of last resort is not set

      10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        10.1.1.0/24 is directly connected, Vlan1
L        10.1.1.171/32 is directly connected, Vlan1
      71.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        71.10.19.0/24 is directly connected, FastEthernet4
L        71.10.19.34/32 is directly connected, FastEthernet4
S     192.168.1.0/24 is directly connected, Tunnel100

Ext#sh ip ro
Gateway of last resort is not set

      10.0.0.0/24 is subnetted, 1 subnets
S        10.1.1.0 is directly connected, Tunnel100
      71.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        71.10.19.0/24 is directly connected, FastEthernet4
L        71.10.19.35/32 is directly connected, FastEthernet4


"Cisco 881 +VPN"
Отправлено Michail_M , 08-Ноя-10 16:26 
Разобрался.
Теперь напрашивается вопрос - а можно ли как-то обезопасить такое подключение?
И интересует как реализовать подключение "белый"-"серый" адрес.

"Cisco 881 +VPN"
Отправлено j_vw , 08-Ноя-10 17:13 
Кодовые слова ;)

> Теперь напрашивается вопрос - а можно ли как-то обезопасить такое подключение?

tunnel protection ipsec profile
> И интересует как реализовать подключение "белый"-"серый" адрес.

DMVPN



"Cisco 881 +VPN"
Отправлено Michail_M , 08-Ноя-10 20:10 
> tunnel protection ipsec profile

Уже разбирали:
> Мне очень жаль npe означает No Payload Encryption или по русски будет вырезанная функция шифрования. Так что IPSec вам не доступен.
> DMVPN

Dynamic Multipoint Virtual Private Network - насколько я понял, там опять IPSec.



"Cisco 881 +VPN"
Отправлено j_vw , 08-Ноя-10 22:51 
> Dynamic Multipoint Virtual Private Network - насколько я понял, там опять IPSec.

Изначально -  без него...
Но прикручивается так же, как и на туннели точка-точка.......



"Cisco 881 +VPN"
Отправлено Michail_M , 09-Ноя-10 08:45 
> Изначально -  без него...
> Но прикручивается так же, как и на туннели точка-точка.......

Если так, то спасибо.
А что можете посоветовать по поводу шифрования? Что можно использовать?
И надо ли включать файрвол? Nat не используется.


"Cisco 881 +VPN"
Отправлено svel , 09-Ноя-10 12:15 
>> Изначально -  без него...
>> Но прикручивается так же, как и на туннели точка-точка.......
> Если так, то спасибо.
> А что можете посоветовать по поводу шифрования? Что можно использовать?
> И надо ли включать файрвол? Nat не используется.

Докупить лицензию. Она разблокирует шифрование.


"Cisco 881 +VPN"
Отправлено Александр , 01-Фев-11 20:25 
>>> Изначально -  без него...
>>> Но прикручивается так же, как и на туннели точка-точка.......
>> Если так, то спасибо.
>> А что можете посоветовать по поводу шифрования? Что можно использовать?
>> И надо ли включать файрвол? Nat не используется.
> Докупить лицензию. Она разблокирует шифрование.

Скажите пожалуйста, как докупить лицензию?
В смысле как точно она называется (партномер),
и может знаете способ как их покупать?
На территории России их никто не сможет продать, запрещен ввоз в страну,
нужно как-то умудриться купить через заграницу.
Есть какой-то способ их купить, с оплатой кредиткой, к примеру?
на сайте нашли такие позиции
L-880-AIS=    eDelivery Cisco 880 Advanced IP Services License PAK
SL-880-AIS=    Cisco 880 Advanced IP Services License
Что-то из этого и есть нужная лицензия? Чем они отличаются?


"Cisco 881 +VPN"
Отправлено svel , 27-Сен-11 10:44 
>[оверквотинг удален]
> Скажите пожалуйста, как докупить лицензию?
> В смысле как точно она называется (партномер),
> и может знаете способ как их покупать?
> На территории России их никто не сможет продать, запрещен ввоз в страну,
> нужно как-то умудриться купить через заграницу.
> Есть какой-то способ их купить, с оплатой кредиткой, к примеру?
> на сайте нашли такие позиции
> L-880-AIS= eDelivery Cisco 880 Advanced IP Services License PAK
> SL-880-AIS= Cisco 880 Advanced IP Services License
> Что-то из этого и есть нужная лицензия? Чем они отличаются?

Отвечу вам все таки, лучше поздно чем никогда, может кому нибудь тоже поможет.
Покупать только у официальных представителей, ищите их сами, как неверно заметили в нижней ветке я так же ИТ специалист а не продажник.
То что вы нашли это лицензия на расширенные команды работы с IP протоколом.
Вам нужно искать Security E-Delivery PAK for Cisco 880
Вам прийдет просто код "Product Authorization Key", далее вы регистрируетесь на сайте www.cisco.com, заходите в Раздел Support, далее идите в раздел Tools, и выберайте пункт Software registration заполняете форму, и вам на указанные e-mail адрес приходит файлик лицензии, предупреждаю что он одноразовый. Его надо будет разместить на tftp сервере и командой "license install tftp://<... >/xxxx.lic" залить на маршрутизатор, и в конце команда reload для перезагрузки и применения изменений.


"Cisco 881 +VPN"
Отправлено DarK , 02-Июн-11 08:37 
>[оверквотинг удален]
> Gateway of last resort is not set
>       10.0.0.0/24 is subnetted, 1 subnets
> S        10.1.1.0 is directly connected,
> Tunnel100
>       71.0.0.0/8 is variably subnetted, 2 subnets,
> 2 masks
> C        71.10.19.0/24 is directly connected,
> FastEthernet4
> L        71.10.19.35/32 is directly connected,
> FastEthernet4

В чем была причина? Можешь написать.



"Cisco 881 +VPN"
Отправлено kondratik , 02-Сен-11 07:50 
> hostname GW
> !
> ip route 192.168.1.0 255.255.255.0 Tunnel100
> !
> !
> ip route 10.0.0.0 255.0.0.0 Tunnel100
> !

роутить надо не в тунель, а на IP тунеля



"Cisco 881 +VPN"
Отправлено Michail_M , 11-Ноя-10 11:13 
Вам бы я порекомендовал следующее:

> <Cisco 881-a> ------ <Cisco 881-b>
> 192.168.0.0/24       192.168.1.0/24
> На роутере Cisco 881-a пишем следующие команды
> #tunnel mode gre multipoint

После ввода команды выдает "Mode change not accepted"



"Cisco 881 +VPN"
Отправлено Michail_M , 18-Ноя-10 10:31 
А возможно построить туннель без маршрутизации, в режиме моста?

"Cisco 881 +VPN"
Отправлено Sf , 03-Фев-11 20:00 
вас так долго добрый человек подводил к покупке лицензии...) будет странно, если он окажется не менеджер )) в таком случае пусть подскажет вам подробнее по импортным ограничениям на оборудование со стойким крипто и необходимыми манипуляциями.
туннель можно будет поднять в любом режиме, вопрос в том как вы его будете защищать.