URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22972
[ Назад ]

Исходное сообщение
"VPN, juniper, cisco"

Отправлено lavl , 10-Авг-11 15:32 
Добрый день, господа, подскажите такой момент.
есть cisco 1800, на ней поднят впн-канал к другой организации.
необходимо вместо этой циско поствить juniper srx.
вопрос собственно вот в чем - помогите перевести конфиг циски на жунипер, т.к. с жунипером опыт маленький, практически никакой.
пользовался этой докой: http://www.marfitsin.ru/index.php/articles/11-vpn/12-ciscoju...
не получилось, потом дошло, что в ней описан другой метод организации впн.
ниже конфиг циски:

crypto pki trustpoint TP-self-signed-4084259508
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-4084259508
revocation-check none
rsakeypair TP-self-signed-4084259508
!
!
crypto pki certificate chain TP-self-signed-4084259508
certificate self-signed 01
  3082024B 308201B4 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 34303834 32353935 3038301E 170D3032 30333036 30303434
  35385A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D34 30383432
  35393530 3830819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100DEB7 65ED94D2 D5FF60DB CAB54BAF 8619BCB8 B8C0BE9F F42D859A A592EEC8
  63E56D91 CE048DD4 9F280022 177E73C1 51DF361C 37F14C53 BA5C8876 9F42735C
  45CC85ED AE5A2FB9 95A14C34 AC1DC7BD 896A0EFA CC3C3E26 6D18CF48 88840B2A
  8270ED9D 34140CFE 813BD379 64D0C6F5 5AB1333E ACDEB312 49309625 A50F55F2
  F5630203 010001A3 73307130 0F060355 1D130101 FF040530 030101FF 301E0603
  551D1104 17301582 13796F75 726E616D 652E6E72 62616E6B 2D76726E 301F0603
  551D2304 18301680 14578A7B BD2C5A98 5E54DF1E 6A56B585 93F404F0 12301D06
  03551D0E 04160414 578A7BBD 2C5A985E 54DF1E6A 56B58593 F404F012 300D0609
  2A864886 F70D0101 04050003 8181000C 34BC7041 C8861EAE 9F3AAE7B C96BE29B
  3098F292 056E064B B8BAADBC 361FC6EC A1DE62D0 9E022D60 67602B05 8ED93ABB
  F96D6B54 1EFA276D 110A80D4 5881873B 25130D93 68A880A9 EA0C87C2 B408A869
  3C72B772 5560BDBD 79677BB1 6A714FAA F1F25CC0 0FD7CC3F E0135DE6 282D22D3
  DAB4AAD0 4A936454 C81A5E76 47180A
        quit
dot11 syslog
!
ip cef
no ip domain lookup
!
username ХХХХХХХХХХХХХХХХХХХХХ
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
lifetime 7200
crypto isakmp key SECRET-SECRET
address <IP_OF_REMOTE_VPN_SERVER> no-xauth
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 30 5
!
crypto ipsec transform-set maks esp-3des esp-sha-hmac
!
crypto ipsec profile gre
set transform-set maks
!
interface Tunnel0
description REMOTE_VPN_SERVER; ip=192.168.30.30/24
ip address 192.168.30.30 255.255.255.0
no ip redirects
ip mtu 1416
ip nhrp authentication ocsic
ip nhrp map 192.168.30.1 <IP_OF_REMOTE_VPN_SERVER>
ip nhrp map multicast <IP_OF_REMOTE_VPN_SERVER>
ip nhrp network-id 35
ip nhrp nhs 192.168.30.1
ip virtual-reassembly
tunnel source <IP_OF_MY_PROVIDER>
tunnel destination <IP_OF_REMOTE_VPN_SERVER>
tunnel key 54321
tunnel protection ipsec profile gre
!
interface FastEthernet0
no cdp enable
!
interface FastEthernet1
no cdp enable
!
interface FastEthernet2
no cdp enable
!
interface FastEthernet3
no cdp enable
!
interface FastEthernet4
ip address <IP_OF_MY_PROVIDER> 255.255.255.252
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface Vlan1
description MY_LOCAL
ip address 192.168.0.10 255.255.254.0
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 <MY_PROVIDER_GATEWAY>
#маршрут к хосту организации, для соединения с этим хостом и устанавливается впн
ip route 172.19.20.0 255.255.255.0 192.168.30.1


вот хоть убейте, попытался лопатить доки... но быстро - не получилось.
нужна помощь.Жунипер пока получилось просто выставить в сеть, поигрался с вланчиками, поигрался с свитчингом и bgp, поигрался с trust\untrust.


Содержание

Сообщения в этом обсуждении
"VPN, juniper, cisco"
Отправлено Николай_kv , 10-Авг-11 18:19 
В статье рассмотрен пример с обычным GRE тунелем, а у вас DMVPN. Или переделайте на циско в обычный GRE если не критично или конфигурите DMVPN = VPN+NHTB on juniper.

http://kb.juniper.net/kb/documents/public/junos_es/JUNOS_ES_...


"VPN, juniper, cisco"
Отправлено lavl , 11-Авг-11 11:55 
> В статье рассмотрен пример с обычным GRE тунелем, а у вас DMVPN.
> Или переделайте на циско в обычный GRE если не критично или
> конфигурите DMVPN = VPN+NHTB on juniper.
> http://kb.juniper.net/kb/documents/public/junos_es/JUNOS_ES_...

только с моей стороны возможно перешить на gre не трогая впн сервер организации, на которую я цепляюсь?


"VPN, juniper, cisco"
Отправлено Pve1 , 11-Авг-11 12:28 
>> В статье рассмотрен пример с обычным GRE тунелем, а у вас DMVPN.
>> Или переделайте на циско в обычный GRE если не критично или
>> конфигурите DMVPN = VPN+NHTB on juniper.
>> http://kb.juniper.net/kb/documents/public/junos_es/JUNOS_ES_...
> только с моей стороны возможно перешить на gre не трогая впн сервер
> организации, на которую я цепляюсь?

DMVMP, используемый у вас - по сути проприетарная технология циски. Оч сомневаюсь, что на джунипере что то сделаете.

Пробуйте поднять обычный p2p gre с вашим хабом. Естейственно потребует донастройки последнего.


"VPN, juniper, cisco"
Отправлено lavl , 12-Авг-11 13:39 
>>> В статье рассмотрен пример с обычным GRE тунелем, а у вас DMVPN.
>>> Или переделайте на циско в обычный GRE если не критично или
>>> конфигурите DMVPN = VPN+NHTB on juniper.
>>> http://kb.juniper.net/kb/documents/public/junos_es/JUNOS_ES_...
>> только с моей стороны возможно перешить на gre не трогая впн сервер
>> организации, на которую я цепляюсь?
> DMVMP, используемый у вас - по сути проприетарная технология циски. Оч сомневаюсь,
> что на джунипере что то сделаете.
> Пробуйте поднять обычный p2p gre с вашим хабом. Естейственно потребует донастройки последнего.

Еще раз приветствую.
организация пошла на встречу, предложила перейти на чистый ipsec.
вот что предложила изменить на циске:
примерно вот что добавится:
crypto map clientmap 21 ipsec-isakmp
  
set peer <remote_ip>
set transform-set maks
set pfs group2
match address ipsec_adresa

ip access-li ex ipsec_adresa
ваше локальное адрессное пространство - наше локальное адрессное пространство.

на внешнем (интернет) интерфейсе добавьте  crypto map clientmap

ну и ключ соединения пропишите для адреса нашего пира.
пожалуй и все.

я смогу это настроить на жунипере?


"VPN, juniper, cisco"
Отправлено Aleks305 , 12-Авг-11 13:45 
>[оверквотинг удален]
>  set peer <remote_ip>
>  set transform-set maks
>  set pfs group2
>  match address ipsec_adresa
> ip access-li ex ipsec_adresa
> ваше локальное адрессное пространство - наше локальное адрессное пространство.
> на внешнем (интернет) интерфейсе добавьте  crypto map clientmap
> ну и ключ соединения пропишите для адреса нашего пира.
> пожалуй и все.
> я смогу это настроить на жунипере?

сможете


"VPN, juniper, cisco"
Отправлено lavl , 14-Авг-11 11:03 
>[оверквотинг удален]
>>  set transform-set maks
>>  set pfs group2
>>  match address ipsec_adresa
>> ip access-li ex ipsec_adresa
>> ваше локальное адрессное пространство - наше локальное адрессное пространство.
>> на внешнем (интернет) интерфейсе добавьте  crypto map clientmap
>> ну и ключ соединения пропишите для адреса нашего пира.
>> пожалуй и все.
>> я смогу это настроить на жунипере?
> сможете

еще раз Добрый день. с полпинка не получилось у меня.
мы можем связаться, что бы Вы оказали помощь? Естественно не безвозмездно.


"VPN, juniper, cisco"
Отправлено Aleks305 , 14-Авг-11 21:42 
>[оверквотинг удален]
>>>  match address ipsec_adresa
>>> ip access-li ex ipsec_adresa
>>> ваше локальное адрессное пространство - наше локальное адрессное пространство.
>>> на внешнем (интернет) интерфейсе добавьте  crypto map clientmap
>>> ну и ключ соединения пропишите для адреса нашего пира.
>>> пожалуй и все.
>>> я смогу это настроить на жунипере?
>> сможете
> еще раз Добрый день. с полпинка не получилось у меня.
> мы можем связаться, что бы Вы оказали помощь? Естественно не безвозмездно.

какие модели роутеров и версии ос на них? я так понял Вам предложили сделать не gre over ipsec, а lan-to-lan ipsec без туннелирования. Напишите аську, я Вам стукну завтра


"VPN, juniper, cisco"
Отправлено lavl , 15-Авг-11 09:03 
>[оверквотинг удален]
>>>> на внешнем (интернет) интерфейсе добавьте  crypto map clientmap
>>>> ну и ключ соединения пропишите для адреса нашего пира.
>>>> пожалуй и все.
>>>> я смогу это настроить на жунипере?
>>> сможете
>> еще раз Добрый день. с полпинка не получилось у меня.
>> мы можем связаться, что бы Вы оказали помощь? Естественно не безвозмездно.
> какие модели роутеров и версии ос на них? я так понял Вам
> предложили сделать не gre over ipsec, а lan-to-lan ipsec без туннелирования.
> Напишите аську, я Вам стукну завтра

316862
Жду от вас сообщения