URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 42
[ Назад ]

Исходное сообщение
"ipsec troubleshooting"
Отправлено bekzod , 10-Авг-12 02:15

привет знатокам , помогите советом люди добрые ;)- сделал тестовый стенд с ipsec  vpn   который потом надо переместить реальному клиенту: voice  vlan <-> router  cisco  881< - >router  cisco  881<->vocie  vlan .  оба voice  vlana  из разных сеток соответственно, wan  интерфейсы "как бы  подключены через интернет" на самом деле просто соединены др с др . . поставил 2 компа в эти voice  vlana  друг друга пингуют, но команды show crypto isakmp sa
      show crypto ipsec sa
      show crypto engine connection active
      debug crypto isakmp
      debug crypto ipsec
ничего не показывают :( ..  это значит vpn  не поднят ?  чtо интересно с рутера делаю пинг на удаленный комп пинг не проходит даже при указаны source  vlan  20 (voice ) а компы друг друга видят ...

Содержание

ipsec troubleshooting,eek, 07:50 , 10-Авг-12
- ipsec troubleshooting,bekzod, 16:33 , 10-Авг-12

Сообщения в этом обсуждении

"ipsec troubleshooting"
Отправлено eek , 10-Авг-12 07:50

Схема такая.
1) Ставите две железки и два компа за ними, и добиваетесь чтобы просто ходил трафик (количество железок в цепочки значения не имеет, но для лучшего понимания механизмов работы лучше чтобы железок было 3).Как заставите траффик ходить между компьютерами (через вашу "сеть"). Начинайте заморачиваться с поднятием тунеля.
2) Проще всего для понимания делать gre over ipsec. Т.е. сначала поднимаете гре тунель и добиваетесь чтобы трафик ходил через него. Как заработает тунель можно его прикрыть ipsec'ом.
3) Поднимаете криптомапы и добиваетесь чтобы заработал ipsec. Проверка очень простая заворачиваете трафик на wireshark и смотрите какие идут пакеты. (должны идти не gre, а esp пакеты). На это все.
О том какие команды и куда вводить читайте в конфиг гайде на вашу железку. Если только начали заниматься, то рекомендую начать с ICND 1&2 ну и далее по списку, в вашем случае CCNA Security еще нужно посмотреть.

"ipsec troubleshooting"
Отправлено bekzod , 10-Авг-12 16:33

>[оверквотинг удален]
> 2) Проще всего для понимания делать gre over ipsec. Т.е. сначала
> поднимаете гре тунель и добиваетесь чтобы трафик ходил через него. Как
> заработает тунель можно его прикрыть ipsec'ом.
> 3) Поднимаете криптомапы и добиваетесь чтобы заработал ipsec. Проверка очень простая заворачиваете
> трафик на wireshark и смотрите какие идут пакеты. (должны идти не
> gre, а esp пакеты). На это все.
> О том какие команды и куда вводить читайте в конфиг гайде на
> вашу железку. Если только начали заниматься, то рекомендую начать с ICND
> 1&2 ну и далее по списку, в вашем случае CCNA Security
> еще нужно посмотреть.
Spasibo za otvet, no mne kajetsa vi ne prochitali vnimatelno. Traffic uje hodit. Prosto ne uveren cto chefez ipsec idet ved ruteri pramo connected.
A