https://opennet.me/openforum/vsluhforumID6/21771.html Здравствуйте.<br>Такая ситуация - необходимо настроить VPN-туннель. На удаленной стороне уже все настройки сделаны, ответственный за это человек прислал кусок конфига, который необходимо загрузить в циску, вот он:<br><br>crypto isakmp policy 10<br> encr 3des<br> hash md5<br> authentication pre-share<br> group 2<br> lifetime 600<br>crypto isakmp key xxxxxxxxxx address yy.yy.yy.yy<br>crypto isakmp keepalive 10 2<br>!<br>!<br>crypto ipsec transform-set myset esp-3des esp-md5-hmac<br>!<br>crypto map myset 10 ipsec-isakmp<br> set peer zz.zz.zz.zz<br> set security-association lifetime seconds 600<br> set transform-set myset<br> set pfs group2<br> match address vpn<br><br>ip access-list extended vpn<br> permit ip aa.aa.aa.aa 0.0.0.255 bb.bb.bb.bb 0.0.0.255<br><br>Собственно, проблема - циски нет :))) Есть dfl-800, который вроде как умеет делать Ipsec и VPN-туннели. Нужна помощь по трансформации конфига для циски в конфиг для dfl-а. Я сам много не работал с туннелями и если б циска была - все бы точно сам настроил, но в GUI-шном интерфейсе dfl-а все как-то очень уж https://opennet.me/openforum/vsluhforumID6/21771.html#8 Mon, 13 Jan 2014 04:03:13 GMT Важная поправка, Remote Endpoint - это IP-адрес удалённого хоста, а не шлюза!!!<br> https://opennet.me/openforum/vsluhforumID6/21771.html#7 Mon, 03 Jan 2011 18:15:52 GMT Господа, у меня точно такая же проблема как предыдущем посте, с разницой в том, что пытаюсь связать два DFL-800, но ошибка лезет так же, подскажите куда копать, плеасе, а то уже всю голову сломал, весь инет перерыл ...<br> https://opennet.me/openforum/vsluhforumID6/21771.html#6 Mon, 18 Oct 2010 09:24:44 GMT Господа,<br><br>попробовал сделать как посоветовал уважаемый root, однако столкнулся с проблемами, в логе лезут вот такие сообщения:<br>ipdatalen=53 udptotlen=53 <br>2010-10-18<br>13:12:06 Info IPSEC<br>1800317 <br> <br> peer_is_dead<br>IPsec_tunnel_disabled <br>peer=10.24.255.6 <br>2010-10-18<br>13:12:06 Info IPSEC<br>1802708 <br> <br> ike_sa_destroyed<br>ike_sa_killed <br>ike_sa=" Initiator SPI ESP=0xcb8d33f7, AH=0x6f9a15a1 Responder SPI " <br>2010-10-18<br>13:12:06 Warning IPSEC<br>1802022 <br> <br> ike_sa_failed<br>no_ike_sa <br>statusmsg="Timeout" local_peer="127.0.0.1 ID 10.97.250.10" remote_peer="10.24.255.6 ID No Id" initiator_spi="ESP=0xcb8d33f7, AH=0x6f9a15a1" <br>2010-10-18<br>13:12:06 Warning IPSEC<br>1802715 <br> <br> event_on_ike_sa<br> <br>side=Initiator msg="failed" int_severity=6 <br><br>Не подскажете, где искать проблему? Вроде бы все выставил, как описано, пробовал разные варианты некоторых настроек - не помогает, всегда одни и те же сообщения в логах. Спасибо!<br> https://opennet.me/openforum/vsluhforumID6/21771.html#5 Fri, 15 Oct 2010 08:15:24 GMT Если что пиши в 557133 можно сделать для обоих продуктов к примеру ASA и DFL-800 скриншот натройку<br> https://opennet.me/openforum/vsluhforumID6/21771.html#4 Fri, 15 Oct 2010 08:11:08 GMT &gt;[оверквотинг удален]<br>&gt; Все остальное по умолчанию в этой вкладке<br>&gt; Во вкладке Advanced<br>&gt; Ставим Route Metric к примеру 90<br>&gt; Потом идем в файерволл Rules-IP Rules<br>&gt; И создаем правила что разрешаем из локальной сети какие протоколы в удаленную<br>&gt; сеть<br>&gt; И второе правило наооборот что разрешаем из удаленной сети какие протоколы в<br>&gt; локальную<br>&gt; P.S. Все параметры IPSec которые есть на DFL-800 должны быть в точности<br>&gt; одинаковые и на Cisco тогда все подымется и будет работать :)<br><br>omg, спасибо огромное за столь развернутое пояснение!<br>Буду пытаться чуть позже все это проделать - сейчас времени просто нет.<br><br> https://opennet.me/openforum/vsluhforumID6/21771.html#3 Fri, 15 Oct 2010 08:04:07 GMT Для начала на DFL-800, <br>Перед тем как делать натройку IPSEC нужно создать в разделе Objects-Address Book-InterfaceAddresses сети - локальная сабнет, удаленная сабнет, удаленный gw для ipsec.<br>Потом приступаем к настройке IPSEC<br>заходим Objects-Authentication Objects и там создаем Pre-shared key т.е. пароль на туннель, потом идем в Objects-VPN Objects и настаиваем IKE Algorithms<br>и IPsec Algorithms под нужный уровень шифрования, хотя там уже есть предустановленные High и Medium Security ( Для удобства лучше создать свои группы с нужными параметрами )<br>После этого подымаем непосредственно интерфейс Interfaces-IPsec и создаем там IPSec Tunnel<br>К примеру как-то обзываем IPSec_to_<br>во вкладке Local Network - указываем локальную подсеть<br>во вкладке Remote Network - указываем удаленную подсеть<br>во вкладке Remote Endpoint - указываем удаленный гейт роутера<br>Encapsulation Mode - Tunnel<br>IKE Algorithms - указываем то что мы создали ( к примеру есть там High AES 256 )<br>IKE Life Time - лучше указать 86400 на Cisco нужно https://opennet.me/openforum/vsluhforumID6/21771.html#2 Fri, 15 Oct 2010 07:34:20 GMT &gt; DFL-800 реально настроить через веб морду, туннель с любой циской поднимает и<br>&gt; держит хоть AES256 :)<br>&gt; P.S. Для начала нужно написать какой софт стоит на DFL-800<br><br>Это радостные новости! Софт вот такой:<br>Configuration: Version 101 <br>Firmware Version: 2.20.02.12-7175<br>Jun 25 2008 <br> https://opennet.me/openforum/vsluhforumID6/21771.html#1 Fri, 15 Oct 2010 07:31:29 GMT DFL-800 реально настроить через веб морду, туннель с любой циской поднимает и держит хоть AES256 :)<br><br>P.S. Для начала нужно написать какой софт стоит на DFL-800<br>