forum.opennet.ru

Составление сообщения

Исходное сообщение

"Site-to-Site VPN на PIX'ах"
Отправлено MoBilka, 19-Фев-07 20:28

>Здравствуйте.
>Есть задача построить vpn между удаленными офисами, через арендованный канал.
>Оборудование - Cisco PIX 515E и Cisco PIX 506.
>Задача классическая, но почему-то не работает :)
>Видимо, мы что-то делаем не так.
>Заранее благодарен!
>конфигурация:
>PIX 515
>interface ethernet0 auto
>interface ethernet1 auto
>interface ethernet2 auto
>interface ethernet3 auto shutdown
>interface ethernet4 auto shutdown
>interface ethernet5 auto shutdown
>nameif ethernet0 outside security0
>nameif ethernet1 inside security100
>nameif ethernet2 vpn security10
>nameif ethernet3 intf3 security6
>nameif ethernet4 intf4 security8
>nameif ethernet5 intf5 security10
>access-list crypto1 permit ip 192.168.0.0 255.255.255.0 192.168.23.0 255.255.255
>.0
>ip address outside 192.168.1.1 255.255.255.0
>ip address inside 192.168.0.64 255.255.255.0
>ip address vpn 192.168.8.2 255.255.255.0
>global (outside) 1 192.168.1.2-192.168.1.5 netmask 255.255.255.0
>nat (inside) 0 access-list crypto1
>nat (inside) 1 192.168.0.0 255.255.255.0 0 0
>sysopt connection permit-ipsec
>crypto ipsec transform-set myset esp-3des esp-sha-hmac
>crypto map pixmap 10 ipsec-isakmp
>crypto map pixmap 10 match address crypto1
>crypto map pixmap 10 set peer 192.168.8.3
>crypto map pixmap 10 set transform-set myset
>crypto map pixmap interface vpn
>isakmp enable vpn
>isakmp key 12345 address 192.168.8.3 netmask 255.255.255.255
>isakmp identity address
>isakmp policy 10 authentication pre-share
>isakmp policy 10 encryption 3des
>isakmp policy 10 hash md5
>isakmp policy 10 group 2
>isakmp policy 10 lifetime 2400
>***************************************************************************************
>PIX 506
>interface ethernet0 auto
>interface ethernet1 auto
>nameif ethernet0 outside security0
>nameif ethernet1 inside security99
>ip address outside 192.168.8.3 255.255.255.0
>ip address inside 192.168.23.20 255.255.255.0
>crypto ipsec transform-set myset esp-3des esp-sha-hmac
>crypto map pix1map 10 ipsec-isakmp
>crypto map pix1map 10 match address crypto1
>crypto map pix1map 10 set peer 192.168.8.2
>crypto map pix1map 10 set transform-set myset
>crypto map pix1map interface outside
>isakmp enable outside
>isakmp key 12345 address 192.168.8.2 netmask 255.255.255.255
>isakmp policy 10 authentication pre-share
>isakmp policy 10 encryption 3des
>isakmp policy 10 hash md5
>isakmp policy 10 group 2
>isakmp policy 10 lifetime 2400

Где на 506ом access-list для впн? access-list должен быть симетричен акцес-листу на 515 (наоборот), иначе на заработает.
Где route. Не указал куда роутить запросы на 23тью сеть (для 515 - route vpn 192.168.23.0 255.255.255.0 192.168.8.3 ).

Исходное сообщение
"Site-to-Site VPN на PIX'ах" Отправлено MoBilka, 19-Фев-07 20:28
>Здравствуйте. >Есть задача построить vpn между удаленными офисами, через арендованный канал. >Оборудование - Cisco PIX 515E и Cisco PIX 506. >Задача классическая, но почему-то не работает :) >Видимо, мы что-то делаем не так. >Заранее благодарен! >конфигурация: >PIX 515 >interface ethernet0 auto >interface ethernet1 auto >interface ethernet2 auto >interface ethernet3 auto shutdown >interface ethernet4 auto shutdown >interface ethernet5 auto shutdown >nameif ethernet0 outside security0 >nameif ethernet1 inside security100 >nameif ethernet2 vpn security10 >nameif ethernet3 intf3 security6 >nameif ethernet4 intf4 security8 >nameif ethernet5 intf5 security10 >access-list crypto1 permit ip 192.168.0.0 255.255.255.0 192.168.23.0 255.255.255 >.0 >ip address outside 192.168.1.1 255.255.255.0 >ip address inside 192.168.0.64 255.255.255.0 >ip address vpn 192.168.8.2 255.255.255.0 >global (outside) 1 192.168.1.2-192.168.1.5 netmask 255.255.255.0 >nat (inside) 0 access-list crypto1 >nat (inside) 1 192.168.0.0 255.255.255.0 0 0 >sysopt connection permit-ipsec >crypto ipsec transform-set myset esp-3des esp-sha-hmac >crypto map pixmap 10 ipsec-isakmp >crypto map pixmap 10 match address crypto1 >crypto map pixmap 10 set peer 192.168.8.3 >crypto map pixmap 10 set transform-set myset >crypto map pixmap interface vpn >isakmp enable vpn >isakmp key 12345 address 192.168.8.3 netmask 255.255.255.255 >isakmp identity address >isakmp policy 10 authentication pre-share >isakmp policy 10 encryption 3des >isakmp policy 10 hash md5 >isakmp policy 10 group 2 >isakmp policy 10 lifetime 2400 >*************************************************************************************** >PIX 506 >interface ethernet0 auto >interface ethernet1 auto >nameif ethernet0 outside security0 >nameif ethernet1 inside security99 >ip address outside 192.168.8.3 255.255.255.0 >ip address inside 192.168.23.20 255.255.255.0 >crypto ipsec transform-set myset esp-3des esp-sha-hmac >crypto map pix1map 10 ipsec-isakmp >crypto map pix1map 10 match address crypto1 >crypto map pix1map 10 set peer 192.168.8.2 >crypto map pix1map 10 set transform-set myset >crypto map pix1map interface outside >isakmp enable outside >isakmp key 12345 address 192.168.8.2 netmask 255.255.255.255 >isakmp policy 10 authentication pre-share >isakmp policy 10 encryption 3des >isakmp policy 10 hash md5 >isakmp policy 10 group 2 >isakmp policy 10 lifetime 2400 Где на 506ом access-list для впн? access-list должен быть симетричен акцес-листу на 515 (наоборот), иначе на заработает. Где route. Не указал куда роутить запросы на 23тью сеть (для 515 - route vpn 192.168.23.0 255.255.255.0 192.168.8.3 ).

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру