forum.opennet.ru - "ipsec-isakmp внутри gre тоннелья" (2)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"ipsec-isakmp внутри gre тоннелья"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ipsec-isakmp внутри gre тоннелья"
Сообщение от Аноним (??) on 08-Июл-08, 07:44
между двумя цисками прокинут gre - туннель. Хочу трафик внктри его зашиaровать, но так, чтобы ВЕСЬ трафик включая isakmp прошел ВНУТРИ тоннеля. нужно это потому, что gre тоннель прокинут через NAT к которому я не имею доступа (и прокинуть 500порт или еще чтото кроме GRE немогу). crypto keyring 10 pre-shared-key address 192.168.27.2 key test ! crypto isakmp policy 1 authentication pre-share group 2 lifetime 3600 crypto isakmp profile 10 keyring 10 match identity address 192.168.27.2 255.255.255.255 local-address 192.168.27.1 ! ! crypto ipsec transform-set 10 esp-des esp-md5-hmac ! crypto ipsec profile 10 set transform-set 10 set pfs group2 set isakmp-profile 10 ! ! crypto map 10 local-address Tunnel10 crypto map 10 1 ipsec-isakmp set peer 192.168.27.2 set transform-set 10 set pfs group2 set isakmp-profile 10 match address 100 ! interface Tunnel10 ip address 192.168.27.1 255.255.255.252 tunnel source FastEthernet0/1 tunnel destination XXXXXXXXXX crypto map 10 ! ip route 192.168.25.0 255.255.255.0 192.168.27.2 ! access-list 100 permit ip 10.65.2.0 0.0.0.255 192.168.25.0 0.0.0.255 ! на второй циске симметрично. не работает. смотрю проходящий трафик и вижу - isakmp обмен идет не между адрсами туннеля (192.168.27.1\192.168.27.2), что былобы ИМХО логично, а между адресом FastEthernet 0/1 с одной стороны и адресом тонеля 192.168.27.2 (в обратную сторону аналогично). При этом он естественно в тоннель не попадает, до другой стороны не доходит и шифрование не устанавливается. Что делать то?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

ipsec-isakmp внутри gre тоннелья, Изгой, 11:43 , 08-Июл-08, (1)
ipsec-isakmp внутри gre тоннеля - это просто :), piavik, 20:55 , 11-Июл-08, (2)

Сообщения по теме [Сортировка по времени | RSS]

1. "ipsec-isakmp внутри gre тоннелья"

Сообщение от Изгой (??) on 08-Июл-08, 11:43

>[оверквотинг удален]
>не работает.
>
>смотрю проходящий трафик и вижу - isakmp обмен идет не между адрсами
>туннеля (192.168.27.1\192.168.27.2), что былобы ИМХО логично, а между адресом FastEthernet 0/1
>
>с одной стороны и адресом тонеля 192.168.27.2 (в обратную сторону аналогично). При
>этом он естественно в тоннель не попадает, до другой стороны не
>доходит и шифрование не устанавливается.
>
>Что делать то?
А если сделать ipsec поинт ту поинт  , приватные сети пустить в обход натов и шифровать их без гре, всё очень нормально и красиво без заковырок ??

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "ipsec-isakmp внутри gre тоннеля -  это просто :)"

Сообщение от piavik on 11-Июл-08, 20:55

>между двумя цисками прокинут gre - туннель.
>
>Хочу трафик внктри его зашиaровать, но так, чтобы ВЕСЬ трафик
>включая isakmp прошел ВНУТРИ тоннеля. нужно это потому, что gre тоннель
>прокинут через NAT к которому я не имею доступа (и прокинуть 500порт
>или
>еще чтото кроме GRE немогу).
Намучено у тебя по самые нехочу :)
Тебе надо так:
crypto isakmp key test address 192.168.27.2
(если хочешь - можешь вместо этого использовать crypto keyring)
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto ipsec transform-set CRYPT esp-des esp-md5-hmac
crypto ipsec profile CRYPTOPROFILE
set transform-set CRYPT
interface Tunnel XX
ip address 192.168.27.1 255.255.255.252
tunnel source (ip адрес source интерфейса)
tunnel destination (ip адрес destination интерфейса)
tunnel mode ipsec ipv4
tunnel protection ipsec profile CRYPTOPROFILE
Криптомапу делать не нужно - она создастся автоматически.
Соответственно аксес-листов тоже не нужно - будет криптоваться весь траффик, проходящий через туннель.
В качестве tunnel source лучше использовать IP адрес, покольку при указании интерфейса бывают грабли.
Если нужен постоянный коннект - поставь keepalives  на туннелях.
Не забудь RSA ключи сгенерировать, если их нету (проверить: sh cry key my rsa).
Вроде все.
Пробуй.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipsec-isakmp внутри gre тоннелья"
Сообщение от Изгой (??) on 08-Июл-08, 11:43
>[оверквотинг удален] >не работает. > >смотрю проходящий трафик и вижу - isakmp обмен идет не между адрсами >туннеля (192.168.27.1\192.168.27.2), что былобы ИМХО логично, а между адресом FastEthernet 0/1 > >с одной стороны и адресом тонеля 192.168.27.2 (в обратную сторону аналогично). При >этом он естественно в тоннель не попадает, до другой стороны не >доходит и шифрование не устанавливается. > >Что делать то? А если сделать ipsec поинт ту поинт , приватные сети пустить в обход натов и шифровать их без гре, всё очень нормально и красиво без заковырок ??
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "ipsec-isakmp внутри gre тоннеля - это просто :)"
Сообщение от piavik on 11-Июл-08, 20:55
>между двумя цисками прокинут gre - туннель. > >Хочу трафик внктри его зашиaровать, но так, чтобы ВЕСЬ трафик >включая isakmp прошел ВНУТРИ тоннеля. нужно это потому, что gre тоннель >прокинут через NAT к которому я не имею доступа (и прокинуть 500порт >или >еще чтото кроме GRE немогу). Намучено у тебя по самые нехочу :) Тебе надо так: crypto isakmp key test address 192.168.27.2 (если хочешь - можешь вместо этого использовать crypto keyring) crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto ipsec transform-set CRYPT esp-des esp-md5-hmac crypto ipsec profile CRYPTOPROFILE set transform-set CRYPT interface Tunnel XX ip address 192.168.27.1 255.255.255.252 tunnel source (ip адрес source интерфейса) tunnel destination (ip адрес destination интерфейса) tunnel mode ipsec ipv4 tunnel protection ipsec profile CRYPTOPROFILE Криптомапу делать не нужно - она создастся автоматически. Соответственно аксес-листов тоже не нужно - будет криптоваться весь траффик, проходящий через туннель. В качестве tunnel source лучше использовать IP адрес, покольку при указании интерфейса бывают грабли. Если нужен постоянный коннект - поставь keepalives на туннелях. Не забудь RSA ключи сгенерировать, если их нету (проверить: sh cry key my rsa). Вроде все. Пробуй.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]