forum.opennet.ru - "Настройка IPSec по типу звезда" (11)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Настройка IPSec по типу звезда"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Настройка IPSec по типу звезда"
Сообщение от tashmen (ok) on 16-Янв-09, 11:05
Добрый день! Помогите настроить IPSec по следующей схеме имеется центральный маршрутизатор С7204 и два подключенных к нему С2801 по каналам E1. Нужно чтобы эти соединения проходили по IPSec туннелю. Ключей никаких не сгенерировано. Конфигурация интерфейсов На 7204 interface Serial1/0:1 description ## to Site 3 ## ip address 172.18.0.1 255.255.255.252 encapsulation ppp ip ospf 10 area 0 ip rtp priority 5000 6000 500 ! interface Serial1/1:1 description ## to Site 4 ## ip address 172.19.0.1 255.255.255.252 encapsulation ppp ip ospf 10 area 0 ip rtp priority 5000 6000 500 На С2801-1 interface Serial0/2/0:1 description ## to Site 1 ## ip address 172.18.0.2 255.255.255.252 ip nat outside ip virtual-reassembly encapsulation ppp На С2801-2 interface Serial0/2/0:1 description ## to Site 1 ## ip address 172.19.0.2 255.255.255.252 ip nat outside ip virtual-reassembly encapsulation ppp
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Настройка IPSec по типу звезда, tashmen, 11:44 , 16-Янв-09, (1)
Настройка IPSec по типу звезда, tashmen, 11:47 , 16-Янв-09, (2)

Настройка IPSec по типу звезда, gagner, 17:12 , 16-Янв-09, (3)

Настройка IPSec по типу звезда, tashmen, 11:18 , 17-Янв-09, (6)

Настройка IPSec по типу звезда, gagner, 15:43 , 29-Янв-09, (11)

Настройка IPSec по типу звезда, Вас, 22:28 , 16-Янв-09, (4)

Настройка IPSec по типу звезда, tashmen, 11:17 , 17-Янв-09, (5)

Настройка IPSec по типу звезда, Вас, 13:20 , 17-Янв-09, (7)

Настройка IPSec по типу звезда, merko, 06:11 , 19-Янв-09, (8)

Настройка IPSec по типу звезда, merko, 06:14 , 19-Янв-09, (9)

Настройка IPSec по типу звезда, tashmen, 10:19 , 19-Янв-09, (10)

Сообщения по теме [Сортировка по времени | RSS]

1. "Настройка IPSec по типу звезда"

Сообщение от tashmen (ok) on 16-Янв-09, 11:44

дублирование

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Настройка IPSec по типу звезда"

Сообщение от tashmen (ok) on 16-Янв-09, 11:47

Достаточно ли следующих настроек для 7204????

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set T1 esp-3des esp-sha-hmac
!
crypto ipsec profile P1
set transform-set T1
!
!
interface Tunnel0
ip address 10.18.0.1 255.255.255.0
ip ospf mtu-ignore
load-interval 30
tunnel source 172.18.0.1
tunnel destination 172.18.0.2
tunnel mode ipsec ipv4
tunnel protection ipsec profile P1
!
interface Tunnel1
ip address 10.19.0.1 255.255.255.0
ip ospf mtu-ignore
load-interval 30
tunnel source 172.19.0.1
tunnel destination 172.19.0.2
tunnel mode ipsec ipv4
tunnel protection ipsec profile P1
!
interface Serial1/0:1
description ## to Site 3 ##
ip address 172.18.0.1 255.255.255.252
encapsulation ppp
ip ospf 10 area 0
ip rtp priority 5000 6000 500
!
interface Serial1/1:1
description ## to Site 4 ##
ip address 172.19.0.1 255.255.255.252
encapsulation ppp
ip ospf 10 area 0
ip rtp priority 5000 6000 500
!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Настройка IPSec по типу звезда"

Сообщение от gagner (ok) on 16-Янв-09, 17:12

в crypto ipsec profile можно добавить security-association lifetime и security-association idle-time.
туннели по инету я делаю крипто-мапами:
crypto map MAP 10 ipsec-isakmp
set peer X.X.X.X
set transform-set SET
set pfs group2
match address LIST
+ полиси, трансформ сет, кей, ACL и все это привязать к интерфейсу.
со своими - мульти-точку VPN nhrp. если у вас будет больше 2х точек, то могу привести кусок конфига, ибо так оно как-то краше.
навскидку в вашем варианте косяков не вижу.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Настройка IPSec по типу звезда"

Сообщение от tashmen (ok) on 17-Янв-09, 11:18

>[оверквотинг удален]
> set pfs group2
> match address LIST
>
>+ полиси, трансформ сет, кей, ACL и все это привязать к интерфейсу.
>
>
>со своими - мульти-точку VPN nhrp. если у вас будет больше 2х
>точек, то могу привести кусок конфига, ибо так оно как-то краше.
>
>навскидку в вашем варианте косяков не вижу.
Точек будет девять %) если можно то приведите конфиг

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Настройка IPSec по типу звезда"

Сообщение от gagner (ok) on 29-Янв-09, 15:43

>Точек будет девять %) если можно то приведите конфиг
На мультиточке:
interface Tunnel0
ip address 192.168.0.1 255.255.255.128 - виртуальная адресация
no ip redirects
ip mtu 1400
ip nhrp authentication KEY
ip nhrp map multicast dynamic
ip nhrp network-id №
ip ospf network broadcast
tunnel source X.X.X.X - реальный адрес мульти-точки
tunnel mode gre multipoint
tunnel key KEY
tunnel protection ipsec profile PROFILE
На точках:
interface Tunnel0
ip address 192.168.0.2 255.255.255.128
ip mtu 1400
ip nhrp authentication A-KEY
ip nhrp map 192.168.0.1 X.X.X.X
ip nhrp network-id №
ip nhrp nhs 192.168.0.1
ip ospf network broadcast
tunnel source INT/IP
tunnel destination X.X.X.X
tunnel key KEY
tunnel protection ipsec profile PROFILE
В общем, как-то так. )) Основная прелесть в том, что на мультиточке только 1 интерфейс и нигде не фигурируют адреса самих точек.
Проверить работу туннеля для начала можно пингами до виртуальных адресов на другом конце. ))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Настройка IPSec по типу звезда"

Сообщение от Вас on 16-Янв-09, 22:28

Очень рекомендую ленивый вариант - настраивать ipsec через граф.интерфейс SDM. В этом случае, настроив центральную циску, система сама сгенерирует зеркальную конфигурацию, которую надо будет перенести на каждый удалённый маршрутизатор.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Настройка IPSec по типу звезда"

Сообщение от tashmen (ok) on 17-Янв-09, 11:17

>Очень рекомендую ленивый вариант - настраивать ipsec через граф.интерфейс SDM. В этом
>случае, настроив центральную циску, система сама сгенерирует зеркальную конфигурацию, которую надо
>будет перенести на каждый удалённый маршрутизатор.
не подскажете как к нему подрубиться??

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Настройка IPSec по типу звезда"

Сообщение от Вас on 17-Янв-09, 13:20

>>Очень рекомендую ленивый вариант - настраивать ipsec через граф.интерфейс SDM. В этом
>>случае, настроив центральную циску, система сама сгенерирует зеркальную конфигурацию, которую надо
>>будет перенести на каждый удалённый маршрутизатор.
>
>не подскажете как к нему подрубиться??
В браузере -> http://IP_Вашей_циски
Должна быть включена Java.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Настройка IPSec по типу звезда"

Сообщение от merko (??) on 19-Янв-09, 06:11

>>>Очень рекомендую ленивый вариант - настраивать ipsec через граф.интерфейс SDM. В этом
>>>случае, настроив центральную циску, система сама сгенерирует зеркальную конфигурацию, которую надо
>>>будет перенести на каждый удалённый маршрутизатор.
>>
>>не подскажете как к нему подрубиться??
>
>В браузере -> http://IP_Вашей_циски
>Должна быть включена Java.
1. Должна быть установлена на ПК приблуда "Cisco SDM"
2. Java
3. По http лезть на циску с помощью Internet Explorer (Мозилой не получится)
4. Советую настраивать все-таки с консоли

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Настройка IPSec по типу звезда"

Сообщение от merko (??) on 19-Янв-09, 06:14

Пример настройки GRE туннеля: http://www.ciscolab.ru/2007/07/22/ipsec_router_nat.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Настройка IPSec по типу звезда"

Сообщение от tashmen (ok) on 19-Янв-09, 10:19

А как проверить что все работает через туннель а не напрямую через физический интерфейс????

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Настройка IPSec по типу звезда"
Сообщение от tashmen (ok) on 16-Янв-09, 11:44
дублирование
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Настройка IPSec по типу звезда"
Сообщение от tashmen (ok) on 16-Янв-09, 11:47
Достаточно ли следующих настроек для 7204???? crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0 ! ! crypto ipsec transform-set T1 esp-3des esp-sha-hmac ! crypto ipsec profile P1 set transform-set T1 ! ! interface Tunnel0 ip address 10.18.0.1 255.255.255.0 ip ospf mtu-ignore load-interval 30 tunnel source 172.18.0.1 tunnel destination 172.18.0.2 tunnel mode ipsec ipv4 tunnel protection ipsec profile P1 ! interface Tunnel1 ip address 10.19.0.1 255.255.255.0 ip ospf mtu-ignore load-interval 30 tunnel source 172.19.0.1 tunnel destination 172.19.0.2 tunnel mode ipsec ipv4 tunnel protection ipsec profile P1 ! interface Serial1/0:1 description ## to Site 3 ## ip address 172.18.0.1 255.255.255.252 encapsulation ppp ip ospf 10 area 0 ip rtp priority 5000 6000 500 ! interface Serial1/1:1 description ## to Site 4 ## ip address 172.19.0.1 255.255.255.252 encapsulation ppp ip ospf 10 area 0 ip rtp priority 5000 6000 500 !
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Настройка IPSec по типу звезда"
	Сообщение от gagner (ok) on 16-Янв-09, 17:12
	в crypto ipsec profile можно добавить security-association lifetime и security-association idle-time. туннели по инету я делаю крипто-мапами: crypto map MAP 10 ipsec-isakmp set peer X.X.X.X set transform-set SET set pfs group2 match address LIST + полиси, трансформ сет, кей, ACL и все это привязать к интерфейсу. со своими - мульти-точку VPN nhrp. если у вас будет больше 2х точек, то могу привести кусок конфига, ибо так оно как-то краше. навскидку в вашем варианте косяков не вижу.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Настройка IPSec по типу звезда"
	Сообщение от tashmen (ok) on 17-Янв-09, 11:18
	>[оверквотинг удален] > set pfs group2 > match address LIST > >+ полиси, трансформ сет, кей, ACL и все это привязать к интерфейсу. > > >со своими - мульти-точку VPN nhrp. если у вас будет больше 2х >точек, то могу привести кусок конфига, ибо так оно как-то краше. > >навскидку в вашем варианте косяков не вижу. Точек будет девять %) если можно то приведите конфиг
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Настройка IPSec по типу звезда"
	Сообщение от gagner (ok) on 29-Янв-09, 15:43
	>Точек будет девять %) если можно то приведите конфиг На мультиточке: interface Tunnel0 ip address 192.168.0.1 255.255.255.128 - виртуальная адресация no ip redirects ip mtu 1400 ip nhrp authentication KEY ip nhrp map multicast dynamic ip nhrp network-id № ip ospf network broadcast tunnel source X.X.X.X - реальный адрес мульти-точки tunnel mode gre multipoint tunnel key KEY tunnel protection ipsec profile PROFILE На точках: interface Tunnel0 ip address 192.168.0.2 255.255.255.128 ip mtu 1400 ip nhrp authentication A-KEY ip nhrp map 192.168.0.1 X.X.X.X ip nhrp network-id № ip nhrp nhs 192.168.0.1 ip ospf network broadcast tunnel source INT/IP tunnel destination X.X.X.X tunnel key KEY tunnel protection ipsec profile PROFILE В общем, как-то так. )) Основная прелесть в том, что на мультиточке только 1 интерфейс и нигде не фигурируют адреса самих точек. Проверить работу туннеля для начала можно пингами до виртуальных адресов на другом конце. ))
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Настройка IPSec по типу звезда"
Сообщение от Вас on 16-Янв-09, 22:28
Очень рекомендую ленивый вариант - настраивать ipsec через граф.интерфейс SDM. В этом случае, настроив центральную циску, система сама сгенерирует зеркальную конфигурацию, которую надо будет перенести на каждый удалённый маршрутизатор.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Настройка IPSec по типу звезда"
	Сообщение от tashmen (ok) on 17-Янв-09, 11:17
	>Очень рекомендую ленивый вариант - настраивать ipsec через граф.интерфейс SDM. В этом >случае, настроив центральную циску, система сама сгенерирует зеркальную конфигурацию, которую надо >будет перенести на каждый удалённый маршрутизатор. не подскажете как к нему подрубиться??
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Настройка IPSec по типу звезда"
	Сообщение от Вас on 17-Янв-09, 13:20
	>>Очень рекомендую ленивый вариант - настраивать ipsec через граф.интерфейс SDM. В этом >>случае, настроив центральную циску, система сама сгенерирует зеркальную конфигурацию, которую надо >>будет перенести на каждый удалённый маршрутизатор. > >не подскажете как к нему подрубиться?? В браузере -> http://IP_Вашей_циски Должна быть включена Java.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Настройка IPSec по типу звезда"
	Сообщение от merko (??) on 19-Янв-09, 06:11
	>>>Очень рекомендую ленивый вариант - настраивать ipsec через граф.интерфейс SDM. В этом >>>случае, настроив центральную циску, система сама сгенерирует зеркальную конфигурацию, которую надо >>>будет перенести на каждый удалённый маршрутизатор. >> >>не подскажете как к нему подрубиться?? > >В браузере -> http://IP_Вашей_циски >Должна быть включена Java. 1. Должна быть установлена на ПК приблуда "Cisco SDM" 2. Java 3. По http лезть на циску с помощью Internet Explorer (Мозилой не получится) 4. Советую настраивать все-таки с консоли
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Настройка IPSec по типу звезда"
	Сообщение от merko (??) on 19-Янв-09, 06:14
	Пример настройки GRE туннеля: http://www.ciscolab.ru/2007/07/22/ipsec_router_nat.html
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Настройка IPSec по типу звезда"
	Сообщение от tashmen (ok) on 19-Янв-09, 10:19
	А как проверить что все работает через туннель а не напрямую через физический интерфейс????
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]