forum.opennet.ru - "Помогите настроить сеть между двумя офисами на Cisco 851" (19)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Помогите настроить сеть между двумя офисами на Cisco 851"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Помогите настроить сеть между двумя офисами на Cisco 851"	+/–
Сообщение от Iphirion (ok) on 31-Авг-10, 17:02
Помогите настроить Шифрованную сеть между двумя офисами на Cisco 851 Имеется: 2 Cisco 851; 2 статичных IP на одном провайдере. Нужно сделать между ними шифрованный канал. Короче говоря нужна локальная сеть между двумя офисами, которая будет защищенной. В силу отсутствия опыта, практики, знаний. Прошу помощи. Нашел вот этот пример. Но не знаю подойдет ли мне. http://www.opennet.me/openforum/vsluhforumID6/19829.html
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Помогите настроить сеть между двумя офисами на Cisco 851, Николай, 18:49 , 31-Авг-10, (1)
Помогите настроить сеть между двумя офисами на Cisco 851, kolyaniust, 18:52 , 31-Авг-10, (2)

Помогите настроить сеть между двумя офисами на Cisco 851, Iphirion, 13:28 , 01-Сен-10, (3)

Помогите настроить сеть между двумя офисами на Cisco 851, del23, 17:48 , 02-Сен-10, (4)

Помогите настроить сеть между двумя офисами на Cisco 851, j_vw, 20:53 , 02-Сен-10, (5)

Помогите настроить сеть между двумя офисами на Cisco 851, del23, 11:01 , 03-Сен-10, (6)
Помогите настроить сеть между двумя офисами на Cisco 851, del23, 12:54 , 03-Сен-10, (7)
Помогите настроить сеть между двумя офисами на Cisco 851, kolyaniust, 13:24 , 03-Сен-10, (8)

Помогите настроить сеть между двумя офисами на Cisco 851, Iphirion, 13:49 , 03-Сен-10, (9)

Помогите настроить сеть между двумя офисами на Cisco 851, del23, 14:08 , 03-Сен-10, (10)

Помогите настроить сеть между двумя офисами на Cisco 851, Iphirion, 15:44 , 03-Сен-10, (11)

Помогите настроить сеть между двумя офисами на Cisco 851, del23, 15:49 , 03-Сен-10, (12)

Помогите настроить сеть между двумя офисами на Cisco 851, Iphirion, 15:55 , 03-Сен-10, (13)

Помогите настроить сеть между двумя офисами на Cisco 851, del23, 15:59 , 03-Сен-10, (14)
Помогите настроить сеть между двумя офисами на Cisco 851, Iphirion, 16:14 , 03-Сен-10, (15)

Помогите настроить сеть между двумя офисами на Cisco 851, Iphirion, 10:11 , 06-Сен-10, (16)

Помогите настроить сеть между двумя офисами на Cisco 851, del23, 11:23 , 06-Сен-10, (17)

Помогите настроить сеть между двумя офисами на Cisco 851, Iphirion, 12:54 , 06-Сен-10, (18)

Помогите настроить сеть между двумя офисами на Cisco 851, del23, 23:03 , 07-Сен-10, (19)

Сообщения по теме [Сортировка по времени | RSS]

1. "Помогите настроить сеть между двумя офисами на Cisco 851" +/–

Сообщение от Николай (??) on 31-Авг-10, 18:49

>[оверквотинг удален]
>2 Cisco 851;
>2 статичных IP на одном провайдере.
>
>Нужно сделать между ними шифрованный канал.
>Короче говоря нужна локальная сеть между двумя офисами, которая будет защищенной.
>
>В силу отсутствия опыта, практики, знаний. Прошу помощи.
>
>Нашел вот этот пример. Но не знаю подойдет ли мне.
>http://www.opennet.me/openforum/vsluhforumID6/19829.html
попробуй так только без ацл для начала
http://www.tek-tips.com/viewthread.cfm?qid=1122222&page=1

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Помогите настроить сеть между двумя офисами на Cisco 851" +/–

Сообщение от kolyaniust (ok) on 31-Авг-10, 18:52

У меня построены туннели на IPSec и GRE.
Не плохая статья вот тут
http://faq-cisco.ru/statji/bezopasnostj/nastraivaem-ipsec-tu...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Помогите настроить сеть между двумя офисами на Cisco 851" +/–

Сообщение от Iphirion (ok) on 01-Сен-10, 13:28

тут что-то надо будет менять кроме моих внешних и внутренних IP, или можно тупо копировать конфигурацию?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Помогите настроить сеть между двумя офисами на Cisco 851" +/–

Сообщение от del23 (ok) on 02-Сен-10, 17:48

>тут что-то надо будет менять кроме моих внешних и внутренних IP, или
>можно тупо копировать конфигурацию?
Не совсем. На сколько я понял у тебя с на одной железке статический IP а на другой ты получаешь динамически от провайдера?!
Если так то тебе необходимо на роутере где статический IP настраивать динамическую Crypto Map и ставить "crypto isakmp key" след образом
crypto isakmp key cisco123 address 0.0.0.0

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Помогите настроить сеть между двумя офисами на Cisco 851" +/–

Сообщение от j_vw on 02-Сен-10, 20:53

Если использовать
tunnel protection ipsec profile....
то будет еще проще... ;)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Помогите настроить сеть между двумя офисами на Cisco 851" +/–

Сообщение от del23 (ok) on 03-Сен-10, 11:01

>
>Если использовать
> tunnel protection ipsec profile....
>то будет еще проще... ;)
Возможно, надо попробовать :) до сия момента обходился динамическими картами )

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Помогите настроить сеть между двумя офисами на Cisco 851" +/–

Сообщение от del23 (ok) on 03-Сен-10, 12:54

>
>Если использовать
> tunnel protection ipsec profile....
>то будет еще проще... ;)
только что реализовал по этой доке http://www.cisco.com/en/US/technologies/tk583/tk372/technolo...
всё хорошо, вот только данное решение предназначено для реализации динамической маршрутизации по средствам шифрованных туннелей. Пока не понял каким образом ограничивать трафик который необходимо заворачивать в туннель, а какой заворачивать скажем на NAT.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Помогите настроить сеть между двумя офисами на Cisco 851" +/–

Сообщение от kolyaniust (ok) on 03-Сен-10, 13:24

>
>Если использовать
> tunnel protection ipsec profile....
>то будет еще проще... ;)
А можно увидеть кусок конфига, может в жизни пригодиться :-)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Помогите настроить сеть между двумя офисами на Cisco 851" +/–

Сообщение от Iphirion (ok) on 03-Сен-10, 13:49

По сути вот мой пример. Это то что нужно? Это шифрованный канал получается?
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
в принципе здесь, все понятно.
У меня оба ip статика.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Помогите настроить сеть между двумя офисами на Cisco 851" +/–

Сообщение от del23 (ok) on 03-Сен-10, 14:08

>По сути вот мой пример. Это то что нужно? Это шифрованный канал
>получается?
>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
>
>в принципе здесь, все понятно.
>
>У меня оба ip статика.
Да, это твой случай.
вот конфиги обоих железок между которыми реализовал шифрованный канал:
схема следующая LAN1(172.16.0.0)---R1----R2---LAN2(172.16.1.0)
*************************************************
Router R1:
crypto isakmp policy 1
encr aes
authentication pre-share
group 2
crypto isakmp key test123 address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set MYSET esp-3des esp-md5-hmac
!
crypto ipsec profile VTI
set transform-set MYSET
!
!
policy-map TEST
class class-default
!
!
interface Tunnel1
ip address 192.168.0.1 255.255.255.0
tunnel source 10.0.0.1
tunnel destination 10.0.0.2
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI
service-policy output TEST
!
interface FastEthernet0/0
description WAN
ip address 10.0.0.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
description LAN
ip address 172.16.0.1 255.255.255.0
duplex auto
speed auto
!
router eigrp 1
network 172.16.0.0 0.0.0.255
network 192.168.0.1 0.0.0.0
network 192.168.0.0
no auto-summary
***************************************************************
Router R2:
!
crypto isakmp policy 1
encr aes
authentication pre-share
group 2
crypto isakmp key test123 address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set MYSET esp-3des esp-md5-hmac
!
crypto ipsec profile VTI
set transform-set MYSET
!
!
policy-map TEST
class class-default
!
!
interface Tunnel1
ip address 192.168.0.2 255.255.255.0
tunnel source 10.0.0.2
tunnel destination 10.0.0.1
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI
service-policy output TEST
!
interface FastEthernet0/0
description WAN
ip address 10.0.0.2 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
description LAN
ip address 172.16.1.1 255.255.255.0
duplex auto
speed auto
!
router eigrp 1
network 172.16.1.0 0.0.0.255
network 192.168.0.0
no auto-summary

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Помогите настроить сеть между двумя офисами на Cisco 851" +/–

Сообщение от Iphirion (ok) on 03-Сен-10, 15:44

Попробовал я сделать конфиг по образу той ссылки.
Вот что у меня получилось.
Итог.
Пинги идут на локальный ip роутера а через Cisco Configuration Professional не могу зайти на него. Только через консоль.
hostname C1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
clock timezone EST 0
ip subnet-zero
no ip domain lookup
!
!
crypto isakmp policy 10
authentication pre-share
!
crypto isakmp key ciscokey address 55.55.55.50
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map myvpn 10 ipsec-isakmp
set peer 55.55.55.50
set transform-set myset
network traffic
match address 101
!
!
interface Vlan1
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface FastEthernet4
ip address 55.55.55.51 255.255.255.0
ip nat outside
ip virtual-reassembly
crypto map myvpn
!
ip classless
ip route 0.0.0.0 0.0.0.0 55.55.55.254
!
ip http server
no ip http secure-server
!
ip nat inside source list 175 interface FastEthernet4 overload
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 175 deny   ip 10.10.10.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 175 permit ip 10.10.10.0 0.0.0.255 any
!
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
login
!
end

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Помогите настроить сеть между двумя офисами на Cisco 851" +/–

Сообщение от del23 (ok) on 03-Сен-10, 15:49

>[оверквотинг удален]
>control-plane
>!
>!
>line con 0
> exec-timeout 0 0
>line aux 0
>line vty 0 4
> login
>!
>end
попробуй telnet. GUI это хорошо, но командная строка более функциональна. советую через неё работать.
А так попробуй разрешить HTTPS
ip http secure-server
к стати не вижу настроек пользователя .
username <имя пользователя> privilege 15 password <пароль> .

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Помогите настроить сеть между двумя офисами на Cisco 851" +/–

Сообщение от Iphirion (ok) on 03-Сен-10, 15:55

>попробуй telnet. GUI это хорошо, но командная строка более функциональна. советую через
>неё работать.
>А так попробуй разрешить HTTPS
>
>ip http secure-server
>
Я работаю через SecureCRT на COM1 цепляюсь :-)
Сейчас попробую
>к стати не вижу настроек пользователя .
>
>username <имя пользователя> privilege 15 password <пароль> .
А я его настраивал при первом подключении к роутеру через Cisco Configuration Professional

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Помогите настроить сеть между двумя офисами на Cisco 851" +/–

Сообщение от del23 (ok) on 03-Сен-10, 15:59

>[оверквотинг удален]
>Я работаю через SecureCRT на COM1 цепляюсь :-)
>
>Сейчас попробую
>
>>к стати не вижу настроек пользователя .
>>
>>username <имя пользователя> privilege 15 password <пароль> .
>
>А я его настраивал при первом подключении к роутеру через Cisco Configuration
>Professional
тогда не забудь добавить
line vty 0 4
login local
privilege level 15
no password

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Помогите настроить сеть между двумя офисами на Cisco 851" +/–

Сообщение от Iphirion (ok) on 03-Сен-10, 16:14

>>к стати не вижу настроек пользователя .
>>
>>username <имя пользователя> privilege 15 password <пароль> .
Кстати. Сюда я привел код не show run
А просто кусок конфига, что вбивал сам руками.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "Помогите настроить сеть между двумя офисами на Cisco 851" +/–

Сообщение от Iphirion (ok) on 06-Сен-10, 10:11

Конфиг первого роутера

service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
clock timezone EST 0
ip subnet-zero
no ip domain lookup
!
!
crypto isakmp policy 10
authentication pre-share
!
crypto isakmp key ciscokey address 200.1.1.1
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map myvpn 10 ipsec-isakmp
set peer 200.1.1.1
set transform-set myset
!--- Include the private-network-to-private-network traffic
!--- in the encryption process:
match address 101
!
!
!
interface FastEthernet4
ip address 100.1.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Vlan1
ip address 172.16.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
crypto map myvpn
!
ip classless
ip route 0.0.0.0 0.0.0.0 100.1.1.254
!
ip http server
no ip http secure-server
!
!--- Except the private network from the NAT process:
ip nat inside source list 175 interface FastEthernet4 overload
!
!--- Include the private-network-to-private-network traffic
!--- in the encryption process:
access-list 101 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
!--- Except the private network from the NAT process:
access-list 175 deny   ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 175 permit ip 172.16.1.0 0.0.0.255 any
!
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
login
!
end
Конфиг второго роутера

service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R3
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
clock timezone EST 0
ip subnet-zero
no ip domain lookup
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key ciscokey address 100.1.1.1
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map myvpn 10 ipsec-isakmp
set peer 100.1.1.1
set transform-set myset
!--- Include the private-network-to-private-network traffic
!--- in the encryption process:
match address 101
!
!
!
interface FastEthernet4
ip address 200.1.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Vlan1
ip address 10.1.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
crypto map myvpn
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 200.1.1.254
!
no ip http server
no ip http secure-server
!
!--- Except the private network from the NAT process:
ip nat inside source list 122 interface FastEthernet4 overload
!--- Except the static-NAT traffic from the NAT process if destined
!--- over the encrypted tunnel:
ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat
!
access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
!--- Except the private network from the NAT process:
access-list 122 deny   ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 122 permit ip 10.1.1.0 0.0.0.255 any
!--- Except the static-NAT traffic from the NAT process if destined
!--- over the encrypted tunnel:
access-list 150 deny   ip host 10.1.1.3 172.16.1.0 0.0.0.255
access-list 150 permit ip host 10.1.1.3 any
!
route-map nonat permit 10
match ip address 150
!
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
login
!
end
На первой машине указываю ip 172.16.1.30 шлюз 172.16.1.1
НА второй машине указываю ip 10.10.1.30 шлюз 10.10.1.1
Wan горит. Но не пингов, ни связи нет. Хотя делаю вроде по шаблону cisco

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Помогите настроить сеть между двумя офисами на Cisco 851" +/–

Сообщение от del23 (ok) on 06-Сен-10, 11:23

А ты ключ сгенерировал ?
crypto key gener rsa  и поставь длину ключа 1024.
Так же предлагаю тебе добавить следующее
crypto isakmp policy 10
encr 3des
hash md5
и покажи вывод команд
show cry isa sa
sho cry ipsec sa

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "Помогите настроить сеть между двумя офисами на Cisco 851" +/–

Сообщение от Iphirion (ok) on 06-Сен-10, 12:54

>[оверквотинг удален]
>crypto key gener rsa  и поставь длину ключа 1024.
>Так же предлагаю тебе добавить следующее
>
>crypto isakmp policy 10
> encr 3des
> hash md5
>
>и покажи вывод команд
>show cry isa sa
>sho cry ipsec sa
Ничего не генерировал. Я делал в точности как по ссылке дана статья.
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
Я думал тут полный-рабочий пример.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "Помогите настроить сеть между двумя офисами на Cisco 851" +/–

Сообщение от del23 (ok) on 07-Сен-10, 23:03

это вполне рабочий пример )
попробуй сгенерировать ключ и посмотри что будет!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Помогите настроить сеть между двумя офисами на Cisco 851"	+/–
Сообщение от Николай (??) on 31-Авг-10, 18:49
>[оверквотинг удален] >2 Cisco 851; >2 статичных IP на одном провайдере. > >Нужно сделать между ними шифрованный канал. >Короче говоря нужна локальная сеть между двумя офисами, которая будет защищенной. > >В силу отсутствия опыта, практики, знаний. Прошу помощи. > >Нашел вот этот пример. Но не знаю подойдет ли мне. >http://www.opennet.me/openforum/vsluhforumID6/19829.html попробуй так только без ацл для начала http://www.tek-tips.com/viewthread.cfm?qid=1122222&page=1
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору

2. "Помогите настроить сеть между двумя офисами на Cisco 851"	+/–
Сообщение от kolyaniust (ok) on 31-Авг-10, 18:52
У меня построены туннели на IPSec и GRE. Не плохая статья вот тут http://faq-cisco.ru/statji/bezopasnostj/nastraivaem-ipsec-tu...
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "Помогите настроить сеть между двумя офисами на Cisco 851"	+/–
	Сообщение от Iphirion (ok) on 01-Сен-10, 13:28
	тут что-то надо будет менять кроме моих внешних и внутренних IP, или можно тупо копировать конфигурацию?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "Помогите настроить сеть между двумя офисами на Cisco 851"	+/–
	Сообщение от del23 (ok) on 02-Сен-10, 17:48
	>тут что-то надо будет менять кроме моих внешних и внутренних IP, или >можно тупо копировать конфигурацию? Не совсем. На сколько я понял у тебя с на одной железке статический IP а на другой ты получаешь динамически от провайдера?! Если так то тебе необходимо на роутере где статический IP настраивать динамическую Crypto Map и ставить "crypto isakmp key" след образом crypto isakmp key cisco123 address 0.0.0.0
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	5. "Помогите настроить сеть между двумя офисами на Cisco 851"	+/–
	Сообщение от j_vw on 02-Сен-10, 20:53
	Если использовать tunnel protection ipsec profile.... то будет еще проще... ;)
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	6. "Помогите настроить сеть между двумя офисами на Cisco 851"	+/–
	Сообщение от del23 (ok) on 03-Сен-10, 11:01
	> >Если использовать > tunnel protection ipsec profile.... >то будет еще проще... ;) Возможно, надо попробовать :) до сия момента обходился динамическими картами )
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	7. "Помогите настроить сеть между двумя офисами на Cisco 851"	+/–
	Сообщение от del23 (ok) on 03-Сен-10, 12:54
	> >Если использовать > tunnel protection ipsec profile.... >то будет еще проще... ;) только что реализовал по этой доке http://www.cisco.com/en/US/technologies/tk583/tk372/technolo... всё хорошо, вот только данное решение предназначено для реализации динамической маршрутизации по средствам шифрованных туннелей. Пока не понял каким образом ограничивать трафик который необходимо заворачивать в туннель, а какой заворачивать скажем на NAT.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	8. "Помогите настроить сеть между двумя офисами на Cisco 851"	+/–
	Сообщение от kolyaniust (ok) on 03-Сен-10, 13:24
	> >Если использовать > tunnel protection ipsec profile.... >то будет еще проще... ;) А можно увидеть кусок конфига, может в жизни пригодиться :-)
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору

9. "Помогите настроить сеть между двумя офисами на Cisco 851"	+/–
Сообщение от Iphirion (ok) on 03-Сен-10, 13:49
По сути вот мой пример. Это то что нужно? Это шифрованный канал получается? http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con... в принципе здесь, все понятно. У меня оба ip статика.
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	10. "Помогите настроить сеть между двумя офисами на Cisco 851"	+/–
	Сообщение от del23 (ok) on 03-Сен-10, 14:08
	>По сути вот мой пример. Это то что нужно? Это шифрованный канал >получается? >http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con... > >в принципе здесь, все понятно. > >У меня оба ip статика. Да, это твой случай. вот конфиги обоих железок между которыми реализовал шифрованный канал: схема следующая LAN1(172.16.0.0)---R1----R2---LAN2(172.16.1.0) *********************************************** Router R1: crypto isakmp policy 1 encr aes authentication pre-share group 2 crypto isakmp key test123 address 0.0.0.0 0.0.0.0 crypto isakmp keepalive 10 ! ! crypto ipsec transform-set MYSET esp-3des esp-md5-hmac ! crypto ipsec profile VTI set transform-set MYSET ! ! policy-map TEST class class-default ! ! interface Tunnel1 ip address 192.168.0.1 255.255.255.0 tunnel source 10.0.0.1 tunnel destination 10.0.0.2 tunnel mode ipsec ipv4 tunnel protection ipsec profile VTI service-policy output TEST ! interface FastEthernet0/0 description WAN ip address 10.0.0.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 description LAN ip address 172.16.0.1 255.255.255.0 duplex auto speed auto ! router eigrp 1 network 172.16.0.0 0.0.0.255 network 192.168.0.1 0.0.0.0 network 192.168.0.0 no auto-summary ************************************************************* Router R2: ! crypto isakmp policy 1 encr aes authentication pre-share group 2 crypto isakmp key test123 address 0.0.0.0 0.0.0.0 crypto isakmp keepalive 10 ! ! crypto ipsec transform-set MYSET esp-3des esp-md5-hmac ! crypto ipsec profile VTI set transform-set MYSET ! ! policy-map TEST class class-default ! ! interface Tunnel1 ip address 192.168.0.2 255.255.255.0 tunnel source 10.0.0.2 tunnel destination 10.0.0.1 tunnel mode ipsec ipv4 tunnel protection ipsec profile VTI service-policy output TEST ! interface FastEthernet0/0 description WAN ip address 10.0.0.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 description LAN ip address 172.16.1.1 255.255.255.0 duplex auto speed auto ! router eigrp 1 network 172.16.1.0 0.0.0.255 network 192.168.0.0 no auto-summary
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору

11. "Помогите настроить сеть между двумя офисами на Cisco 851"	+/–
Сообщение от Iphirion (ok) on 03-Сен-10, 15:44
Попробовал я сделать конфиг по образу той ссылки. Вот что у меня получилось. Итог. Пинги идут на локальный ip роутера а через Cisco Configuration Professional не могу зайти на него. Только через консоль. hostname C1 ! boot-start-marker boot-end-marker ! ! no aaa new-model ! resource policy ! clock timezone EST 0 ip subnet-zero no ip domain lookup ! ! crypto isakmp policy 10 authentication pre-share ! crypto isakmp key ciscokey address 55.55.55.50 ! ! crypto ipsec transform-set myset esp-3des esp-md5-hmac ! crypto map myvpn 10 ipsec-isakmp set peer 55.55.55.50 set transform-set myset network traffic match address 101 ! ! interface Vlan1 ip address 10.10.10.1 255.255.255.0 ip nat inside ip virtual-reassembly ! interface FastEthernet4 ip address 55.55.55.51 255.255.255.0 ip nat outside ip virtual-reassembly crypto map myvpn ! ip classless ip route 0.0.0.0 0.0.0.0 55.55.55.254 ! ip http server no ip http secure-server ! ip nat inside source list 175 interface FastEthernet4 overload ! access-list 101 permit ip 10.10.10.0 0.0.0.255 10.1.1.0 0.0.0.255 access-list 175 deny ip 10.10.10.0 0.0.0.255 10.1.1.0 0.0.0.255 access-list 175 permit ip 10.10.10.0 0.0.0.255 any ! ! ! control-plane ! ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 login ! end
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	12. "Помогите настроить сеть между двумя офисами на Cisco 851"	+/–
	Сообщение от del23 (ok) on 03-Сен-10, 15:49
	>[оверквотинг удален] >control-plane >! >! >line con 0 > exec-timeout 0 0 >line aux 0 >line vty 0 4 > login >! >end попробуй telnet. GUI это хорошо, но командная строка более функциональна. советую через неё работать. А так попробуй разрешить HTTPS ip http secure-server к стати не вижу настроек пользователя . username <имя пользователя> privilege 15 password <пароль> .
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	13. "Помогите настроить сеть между двумя офисами на Cisco 851"	+/–
	Сообщение от Iphirion (ok) on 03-Сен-10, 15:55
	>попробуй telnet. GUI это хорошо, но командная строка более функциональна. советую через >неё работать. >А так попробуй разрешить HTTPS > >ip http secure-server > Я работаю через SecureCRT на COM1 цепляюсь :-) Сейчас попробую >к стати не вижу настроек пользователя . > >username <имя пользователя> privilege 15 password <пароль> . А я его настраивал при первом подключении к роутеру через Cisco Configuration Professional
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	14. "Помогите настроить сеть между двумя офисами на Cisco 851"	+/–
	Сообщение от del23 (ok) on 03-Сен-10, 15:59
	>[оверквотинг удален] >Я работаю через SecureCRT на COM1 цепляюсь :-) > >Сейчас попробую > >>к стати не вижу настроек пользователя . >> >>username <имя пользователя> privilege 15 password <пароль> . > >А я его настраивал при первом подключении к роутеру через Cisco Configuration >Professional тогда не забудь добавить line vty 0 4 login local privilege level 15 no password
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	15. "Помогите настроить сеть между двумя офисами на Cisco 851"	+/–
	Сообщение от Iphirion (ok) on 03-Сен-10, 16:14
	>>к стати не вижу настроек пользователя . >> >>username <имя пользователя> privilege 15 password <пароль> . Кстати. Сюда я привел код не show run А просто кусок конфига, что вбивал сам руками.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору

16. "Помогите настроить сеть между двумя офисами на Cisco 851"	+/–
Сообщение от Iphirion (ok) on 06-Сен-10, 10:11
Конфиг первого роутера service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R2 ! boot-start-marker boot-end-marker ! ! no aaa new-model ! resource policy ! clock timezone EST 0 ip subnet-zero no ip domain lookup ! ! crypto isakmp policy 10 authentication pre-share ! crypto isakmp key ciscokey address 200.1.1.1 ! ! crypto ipsec transform-set myset esp-3des esp-md5-hmac ! crypto map myvpn 10 ipsec-isakmp set peer 200.1.1.1 set transform-set myset !--- Include the private-network-to-private-network traffic !--- in the encryption process: match address 101 ! ! ! interface FastEthernet4 ip address 100.1.1.1 255.255.255.0 ip nat inside ip virtual-reassembly ! interface Vlan1 ip address 172.16.1.1 255.255.255.0 ip nat outside ip virtual-reassembly crypto map myvpn ! ip classless ip route 0.0.0.0 0.0.0.0 100.1.1.254 ! ip http server no ip http secure-server ! !--- Except the private network from the NAT process: ip nat inside source list 175 interface FastEthernet4 overload ! !--- Include the private-network-to-private-network traffic !--- in the encryption process: access-list 101 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255 !--- Except the private network from the NAT process: access-list 175 deny ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255 access-list 175 permit ip 172.16.1.0 0.0.0.255 any ! ! ! control-plane ! ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 login ! end Конфиг второго роутера service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R3 ! boot-start-marker boot-end-marker ! ! no aaa new-model ! resource policy ! clock timezone EST 0 ip subnet-zero no ip domain lookup ! crypto isakmp policy 10 authentication pre-share crypto isakmp key ciscokey address 100.1.1.1 ! ! crypto ipsec transform-set myset esp-3des esp-md5-hmac ! crypto map myvpn 10 ipsec-isakmp set peer 100.1.1.1 set transform-set myset !--- Include the private-network-to-private-network traffic !--- in the encryption process: match address 101 ! ! ! interface FastEthernet4 ip address 200.1.1.1 255.255.255.0 ip nat inside ip virtual-reassembly ! interface Vlan1 ip address 10.1.1.1 255.255.255.0 ip nat outside ip virtual-reassembly crypto map myvpn ! ! ip classless ip route 0.0.0.0 0.0.0.0 200.1.1.254 ! no ip http server no ip http secure-server ! !--- Except the private network from the NAT process: ip nat inside source list 122 interface FastEthernet4 overload !--- Except the static-NAT traffic from the NAT process if destined !--- over the encrypted tunnel: ip nat inside source static 10.1.1.3 200.1.1.25 route-map nonat ! access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 !--- Except the private network from the NAT process: access-list 122 deny ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 access-list 122 permit ip 10.1.1.0 0.0.0.255 any !--- Except the static-NAT traffic from the NAT process if destined !--- over the encrypted tunnel: access-list 150 deny ip host 10.1.1.3 172.16.1.0 0.0.0.255 access-list 150 permit ip host 10.1.1.3 any ! route-map nonat permit 10 match ip address 150 ! ! ! control-plane ! ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 login ! end На первой машине указываю ip 172.16.1.30 шлюз 172.16.1.1 НА второй машине указываю ip 10.10.1.30 шлюз 10.10.1.1 Wan горит. Но не пингов, ни связи нет. Хотя делаю вроде по шаблону cisco
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	17. "Помогите настроить сеть между двумя офисами на Cisco 851"	+/–
	Сообщение от del23 (ok) on 06-Сен-10, 11:23
	А ты ключ сгенерировал ? crypto key gener rsa и поставь длину ключа 1024. Так же предлагаю тебе добавить следующее crypto isakmp policy 10 encr 3des hash md5 и покажи вывод команд show cry isa sa sho cry ipsec sa
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	18. "Помогите настроить сеть между двумя офисами на Cisco 851"	+/–
	Сообщение от Iphirion (ok) on 06-Сен-10, 12:54
	>[оверквотинг удален] >crypto key gener rsa и поставь длину ключа 1024. >Так же предлагаю тебе добавить следующее > >crypto isakmp policy 10 > encr 3des > hash md5 > >и покажи вывод команд >show cry isa sa >sho cry ipsec sa Ничего не генерировал. Я делал в точности как по ссылке дана статья. http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con... Я думал тут полный-рабочий пример.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	19. "Помогите настроить сеть между двумя офисами на Cisco 851"	+/–
	Сообщение от del23 (ok) on 07-Сен-10, 23:03
	это вполне рабочий пример ) попробуй сгенерировать ключ и посмотри что будет!
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору