forum.opennet.ru - "ipsec troubleshooting" (2)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"ipsec troubleshooting"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ipsec troubleshooting"	+/–
Сообщение от bekzod on 10-Авг-12, 02:15
привет знатокам , помогите советом люди добрые ;)- сделал тестовый стенд с ipsec vpn который потом надо переместить реальному клиенту: voice vlan <-> router cisco 881< - >router cisco 881<->vocie vlan . оба voice vlana из разных сеток соответственно, wan интерфейсы "как бы подключены через интернет" на самом деле просто соединены др с др . . поставил 2 компа в эти voice vlana друг друга пингуют, но команды show crypto isakmp sa show crypto ipsec sa show crypto engine connection active debug crypto isakmp debug crypto ipsec ничего не показывают :( .. это значит vpn не поднят ? чtо интересно с рутера делаю пинг на удаленный комп пинг не проходит даже при указаны source vlan 20 (voice ) а компы друг друга видят ...
Ответить \| Правка \| Cообщить модератору

Оглавление

ipsec troubleshooting, eek, 07:50 , 10-Авг-12, (1)

ipsec troubleshooting, bekzod, 16:33 , 10-Авг-12, (2)

Сообщения по теме [Сортировка по времени | RSS]

1. "ipsec troubleshooting" +/–

Сообщение от eek on 10-Авг-12, 07:50

Схема такая.
1) Ставите две железки и два компа за ними, и добиваетесь чтобы просто ходил трафик (количество железок в цепочки значения не имеет, но для лучшего понимания механизмов работы лучше чтобы железок было 3).Как заставите траффик ходить между компьютерами (через вашу "сеть"). Начинайте заморачиваться с поднятием тунеля.
2) Проще всего для понимания делать gre over ipsec. Т.е. сначала поднимаете гре тунель и добиваетесь чтобы трафик ходил через него. Как заработает тунель можно его прикрыть ipsec'ом.
3) Поднимаете криптомапы и добиваетесь чтобы заработал ipsec. Проверка очень простая заворачиваете трафик на wireshark и смотрите какие идут пакеты. (должны идти не gre, а esp пакеты). На это все.
О том какие команды и куда вводить читайте в конфиг гайде на вашу железку. Если только начали заниматься, то рекомендую начать с ICND 1&2 ну и далее по списку, в вашем случае CCNA Security еще нужно посмотреть.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ipsec troubleshooting" +/–

Сообщение от bekzod on 10-Авг-12, 16:33

>[оверквотинг удален]
> 2) Проще всего для понимания делать gre over ipsec. Т.е. сначала
> поднимаете гре тунель и добиваетесь чтобы трафик ходил через него. Как
> заработает тунель можно его прикрыть ipsec'ом.
> 3) Поднимаете криптомапы и добиваетесь чтобы заработал ipsec. Проверка очень простая заворачиваете
> трафик на wireshark и смотрите какие идут пакеты. (должны идти не
> gre, а esp пакеты). На это все.
> О том какие команды и куда вводить читайте в конфиг гайде на
> вашу железку. Если только начали заниматься, то рекомендую начать с ICND
> 1&2 ну и далее по списку, в вашем случае CCNA Security
> еще нужно посмотреть.
Spasibo za otvet, no mne kajetsa vi ne prochitali vnimatelno. Traffic uje hodit. Prosto ne uveren cto chefez ipsec idet ved ruteri pramo connected.
A

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipsec troubleshooting"	+/–
Сообщение от eek on 10-Авг-12, 07:50
Схема такая. 1) Ставите две железки и два компа за ними, и добиваетесь чтобы просто ходил трафик (количество железок в цепочки значения не имеет, но для лучшего понимания механизмов работы лучше чтобы железок было 3).Как заставите траффик ходить между компьютерами (через вашу "сеть"). Начинайте заморачиваться с поднятием тунеля. 2) Проще всего для понимания делать gre over ipsec. Т.е. сначала поднимаете гре тунель и добиваетесь чтобы трафик ходил через него. Как заработает тунель можно его прикрыть ipsec'ом. 3) Поднимаете криптомапы и добиваетесь чтобы заработал ipsec. Проверка очень простая заворачиваете трафик на wireshark и смотрите какие идут пакеты. (должны идти не gre, а esp пакеты). На это все. О том какие команды и куда вводить читайте в конфиг гайде на вашу железку. Если только начали заниматься, то рекомендую начать с ICND 1&2 ну и далее по списку, в вашем случае CCNA Security еще нужно посмотреть.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "ipsec troubleshooting"	+/–
	Сообщение от bekzod on 10-Авг-12, 16:33
	>[оверквотинг удален] > 2) Проще всего для понимания делать gre over ipsec. Т.е. сначала > поднимаете гре тунель и добиваетесь чтобы трафик ходил через него. Как > заработает тунель можно его прикрыть ipsec'ом. > 3) Поднимаете криптомапы и добиваетесь чтобы заработал ipsec. Проверка очень простая заворачиваете > трафик на wireshark и смотрите какие идут пакеты. (должны идти не > gre, а esp пакеты). На это все. > О том какие команды и куда вводить читайте в конфиг гайде на > вашу железку. Если только начали заниматься, то рекомендую начать с ICND > 1&2 ну и далее по списку, в вашем случае CCNA Security > еще нужно посмотреть. Spasibo za otvet, no mne kajetsa vi ne prochitali vnimatelno. Traffic uje hodit. Prosto ne uveren cto chefez ipsec idet ved ruteri pramo connected. A
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору