forum.opennet.ru - "Люди поделитесь опытом! VPN на GRE Linux=Cisco" (3)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Люди поделитесь опытом! VPN на GRE Linux=Cisco"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Люди поделитесь опытом! VPN на GRE Linux=Cisco"
Сообщение от NoName on 14-Мрт-05, 13:01 (MSK)
Люди поделитесь опытом! Вопрос в следующем надо объеденить несколько локалов по технологии MPLS с шифрованием с использованием IPSeC. На одной стороне Cisco (проблем нет) - на другой стороне маршрутизатор под Linux c поднятием тунеля (проблем нет), а вот c IPSeC головная боль Cisco клиент под IPSeC for Linux не приемлем по причине что положу на неопределённое время другие локалы с большой долей вероятности. Что посоветуете?
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Люди поделитесь опытом! VPN на GRE Linux=Cisco, toor99, 13:33 , 14-Мрт-05, (1)
- Люди поделитесь опытом! VPN на GRE Linux=Cisco, NoName, 14:13 , 14-Мрт-05, (2)
  - Люди поделитесь опытом! VPN на GRE Linux=Cisco, toor99, 14:30 , 14-Мрт-05, (3)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Люди поделитесь опытом! VPN на GRE Linux=Cisco"

Сообщение от toor99 (ok) on 14-Мрт-05, 13:33  (MSK)

>Люди поделитесь опытом! Вопрос в следующем надо объеденить несколько локалов по технологии
>MPLS с шифрованием с использованием IPSeC. На одной стороне Cisco (проблем
>нет) - на другой стороне маршрутизатор под Linux c поднятием тунеля
>(проблем нет), а вот c IPSeC головная боль Cisco клиент под
>IPSeC for Linux не приемлем по причине что положу на неопределённое
>время другие локалы с большой долей вероятности. Что посоветуете?
MPLS тут не при чем, это L2, а вы собираетесь шифровать на L3. GRE туннель устанавливается нормально? Если да, то на Cisco настройте криптомап, а не линуксе поднимите FreeS/WAN, не вижу здесь ничего сложного.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Люди поделитесь опытом! VPN на GRE Linux=Cisco"

Сообщение от NoName on 14-Мрт-05, 14:13  (MSK)

>>Люди поделитесь опытом! Вопрос в следующем надо объеденить несколько локалов по технологии
>>MPLS с шифрованием с использованием IPSeC. На одной стороне Cisco (проблем
>>нет) - на другой стороне маршрутизатор под Linux c поднятием тунеля
>>(проблем нет), а вот c IPSeC головная боль Cisco клиент под
>>IPSeC for Linux не приемлем по причине что положу на неопределённое
>>время другие локалы с большой долей вероятности. Что посоветуете?
>
>MPLS тут не при чем, это L2, а вы собираетесь шифровать на
>L3. GRE туннель устанавливается нормально? Если да, то на Cisco настройте
>криптомап, а не линуксе поднимите FreeS/WAN, не вижу здесь ничего сложного.
MPLS -постановка задачи и обоснование тунеля. С тунелем нет проблем,но хотелось бы задействовать IKE если это возможно?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Люди поделитесь опытом! VPN на GRE Linux=Cisco"

Сообщение от toor99 (ok) on 14-Мрт-05, 14:30  (MSK)

>>>Люди поделитесь опытом! Вопрос в следующем надо объеденить несколько локалов по технологии
>>>MPLS с шифрованием с использованием IPSeC. На одной стороне Cisco (проблем
>>>нет) - на другой стороне маршрутизатор под Linux c поднятием тунеля
>>>(проблем нет), а вот c IPSeC головная боль Cisco клиент под
>>>IPSeC for Linux не приемлем по причине что положу на неопределённое
>>>время другие локалы с большой долей вероятности. Что посоветуете?
>>
>>MPLS тут не при чем, это L2, а вы собираетесь шифровать на
>>L3. GRE туннель устанавливается нормально? Если да, то на Cisco настройте
>>криптомап, а не линуксе поднимите FreeS/WAN, не вижу здесь ничего сложного.
>
>MPLS -постановка задачи и обоснование тунеля. С тунелем нет проблем,но хотелось бы
>задействовать IKE если это возможно?
Да, возможно. Я же сказал - FreeS/WAN.
1) Вы поднимаете туннель. Какой угодно. Выбрали GRE - очень хорошо, пусть будет GRE. Когда вы передаете данные по любому IP-туннелю, вы инкапсулируете ваши пакеты (или фреймы, если это L2TP) в IP-пакеты. В вашем случае они инкапсулируются в IP GRE.
2) Этот туннель пока еще не зашифрован. Для шифрования можно использовать, например, IPSec. При этом, в зависимости от режима работы IPSec, пакеты либо еще раз инкапсулируются в IPSec (tunnel mode), либо оригинальный IP-заголовок сохраняется, а тело пакета шифруется (transport mode). FreeS/WAN, насколько я помню, поддерживает только tunnel mode.
Еще раз. IPSec абсолютно все равно, что шифровать. Ему нет дела до того, туннель у вас или нет, он видит только IP-пакеты. Если эти пакеты подпадают под действие политики, он их шифрует, если нет, то нет.
3) Установка IPSec сессии состоит из одного или из двух этапов. Если вы хотите использовать IKE, этапов будет два. Сначала оба участника устанавливают соединение по протоколу ISAKMP и согласовывают сессионные ключи (фаза I). После согласования, соединение переходит в фазу II, где создаются SA, security associations. С этого момента туннель становится работоспособным.
То-есть вам нужно сначала поднять туннель и проверить connectivity. Если пакеты действительно ходят через туннель, и все хорошо, начинайте настраивать шифрование. На сайтах FreeS/WAN есть примеры.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Люди поделитесь опытом! VPN на GRE Linux=Cisco"
Сообщение от toor99 (ok) on 14-Мрт-05, 13:33 (MSK)
>Люди поделитесь опытом! Вопрос в следующем надо объеденить несколько локалов по технологии >MPLS с шифрованием с использованием IPSeC. На одной стороне Cisco (проблем >нет) - на другой стороне маршрутизатор под Linux c поднятием тунеля >(проблем нет), а вот c IPSeC головная боль Cisco клиент под >IPSeC for Linux не приемлем по причине что положу на неопределённое >время другие локалы с большой долей вероятности. Что посоветуете? MPLS тут не при чем, это L2, а вы собираетесь шифровать на L3. GRE туннель устанавливается нормально? Если да, то на Cisco настройте криптомап, а не линуксе поднимите FreeS/WAN, не вижу здесь ничего сложного.
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Люди поделитесь опытом! VPN на GRE Linux=Cisco"
	Сообщение от NoName on 14-Мрт-05, 14:13 (MSK)
	>>Люди поделитесь опытом! Вопрос в следующем надо объеденить несколько локалов по технологии >>MPLS с шифрованием с использованием IPSeC. На одной стороне Cisco (проблем >>нет) - на другой стороне маршрутизатор под Linux c поднятием тунеля >>(проблем нет), а вот c IPSeC головная боль Cisco клиент под >>IPSeC for Linux не приемлем по причине что положу на неопределённое >>время другие локалы с большой долей вероятности. Что посоветуете? > >MPLS тут не при чем, это L2, а вы собираетесь шифровать на >L3. GRE туннель устанавливается нормально? Если да, то на Cisco настройте >криптомап, а не линуксе поднимите FreeS/WAN, не вижу здесь ничего сложного. MPLS -постановка задачи и обоснование тунеля. С тунелем нет проблем,но хотелось бы задействовать IKE если это возможно?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Люди поделитесь опытом! VPN на GRE Linux=Cisco"
	Сообщение от toor99 (ok) on 14-Мрт-05, 14:30 (MSK)
	>>>Люди поделитесь опытом! Вопрос в следующем надо объеденить несколько локалов по технологии >>>MPLS с шифрованием с использованием IPSeC. На одной стороне Cisco (проблем >>>нет) - на другой стороне маршрутизатор под Linux c поднятием тунеля >>>(проблем нет), а вот c IPSeC головная боль Cisco клиент под >>>IPSeC for Linux не приемлем по причине что положу на неопределённое >>>время другие локалы с большой долей вероятности. Что посоветуете? >> >>MPLS тут не при чем, это L2, а вы собираетесь шифровать на >>L3. GRE туннель устанавливается нормально? Если да, то на Cisco настройте >>криптомап, а не линуксе поднимите FreeS/WAN, не вижу здесь ничего сложного. > >MPLS -постановка задачи и обоснование тунеля. С тунелем нет проблем,но хотелось бы >задействовать IKE если это возможно? Да, возможно. Я же сказал - FreeS/WAN. 1) Вы поднимаете туннель. Какой угодно. Выбрали GRE - очень хорошо, пусть будет GRE. Когда вы передаете данные по любому IP-туннелю, вы инкапсулируете ваши пакеты (или фреймы, если это L2TP) в IP-пакеты. В вашем случае они инкапсулируются в IP GRE. 2) Этот туннель пока еще не зашифрован. Для шифрования можно использовать, например, IPSec. При этом, в зависимости от режима работы IPSec, пакеты либо еще раз инкапсулируются в IPSec (tunnel mode), либо оригинальный IP-заголовок сохраняется, а тело пакета шифруется (transport mode). FreeS/WAN, насколько я помню, поддерживает только tunnel mode. Еще раз. IPSec абсолютно все равно, что шифровать. Ему нет дела до того, туннель у вас или нет, он видит только IP-пакеты. Если эти пакеты подпадают под действие политики, он их шифрует, если нет, то нет. 3) Установка IPSec сессии состоит из одного или из двух этапов. Если вы хотите использовать IKE, этапов будет два. Сначала оба участника устанавливают соединение по протоколу ISAKMP и согласовывают сессионные ключи (фаза I). После согласования, соединение переходит в фазу II, где создаются SA, security associations. С этого момента туннель становится работоспособным. То-есть вам нужно сначала поднять туннель и проверить connectivity. Если пакеты действительно ходят через туннель, и все хорошо, начинайте настраивать шифрование. На сайтах FreeS/WAN есть примеры.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх