The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"помогите"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"помогите"  
Сообщение от марлис email on 07-Авг-06, 09:53 
надо настроить VPN между кисками!
дайте пожалуйста ссылки на доки или реальный конфиг
у меня cisco 1760 на обеих концах, PPPoE соединяет их
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

  • помогите, ilya, 10:06 , 07-Авг-06, (1)  
  • помогите, angelweb, 10:36 , 07-Авг-06, (2)  
    • помогите, марлис, 13:38 , 08-Авг-06, (3)  
      • помогите, angelweb, 14:02 , 08-Авг-06, (4)  
        • помогите, марлис, 14:15 , 08-Авг-06, (5)  
          • помогите, angelweb, 14:25 , 08-Авг-06, (6)  
            • помогите, марлис, 15:02 , 08-Авг-06, (7)  
            • помогите, марлис, 15:19 , 08-Авг-06, (8)  
            • помогите, марлис, 15:25 , 08-Авг-06, (9)  
              • помогите, sas, 09:38 , 09-Авг-06, (10)  
                • помогите, марлис, 09:49 , 09-Авг-06, (11)  

Сообщения по теме [Сортировка по времени, UBB]


1. "помогите"  
Сообщение от ilya email(??) on 07-Авг-06, 10:06 
>надо настроить VPN между кисками!
>дайте пожалуйста ссылки на доки или реальный конфиг
>у меня cisco 1760 на обеих концах, PPPoE соединяет их


в поиск по архиву конфы
ссылок и конфигов тьма-тьмущая

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "помогите"  
Сообщение от angelweb email(??) on 07-Авг-06, 10:36 
>надо настроить VPN между кисками!
>дайте пожалуйста ссылки на доки или реальный конфиг
>у меня cisco 1760 на обеих концах, PPPoE соединяет их


Тут почитай http://faq-cisco.ru/page.php?id=3

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "помогите"  
Сообщение от марлис email on 08-Авг-06, 13:38 
>>надо настроить VPN между кисками!
>>дайте пожалуйста ссылки на доки или реальный конфиг
>>у меня cisco 1760 на обеих концах, PPPoE соединяет их
>
>
>Тут почитай http://faq-cisco.ru/page.php?id=3


конфиг сделал таким же как и там описано. пинги идут
но есть одно но, когда я отключаю crypto map на интрефейсах то пинги все равно идут, т.е. cryptomap-ы не идут!
в чем трабла?

1 маршрутизатор 192.168.100.1 (внешний ip), 10.10.10.10 (тунельный), 192.168.111.1(интерфейс внутр сети)

2 маршрутизатор 192.168.100.2 (внешний ip), 10.10.10.20 (тунельный), 192.168.222.1(интерфейс внутр сети)

так вот пинги от 192.168.111.2 (машина с 1-ой лок сети) идут на 192.168.222.2(машина с 1-ой лок сети) даже когда я убираю crypto map с интерфейсов!

вот конфиги (на другом конце аналогично, кроме ip ):

!
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname vpn_client
!
enable secret 5 $1$V002$ob3Gy2dbs.ykvXyn4VAKg0
!
username vty password 0 vty
ip subnet-zero
!
no ip domain lookup
!
!
voice call carrier capacity active
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key tunnel_kafc address 192.168.10.1
!
!
crypto ipsec transform-set VPN esp-des esp-md5-hmac
mode transport
!
crypto map kafc_vpn 10 ipsec-isakmp
set peer 192.168.10.1
set transform-set VPN
match address 102
!
!
interface Tunnel0
ip address 10.10.10.20 255.255.255.0
tunnel source FastEthernet0/0
tunnel destination 192.168.100.1
crypto map kafc_vpn
!
interface FastEthernet0/0
ip address 192.168.222.1 255.255.255.0 secondary
ip address 192.168.100.2 255.255.255.0
speed auto
crypto map kafc_vpn
!
ip classless
ip route 192.168.111.0 255.255.255.0 10.10.10.10
no ip http server
!
access-list 102 permit gre 192.168.222.0 0.0.0.255 192.168.111.0 0.0.0.255
!
call rsvp-sync
!
dial-peer cor custom
!
end

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "помогите"  
Сообщение от angelweb email(ok) on 08-Авг-06, 14:02 
>>>надо настроить VPN между кисками!
>>>дайте пожалуйста ссылки на доки или реальный конфиг
>>>у меня cisco 1760 на обеих концах, PPPoE соединяет их
>>
>>
>>Тут почитай http://faq-cisco.ru/page.php?id=3
>
>
>конфиг сделал таким же как и там описано. пинги идут
>но есть одно но, когда я отключаю crypto map на интрефейсах то
>пинги все равно идут, т.е. cryptomap-ы не идут!
>в чем трабла?

Почитай комментарии к статье http://faq-cisco.ru/comments.php?id=p3

И ещё ip route 192.168.111.0 255.255.255.0 10.10.10.10 - ping будет

Глянь sh crypto isakmp sa

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "помогите"  
Сообщение от марлис email on 08-Авг-06, 14:15 
>Почитай комментарии к статье http://faq-cisco.ru/comments.php?id=p3

я их читал и так и сделал

>И ещё ip route 192.168.111.0 255.255.255.0 10.10.10.10 - ping будет
да понял все правильно :)

>Глянь sh crypto isakmp sa

vpn_client#sh crypto isakmp sa
dst             src             state           conn-id    slot
192.168.100.2   192.168.100.1   QM_IDLE               4       0


а как теперь проверить шифруются ли пакеты?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "помогите"  
Сообщение от angelweb email(ok) on 08-Авг-06, 14:25 
>>Почитай комментарии к статье http://faq-cisco.ru/comments.php?id=p3
>
>я их читал и так и сделал
>
>>И ещё ip route 192.168.111.0 255.255.255.0 10.10.10.10 - ping будет
>да понял все правильно :)
>
>>Глянь sh crypto isakmp sa
>
>vpn_client#sh crypto isakmp sa
>dst            
> src          
>   state        
>   conn-id    slot
>192.168.100.2   192.168.100.1   QM_IDLE      
>         4  
>     0
>
>
>а как теперь проверить шифруются ли пакеты?


sh crypto session detail

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "помогите"  
Сообщение от марлис email on 08-Авг-06, 15:02 
>>>Почитай комментарии к статье http://faq-cisco.ru/comments.php?id=p3
>>
>>я их читал и так и сделал
>>
>>>И ещё ip route 192.168.111.0 255.255.255.0 10.10.10.10 - ping будет
>>да понял все правильно :)
>>
>>>Глянь sh crypto isakmp sa
>>
>>vpn_client#sh crypto isakmp sa
>>dst            
>> src          
>>   state        
>>   conn-id    slot
>>192.168.100.2   192.168.100.1   QM_IDLE      
>>         4  
>>     0
>>
>>
>>а как теперь проверить шифруются ли пакеты?
>
>
>sh crypto session detail

нету sessiona у меня :(((

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "помогите"  
Сообщение от марлис email on 08-Авг-06, 15:19 
sh crypto ipsec sa


interface: Tunnel0
    Crypto map tag: kafc_vpn, local addr. 192.168.100.1

   local  ident (addr/mask/prot/port): (192.168.111.0/255.255.255.0/47/0)
   remote ident (addr/mask/prot/port): (192.168.222.0/255.255.255.0/47/0)
   current_peer: 192.168.100.2
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 192.168.100.1, remote crypto endpt.: 192.168.100.2
     path mtu 1500, media mtu 1500
     current outbound spi: 0

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "помогите"  
Сообщение от марлис email on 08-Авг-06, 15:25 
насколько я понимаю пакеты шифруются только те, которые попадают под правило в access-list !
видимо я немного не так раписал его?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

10. "помогите"  
Сообщение от sas (??) on 09-Авг-06, 09:38 
>насколько я понимаю пакеты шифруются только те, которые попадают под правило в
>access-list !
>видимо я немного не так раписал его?

Видимо.
access-list 102 permit gre host 192.168.100.2 host 192.168.100.1

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

11. "помогите"  
Сообщение от марлис email on 09-Авг-06, 09:49 
>>насколько я понимаю пакеты шифруются только те, которые попадают под правило в
>>access-list !
>>видимо я немного не так раписал его?
>
>Видимо.
>access-list 102 permit gre host 192.168.100.2 host 192.168.100.1


да да я это уже сделал все хорошо работает, спасибо :)

еще у меня вопрос - если на на другом конце я буду использовать BSD я могу обойтись виртуальным туннельным интерфейсом или надо использовать обязательно физический?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру