forum.opennet.ru

Составление сообщения

Исходное сообщение

"VPN cisco 871 <> telesys 750 решение"
Отправлено bigdragon, 21-Окт-10 22:24

собственно впн получилось поднять но не стабильно (конфиг на циске)
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key bla-bla-key address 222.222.222.222
!
crypto ipsec transform-set VPN-office8 esp-3des esp-md5-hmac
mode transport
!
crypto map TUNNEL0 1 ipsec-isakmp
set peer 222.222.222.222
set transform-set VPN-office8
match address IPSEC-TUN0
qos pre-classify
!
interface Tunnel0
bandwidth 10000
ip address 192.168.8.140 255.255.255.0
ip tcp adjust-mss 1360
tunnel source FastEthernet4
tunnel destination 222.222.222.222
crypto map TUNNEL0
ip access-list extended IPSEC-TUN0
permit ip any any
permit ip 192.168.10.0 0.0.0.255 any
permit ip 192.168.8.0 0.0.0.255 any
ip access-list extended inside
!
access-list 1 permit 192.168.10.0 0.0.0.255
acl 1 - это чтоб инет в подсеть циски пускать
проблема - со стороны 192.168.8.0 подсети подсеть циски (192.168.8.0) можно пинговать а наоборот нет
при этом канал устанолен
VPN-office10#sh crypto map
Crypto Map "TUNNEL0" 1 ipsec-isakmp
        Peer = 222.222.222.222
        Extended IP access list IPSEC-TUN0
            access-list IPSEC-TUN0 permit ip any any
            access-list IPSEC-TUN0 permit ip 192.168.10.0 0.0.0.255 any
            access-list IPSEC-TUN0 permit ip 192.168.8.0 0.0.0.255 any
        Current peer: 222.222.222.222
        Security association lifetime: 4608000 kilobytes/3600 seconds
        PFS (Y/N): N
        Transform sets={
                VPN-office10,
        }
        QOS pre-classification
        Interfaces using crypto map TUNNEL0:
                Tunnel0
VPN-office10#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst                  src             state    conn-id   slot   status
222.222.222.222  111.111.111.111    QM_IDLE     2007    0      ACTIVE
IPv6 Crypto ISAKMP SA
при этом туннель вроде как поднимается и тут-же падает
какой лучше указывать для ipsec вариант туннельный или транспортный?
как сделать ACL чтоб подсетки 192.168.8.0 и 192.168.10.0 видели друг друга??

Исходное сообщение
"VPN cisco 871 <> telesys 750 решение" Отправлено bigdragon, 21-Окт-10 22:24
собственно впн получилось поднять но не стабильно (конфиг на циске) crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key bla-bla-key address 222.222.222.222 ! crypto ipsec transform-set VPN-office8 esp-3des esp-md5-hmac mode transport ! crypto map TUNNEL0 1 ipsec-isakmp set peer 222.222.222.222 set transform-set VPN-office8 match address IPSEC-TUN0 qos pre-classify ! interface Tunnel0 bandwidth 10000 ip address 192.168.8.140 255.255.255.0 ip tcp adjust-mss 1360 tunnel source FastEthernet4 tunnel destination 222.222.222.222 crypto map TUNNEL0 ip access-list extended IPSEC-TUN0 permit ip any any permit ip 192.168.10.0 0.0.0.255 any permit ip 192.168.8.0 0.0.0.255 any ip access-list extended inside ! access-list 1 permit 192.168.10.0 0.0.0.255 acl 1 - это чтоб инет в подсеть циски пускать проблема - со стороны 192.168.8.0 подсети подсеть циски (192.168.8.0) можно пинговать а наоборот нет при этом канал устанолен VPN-office10#sh crypto map Crypto Map "TUNNEL0" 1 ipsec-isakmp Peer = 222.222.222.222 Extended IP access list IPSEC-TUN0 access-list IPSEC-TUN0 permit ip any any access-list IPSEC-TUN0 permit ip 192.168.10.0 0.0.0.255 any access-list IPSEC-TUN0 permit ip 192.168.8.0 0.0.0.255 any Current peer: 222.222.222.222 Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N): N Transform sets={ VPN-office10, } QOS pre-classification Interfaces using crypto map TUNNEL0: Tunnel0 VPN-office10#sh crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id slot status 222.222.222.222 111.111.111.111 QM_IDLE 2007 0 ACTIVE IPv6 Crypto ISAKMP SA при этом туннель вроде как поднимается и тут-же падает какой лучше указывать для ipsec вариант туннельный или транспортный? как сделать ACL чтоб подсетки 192.168.8.0 и 192.168.10.0 видели друг друга??

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> собственно впн получилось поднять но не стабильно (конфиг на циске) > crypto isakmp policy 1 > encr 3des > hash md5 > authentication pre-share > group 2 > crypto isakmp key bla-bla-key address 222.222.222.222 > ! > crypto ipsec transform-set VPN-office8 esp-3des esp-md5-hmac > mode transport > ! > crypto map TUNNEL0 1 ipsec-isakmp > set peer 222.222.222.222 > set transform-set VPN-office8 > match address IPSEC-TUN0 > qos pre-classify > ! > interface Tunnel0 > bandwidth 10000 > ip address 192.168.8.140 255.255.255.0 > ip tcp adjust-mss 1360 > tunnel source FastEthernet4 > tunnel destination 222.222.222.222 > crypto map TUNNEL0 > ip access-list extended IPSEC-TUN0 > permit ip any any > permit ip 192.168.10.0 0.0.0.255 any > permit ip 192.168.8.0 0.0.0.255 any > ip access-list extended inside > ! > access-list 1 permit 192.168.10.0 0.0.0.255 > acl 1 - это чтоб инет в подсеть циски пускать > проблема - со стороны 192.168.8.0 подсети подсеть циски (192.168.8.0) можно пинговать а > наоборот нет > при этом канал устанолен > VPN-office10#sh crypto map > Crypto Map "TUNNEL0" 1 ipsec-isakmp > Peer = 222.222.222.222 > Extended IP access list > IPSEC-TUN0 > > access-list IPSEC-TUN0 permit ip any any > > access-list IPSEC-TUN0 permit ip 192.168.10.0 0.0.0.255 any > > access-list IPSEC-TUN0 permit ip 192.168.8.0 0.0.0.255 any > Current peer: 222.222.222.222 > Security association lifetime: 4608000 > kilobytes/3600 seconds > PFS (Y/N): N > Transform sets={ > > VPN-office10, > } > QOS pre-classification > Interfaces using crypto map > TUNNEL0: > > Tunnel0 > VPN-office10#sh crypto isakmp sa > IPv4 Crypto ISAKMP SA > dst > src > state > conn-id slot status > 222.222.222.222 111.111.111.111 QM_IDLE 2007 > 0 ACTIVE > IPv6 Crypto ISAKMP SA > при этом туннель вроде как поднимается и тут-же падает > какой лучше указывать для ipsec вариант туннельный или транспортный? > как сделать ACL чтоб подсетки 192.168.8.0 и 192.168.10.0 видели друг друга??
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру