 Cisco ISAKMP IPSEC,  drake0103, 15-Дек-15, 19:42 [смотреть все]Добрый день, дали задачу настроить впн. В сетях я не очень разбираюь, по этому делал аналогично тому как настроены другие тунели.Железка к которой нужно подключится находится далеко и доступа туда нету, там дугие админы сетапят Задача от них Device IP 109.202.112.DD
VPN Network's 10.5.30.0/26
ISAKMP (Phase1)
Authentication Method Pre-Shared Key (To be exchanged over text message or over the phone)
Encryption Algorithm Aes256
Hashing Algorithm SHA2
Diffie-Hellman Group Group 2
Lifetime 86400 seconds
IPSec (Phase 2)
Encryption Algorithm AES256
Authentication Algorithm SHA2
Perfect Forward Secrecy no pfs
Lifetime 3600 seconds
IPSec Granularity ESP
Настроил у себя crypto isakmp policy 5
encr aes 256
hash sha256
authentication pre-share
group 2 crypto isakmp key g4L4cor4lt0k4ndc address 109.202.112.DD
crypto ipsec transform-set telebet esp-aes 256 esp-sha256-hmac
mode tunnel
crypto map MAP_TO_tunnels 11 ipsec-isakmp
description TeleBet
set peer 109.202.112.DD
set transform-set telebet
match address Telebet
ip access-list extended Telebet
permit ip 10.5.30.64 0.0.0.63 10.5.30.0 0.0.0.63 Добаил еще и роут ip route 109.202.112.DD 1255.255.255.255 213.160.153.DD permanent Но подключениях нету добавленного айпи
#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
82.146.CC.DD 95.67.CC.DD QM_IDLE 7573 ACTIVE
213.160.CC.DD 148.251.CC.DD Может я что то упустил, подскажите что не так
|
- Cisco ISAKMP IPSEC, Andrey, 22:39 , 15-Дек-15 (1)
>[оверквотинг удален]
> #show crypto isakmp sa
> IPv4 Crypto ISAKMP SA
> dst
> src
> state
> conn-id status
> 82.146.CC.DD 95.67.CC.DD QM_IDLE
> 7573 ACTIVE
> 213.160.CC.DD 148.251.CC.DD
> Может я что то упустил, подскажите что не так 1. Сначала снимаете криптомап с интерфейса, потом настраиваете, потом вешаете криптомап на интерфейс обратно.
2. Из объяснения не понятно: это должен быть именно криптомап на интерфейсе или это должен быть туннель (GRE or IPIP)с IPSec? Из вашего объяснения складывается впечатление про необходимость криптомапа, но что скажут удаленные админы?
3. Из вашего объяснения не ясно, вы создали новый криптомап или добавили конфигурацию к существующему?
4. Скрипач... ,пардон, дополнительный маршрут не нужен, если только у вас не несколько каналов и вас ждут с определенного IP.
- Cisco ISAKMP IPSEC, drake0103, 12:47 , 16-Дек-15 (2)
>[оверквотинг удален]
>> dst
>> src
>> state
>> conn-id status
>> 82.146.CC.DD 95.67.CC.DD QM_IDLE
>> 7573 ACTIVE
>> 213.160.CC.DD 148.251.CC.DD
>> Может я что то упустил, подскажите что не так
> 1. Сначала снимаете криптомап с интерфейса, потом настраиваете, потом вешаете криптомап
> на интерфейс обратно.Снял настроил и обратно повесил результату ноль.
Поправка, так сделал, на интерфейсе появился: Crypto Map IPv4 "MAP_tunnels" 11 ipsec-isakmp
Description: telbet_coral_test
Peer = 109.202.112.DD
Extended IP access list Telebet
access-list Telebet permit ip 10.5.30.64 0.0.0.63 10.5.30.0 0.0.0.63
access-list Telebet permit ip 10.5.30.0 0.0.0.63 10.5.30.64 0.0.0.63
Current peer: 109.202.112.DD
Security association lifetime: 4608000 kilobytes/3600 seconds
Responder-Only (Y/N): N
PFS (Y/N): N
Transform sets={
Playtech_coral_telebet: { esp-256-aes esp-sha256-hmac } ,
}
Interfaces using crypto map MAP_TO_Playtech_tunnels:
GigabitEthernet0/0 GigabitEthernet0/1 > 2. Из объяснения не понятно: это должен быть именно криптомап на интерфейсе
> или это должен быть туннель (GRE or IPIP)с IPSec? Из вашего
> объяснения складывается впечатление про необходимость криптомапа, но что скажут удаленные
> админы? Тут настроено уже около 5 криптомапов в другую компанию по такому типу
> 3. Из вашего объяснения не ясно, вы создали новый криптомап или добавили
> конфигурацию к существующему? Создавал новый криптомап, так как нужен еще один тунель
> 4. Скрипач... ,пардон, дополнительный маршрут не нужен, если только у вас не
> несколько каналов и вас ждут с определенного IP. У нас два палинка и именно с этого айпи и юудут ждать
- Cisco ISAKMP IPSEC, Andrey, 22:11 , 16-Дек-15 (3)
>[оверквотинг удален]
>> или это должен быть туннель (GRE or IPIP)с IPSec? Из вашего
>> объяснения складывается впечатление про необходимость криптомапа, но что скажут удаленные
>> админы?
> Тут настроено уже около 5 криптомапов в другую компанию по такому типу
>> 3. Из вашего объяснения не ясно, вы создали новый криптомап или добавили
>> конфигурацию к существующему?
> Создавал новый криптомап, так как нужен еще один тунель
>> 4. Скрипач... ,пардон, дополнительный маршрут не нужен, если только у вас не
>> несколько каналов и вас ждут с определенного IP.
> У нас два палинка и именно с этого айпи и юудут ждать Давайте с начала.
Криптомап это то, что вешается на интерфейс и определяется в конфигурации как "crypto map <NAME>". В той-же строке идет порядковый номер обработки. При наличии нескольких порядковых номеров криптомап с одним и тем-же <NAME> все равно остается только один.
На один исходящий интерфейс можно повесить только один криптомап.
Вы говорите что у вас 5 криптомапов. Это значит что у вас должно быть 5 внешних интерфейсов и на каждом свой криптомап. Далее... ТЗ: секция ISAKMP encryption - aes256; hash - sha2. У вас hash почему-то стал sha256. Почему вдруг?
- Cisco ISAKMP IPSEC, drake0103, 23:26 , 16-Дек-15 (4)
>[оверквотинг удален]
> Давайте с начала.
> Криптомап это то, что вешается на интерфейс и определяется в конфигурации как
> "crypto map <NAME>". В той-же строке идет порядковый номер обработки. При
> наличии нескольких порядковых номеров криптомап с одним и тем-же <NAME> все
> равно остается только один.
> На один исходящий интерфейс можно повесить только один криптомап.
> Вы говорите что у вас 5 криптомапов. Это значит что у вас
> должно быть 5 внешних интерфейсов и на каждом свой криптомап.
> Далее... ТЗ: секция ISAKMP encryption - aes256; hash - sha2. У вас
> hash почему-то стал sha256. Почему вдруг?Все криптомапы имеют одно название
crypto map MAP_TO_tunnels 1 ipsec-isakmp
description Tunnel to Israel
set peer 178.255
set transform-set PlayTech_trans_set
match address Israel ..................... crypto map MAP_TO_tunnels 11 ipsec-isakmp
description telbet
set peer 109.202.
set transform-set telebet
match address Telebet interface GigabitEthernet0/1
.....
crypto map MAP_TO_tunnels
....
end
> Далее... ТЗ: секция ISAKMP encryption - aes256; hash - sha2. У вас
> hash почему-то стал sha256. Почему вдруг?
Выбор только такой был (config-isakmp)#hash ?
md5 Message Digest 5
sha Secure Hash Standard
sha256 Secure Hash Standard 2 (256 bit)
sha384 Secure Hash Standard 2 (384 bit)
sha512 Secure Hash Standard 2 (512 bit)
Protection suite of priority 5
encryption algorithm: AES - Advanced Encryption Standard (256 bit keys).
hash algorithm: Secure Hash Standard 2 (256 bit)
authentication method: Pre-Shared Key
Diffie-Hellman group: #2 (1024 bit)
lifetime: 86400 seconds, no volume limit
|
Версия для распечатки
