 Cisco 800 VPN Нет связи !!,  peering, 15-Ноя-12, 19:45 [смотреть все]Изучил несколько уроков, почитал маны, но все делают на пакет-трекере, в реальности я так поянял не хватает маршрутов,,, Есть две циски 871 и 851 хочу сделать vpn site-to-site но конекта нету две подсетки за роутером 192.168.0.0 и 192.168.5.0 конфиги одинаковые. --sh crypto st в дауне -- но если пишу маршрут типа ip route 192.168.5.0 255.255.255.0 1.1.1.1 ( вторая циска)
то vlan сетки пингуются,,, с цисок с с машин за nat нет.
Но непонятно другое в примера вообще маршрутов не добавляют пинги ходят,,,
НАРОД помогите запутался !!!!
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname reg
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$qZva$SQyY.Yo2lvBRtlBzf41o00
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-3268845800
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3268845800
revocation-check none
rsakeypair TP-self-signed-3268845800
!
!
crypto pki certificate chain TP-self-signed-3268845800
certificate self-signed 01 nvram:IOS-Self-Sig#C.cer
dot11 syslog
ip cef
!
!
no ip domain lookup
ip name-server 8.8.8.8
!
!
!
username root privilege 15 password 7 101A5C4D50
!
!
crypto isakmp policy 1
encr aes
authentication pre-share
group 2
crypto isakmp key 4545 address 1.1.1.1
!
!
crypto ipsec transform-set myset esp-aes esp-sha-hmac
!
crypto map test 10 ipsec-isakmp
set peer 2.2.2.2
set transform-set myset
match address 101
!
archive
log config
hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address 1.1.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map test
!
interface Vlan1
ip address 192.168.0.239 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 gateway
ip route 192.168.5.0 255.255.255.0 1.1.1.1
!
ip http server
ip http authentication local
ip http secure-server
ip dns server
ip nat inside source list 1 interface FastEthernet4 overload
!
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.5.0 0.0.0.255
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end
|
- Cisco 800 VPN Нет связи !!, spiegel, 01:03 , 16-Ноя-12 (1)
config надо переделать:crypto isakmp key 4545 address 2.2.2.2 (адрес соседа, а не собственный)
ip route 0.0.0.0 0.0.0.0 <ip_next_hop>
no ip route 192.168.5.0 255.255.255.0 1.1.1.1 (такой строки не должно быть в принципе, при попытке сконфигурировать будет: %Invalid next hop address (it's this router) добавить: interface FastEthernet4
ip access-group 102 in access-list 102 permit ahp host 2.2.2.2 host 1.1.1.1
access-list 102 permit esp host 2.2.2.2 host 1.1.1.1
access-list 102 permit udp host 2.2.2.2 host 1.1.1.1 eq isakm Аналогично переделать на другом роутере.
- Cisco 800 VPN Нет связи !!, spiegel, 01:25 , 16-Ноя-12 (2)
nat я бы тоже переделал:no ip nat inside source list 1 interface FastEthernet4 overload
ip nat inside source route-map privat interface FastEthernet4 overload route-map privat permit 10
match ip address 103
access-list 103 deny ip 192.168.0.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 103 permit ip 192.168.0.0 0.0.0.255 any
- Cisco 800 VPN Нет связи !!, peering, 09:53 , 16-Ноя-12 (3)
>[оверквотинг удален]
> no ip route 192.168.5.0 255.255.255.0 1.1.1.1 (такой строки не должно быть в
> принципе, при попытке сконфигурировать будет: %Invalid next hop address (it's this
> router)
> добавить:
> interface FastEthernet4
> ip access-group 102 in
> access-list 102 permit ahp host 2.2.2.2 host 1.1.1.1
> access-list 102 permit esp host 2.2.2.2 host 1.1.1.1
> access-list 102 permit udp host 2.2.2.2 host 1.1.1.1 eq isakm
> Аналогично переделать на другом роутере.Получается если вешаю акцеес лист на fa4 то я попросту сказать включаю фаервол,, получаеться без акцеес листов будет работаь ???
- Cisco 800 VPN Нет связи !!, spiegel, 10:06 , 16-Ноя-12 (4)
>[оверквотинг удален]
>> router)
>> добавить:
>> interface FastEthernet4
>> ip access-group 102 in
>> access-list 102 permit ahp host 2.2.2.2 host 1.1.1.1
>> access-list 102 permit esp host 2.2.2.2 host 1.1.1.1
>> access-list 102 permit udp host 2.2.2.2 host 1.1.1.1 eq isakm
>> Аналогично переделать на другом роутере.
> Получается если вешаю акцеес лист на fa4 то я попросту
> сказать включаю фаервол,, получаеться без акцеес листов будет работаь ???акцеес лист не является строго говоря фаерволлом, просто мы отсекаем весь входящий трафик на внешних интерфейсах, кроме ipsec. Шифрование локального трафика происходит по команде "crypto map test"
- Cisco 800 VPN Нет связи !!, peering, 11:24 , 16-Ноя-12 (5)
Да спасибо за совет VPN поднялся, sh crypto ses Interface: FastEthernet4
Session status: UP-ACTIVE
Peer: 91.189.221.161 port 500
IKE SA: local 91.189.221.163/500 remote 91.189.221.161/500 Active
IPSEC FLOW: permit ip 192.168.0.0/255.255.255.0 192.168.5.0/255.255.255.0
Active SAs: 2, origin: crypto maptraceroute лезет в глобал Только пинги не ходят до vlan интерфейсов, и за nat тоже >[оверквотинг удален]
> no ip route 192.168.5.0 255.255.255.0 1.1.1.1 (такой строки не должно быть в
> принципе, при попытке сконфигурировать будет: %Invalid next hop address (it's this
> router)
> добавить:
> interface FastEthernet4
> ip access-group 102 in
> access-list 102 permit ahp host 2.2.2.2 host 1.1.1.1
> access-list 102 permit esp host 2.2.2.2 host 1.1.1.1
> access-list 102 permit udp host 2.2.2.2 host 1.1.1.1 eq isakm
> Аналогично переделать на другом роутере.
- Cisco 800 VPN Нет связи !!, peering, 14:19 , 16-Ноя-12 (6)
>[оверквотинг удален]
>> no ip route 192.168.5.0 255.255.255.0 1.1.1.1 (такой строки не должно быть в
>> принципе, при попытке сконфигурировать будет: %Invalid next hop address (it's this
>> router)
>> добавить:
>> interface FastEthernet4
>> ip access-group 102 in
>> access-list 102 permit ahp host 2.2.2.2 host 1.1.1.1
>> access-list 102 permit esp host 2.2.2.2 host 1.1.1.1
>> access-list 102 permit udp host 2.2.2.2 host 1.1.1.1 eq isakm
>> Аналогично переделать на другом роутере.Спасибо конфиг копированием перелил исправил всё заработало,, а вот вопрос если я одинаковые ip подсетей сделаю получиться мост или это другой вид vpn
- Cisco 800 VPN Нет связи !!, spiegel, 15:29 , 16-Ноя-12 (7)
> Спасибо конфиг копированием перелил исправил всё заработало,, а вот вопрос если я
> одинаковые ip подсетей сделаю получиться мост или это другой вид vpn Лучше маску поменять, проще и легче администрировать. Попробуйте так(если 800 роутер поддерживает irb): bridge irb
bridge 1 route ip int tun1
bridge-group 1
tunnel source FastEthernet4
tunnel destination 2.2.2.2 int vlan1
bridge-group 1 int bvi 1
ip address 192.168.0.239 255.255.255.0 Если заработает, можно ipsec поднять.
- Cisco 800 VPN Нет связи !!, spiegel, 19:10 , 16-Ноя-12 (8)
>[оверквотинг удален]
> bridge 1 route ip
> int tun1
> bridge-group 1
> tunnel source FastEthernet4
> tunnel destination 2.2.2.2
> int vlan1
> bridge-group 1
> int bvi 1
> ip address 192.168.0.239 255.255.255.0
> Если заработает, можно ipsec поднять.Этот вариант не рабочий. Два одинаковые подсети через инет можно по mpls соединить (xconnect), но это делает провайдер.
- Cisco 800 VPN Нет связи !!, ДмитрийДД, 20:01 , 17-Ноя-12 (9)
>[оверквотинг удален]
>> bridge-group 1
>> tunnel source FastEthernet4
>> tunnel destination 2.2.2.2
>> int vlan1
>> bridge-group 1
>> int bvi 1
>> ip address 192.168.0.239 255.255.255.0
>> Если заработает, можно ipsec поднять.
> Этот вариант не рабочий. Два одинаковые подсети через инет можно по mpls
> соединить (xconnect), но это делает провайдер.Crypto map - это уже древность, вы где пример нарыли, из архива сайта циско? tunnel protection ipsec, VTI - рулят. Зубудьте конфиги с криптомапом они убогие по фунционалу.
- Cisco 800 VPN Нет связи !!, spiegel, 18:02 , 18-Ноя-12 (10)
> Crypto map - это уже древность, вы где пример нарыли, из архива
> сайта циско? tunnel protection ipsec, VTI - рулят. Зубудьте конфиги с
> криптомапом они убогие по фунционалу. автор только начал изучать ipsec, да и crypto map пока еще применяют. К тому же конфигурация с ними, на мой взгляд, немного проще и понятнее. Освоит crypto map, потом vti без проблем подымет.
|
Версия для распечатки
