форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

"Cisco 800  VPN   Нет связи !!"	+/–
Сообщение от peering (ok) on 15-Ноя-12, 19:45
Изучил несколько уроков, почитал маны, но все делают на пакет-трекере,  в реальности я так поянял не хватает маршрутов,,, Есть две циски 871 и 851  хочу сделать vpn site-to-site но конекта нету две подсетки за роутером 192.168.0.0 и 192.168.5.0  конфиги одинаковые. --sh crypto st в дауне -- но если пишу маршрут типа  ip route 192.168.5.0 255.255.255.0 1.1.1.1 ( вторая циска) то vlan сетки пингуются,,, с цисок с с машин за nat нет. Но непонятно другое в примера вообще маршрутов не добавляют пинги ходят,,, НАРОД помогите запутался !!!! ! version 12.4 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname reg ! boot-start-marker boot-end-marker ! enable secret 5 $1$qZva$SQyY.Yo2lvBRtlBzf41o00 ! no aaa new-model ! crypto pki trustpoint TP-self-signed-3268845800 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-3268845800 revocation-check none rsakeypair TP-self-signed-3268845800 ! ! crypto pki certificate chain TP-self-signed-3268845800 certificate self-signed 01 nvram:IOS-Self-Sig#C.cer dot11 syslog ip cef ! ! no ip domain lookup ip name-server 8.8.8.8 ! ! ! username root privilege 15 password 7 101A5C4D50 ! ! crypto isakmp policy 1 encr aes authentication pre-share group 2 crypto isakmp key 4545 address 1.1.1.1 ! ! crypto ipsec transform-set myset esp-aes esp-sha-hmac ! crypto map test 10 ipsec-isakmp set peer 2.2.2.2 set transform-set myset match address 101 ! archive log config   hidekeys ! ! ! ! ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 ip address 1.1.1.1 255.255.255.0 ip nat outside ip virtual-reassembly duplex auto speed auto crypto map test ! interface Vlan1 ip address 192.168.0.239 255.255.255.0 ip nat inside ip virtual-reassembly ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 gateway ip route 192.168.5.0 255.255.255.0 1.1.1.1 ! ip http server ip http authentication local ip http secure-server ip dns server ip nat inside source list 1 interface FastEthernet4 overload ! access-list 1 permit 192.168.0.0 0.0.0.255 access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.5.0 0.0.0.255 ! ! ! control-plane ! ! line con 0 no modem enable line aux 0 line vty 0 4 privilege level 15 login local transport input telnet ssh ! scheduler max-task-time 5000 end
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Cisco 800  VPN   Нет связи !!"	+/–
Сообщение от spiegel (ok) on 16-Ноя-12, 01:03
config надо переделать: crypto isakmp key 4545 address 2.2.2.2 (адрес соседа, а не собственный) ip route 0.0.0.0 0.0.0.0 <ip_next_hop> no ip route 192.168.5.0 255.255.255.0 1.1.1.1 (такой строки не должно быть в принципе, при попытке сконфигурировать будет: %Invalid next hop address (it's this router) добавить: interface FastEthernet4 ip access-group 102 in access-list 102 permit ahp host 2.2.2.2 host 1.1.1.1 access-list 102 permit esp host 2.2.2.2 host 1.1.1.1 access-list 102 permit udp host 2.2.2.2 host 1.1.1.1 eq isakm Аналогично переделать на другом роутере.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Cisco 800  VPN   Нет связи !!"	+/–
	Сообщение от spiegel (ok) on 16-Ноя-12, 01:25
	nat я бы тоже переделал: no ip nat inside source list 1 interface FastEthernet4 overload ip nat inside source route-map privat interface FastEthernet4 overload route-map privat permit 10 match ip address 103 access-list 103 deny   ip 192.168.0.0 0.0.0.255 192.168.5.0 0.0.0.255 access-list 103 permit ip 192.168.0.0 0.0.0.255 any
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Cisco 800  VPN   Нет связи !!"	+/–
	Сообщение от peering (ok) on 16-Ноя-12, 09:53
	>[оверквотинг удален] > no ip route 192.168.5.0 255.255.255.0 1.1.1.1 (такой строки не должно быть в > принципе, при попытке сконфигурировать будет: %Invalid next hop address (it's this > router) > добавить: > interface FastEthernet4 > ip access-group 102 in > access-list 102 permit ahp host 2.2.2.2 host 1.1.1.1 > access-list 102 permit esp host 2.2.2.2 host 1.1.1.1 > access-list 102 permit udp host 2.2.2.2 host 1.1.1.1 eq isakm > Аналогично переделать на другом роутере. Получается если  вешаю акцеес лист  на fa4 то я попросту сказать включаю фаервол,, получаеться без акцеес листов будет работаь ???
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	4. "Cisco 800  VPN   Нет связи !!"	+/–
	Сообщение от spiegel (ok) on 16-Ноя-12, 10:06
	>[оверквотинг удален] >> router) >> добавить: >> interface FastEthernet4 >> ip access-group 102 in >> access-list 102 permit ahp host 2.2.2.2 host 1.1.1.1 >> access-list 102 permit esp host 2.2.2.2 host 1.1.1.1 >> access-list 102 permit udp host 2.2.2.2 host 1.1.1.1 eq isakm >> Аналогично переделать на другом роутере. > Получается если  вешаю акцеес лист  на fa4 то я попросту > сказать включаю фаервол,, получаеться без акцеес листов будет работаь ??? акцеес лист не является строго говоря фаерволлом, просто мы отсекаем весь входящий трафик на внешних интерфейсах, кроме ipsec. Шифрование локального трафика происходит по команде "crypto map test"
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Cisco 800  VPN   Нет связи !!"	+/–
	Сообщение от peering (ok) on 16-Ноя-12, 11:24
	Да спасибо за совет VPN поднялся, sh crypto ses  Interface: FastEthernet4 Session status: UP-ACTIVE Peer: 91.189.221.161 port 500   IKE SA: local 91.189.221.163/500 remote 91.189.221.161/500 Active   IPSEC FLOW: permit ip 192.168.0.0/255.255.255.0 192.168.5.0/255.255.255.0         Active SAs: 2, origin: crypto map traceroute лезет в глобал Только пинги не ходят до vlan интерфейсов, и за nat тоже >[оверквотинг удален] > no ip route 192.168.5.0 255.255.255.0 1.1.1.1 (такой строки не должно быть в > принципе, при попытке сконфигурировать будет: %Invalid next hop address (it's this > router) > добавить: > interface FastEthernet4 > ip access-group 102 in > access-list 102 permit ahp host 2.2.2.2 host 1.1.1.1 > access-list 102 permit esp host 2.2.2.2 host 1.1.1.1 > access-list 102 permit udp host 2.2.2.2 host 1.1.1.1 eq isakm > Аналогично переделать на другом роутере.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	6. "Cisco 800  VPN   Нет связи !!"	+/–
	Сообщение от peering (ok) on 16-Ноя-12, 14:19
	>[оверквотинг удален] >> no ip route 192.168.5.0 255.255.255.0 1.1.1.1 (такой строки не должно быть в >> принципе, при попытке сконфигурировать будет: %Invalid next hop address (it's this >> router) >> добавить: >> interface FastEthernet4 >> ip access-group 102 in >> access-list 102 permit ahp host 2.2.2.2 host 1.1.1.1 >> access-list 102 permit esp host 2.2.2.2 host 1.1.1.1 >> access-list 102 permit udp host 2.2.2.2 host 1.1.1.1 eq isakm >> Аналогично переделать на другом роутере. Спасибо конфиг копированием перелил исправил всё заработало,, а вот вопрос если я одинаковые ip подсетей сделаю получиться мост или это другой вид vpn
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Cisco 800  VPN   Нет связи !!"	+/–
	Сообщение от spiegel (ok) on 16-Ноя-12, 15:29
	> Спасибо конфиг копированием перелил исправил всё заработало,, а вот вопрос если я > одинаковые ip подсетей сделаю получиться мост или это другой вид vpn Лучше маску поменять, проще и легче администрировать. Попробуйте так(если 800 роутер поддерживает irb): bridge irb bridge 1 route ip int tun1 bridge-group 1 tunnel source FastEthernet4 tunnel destination 2.2.2.2 int vlan1 bridge-group 1 int bvi 1 ip address 192.168.0.239 255.255.255.0 Если заработает, можно ipsec поднять.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Cisco 800  VPN   Нет связи !!"	+/–
	Сообщение от spiegel (ok) on 16-Ноя-12, 19:10
	>[оверквотинг удален] > bridge 1 route ip > int tun1 > bridge-group 1 > tunnel source FastEthernet4 > tunnel destination 2.2.2.2 > int vlan1 > bridge-group 1 > int bvi 1 > ip address 192.168.0.239 255.255.255.0 > Если заработает, можно ipsec поднять. Этот вариант не рабочий. Два одинаковые подсети через инет можно по mpls соединить (xconnect), но это делает провайдер.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Cisco 800  VPN   Нет связи !!"	+/–
	Сообщение от ДмитрийДД on 17-Ноя-12, 20:01
	>[оверквотинг удален] >> bridge-group 1 >> tunnel source FastEthernet4 >> tunnel destination 2.2.2.2 >> int vlan1 >> bridge-group 1 >> int bvi 1 >> ip address 192.168.0.239 255.255.255.0 >> Если заработает, можно ipsec поднять. > Этот вариант не рабочий. Два одинаковые подсети через инет можно по mpls > соединить (xconnect), но это делает провайдер. Crypto map - это уже древность, вы где пример нарыли, из архива сайта циско? tunnel protection ipsec, VTI - рулят. Зубудьте конфиги с криптомапом  они убогие по фунционалу.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "Cisco 800  VPN   Нет связи !!"	+/–
	Сообщение от spiegel (ok) on 18-Ноя-12, 18:02
	> Crypto map - это уже древность, вы где пример нарыли, из архива > сайта циско? tunnel protection ipsec, VTI - рулят. Зубудьте конфиги с > криптомапом  они убогие по фунционалу. автор только начал изучать ipsec, да и crypto map пока еще применяют. К тому же конфигурация с ними, на мой взгляд, немного проще и понятнее. Освоит crypto map, потом vti без проблем подымет.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема