https://www.opennet.ru/openforum/vsluhforumID6/18024.html Добрый день! Помогите настроить IPSec по следующей схеме имеется центральный маршрутизатор С7204 и два подключенных к нему С2801 по каналам E1.<br>Нужно чтобы эти соединения проходили по IPSec туннелю.<br>Ключей никаких не сгенерировано.<br><br><br>Конфигурация интерфейсов <br>На 7204 <br><br>interface Serial1/0:1<br> description ## to Site 3 ##<br> ip address 172.18.0.1 255.255.255.252<br> encapsulation ppp<br> ip ospf 10 area 0<br> ip rtp priority 5000 6000 500<br>!<br>interface Serial1/1:1<br> description ## to Site 4 ##<br> ip address 172.19.0.1 255.255.255.252<br> encapsulation ppp<br> ip ospf 10 area 0<br> ip rtp priority 5000 6000 500<br><br><br>На С2801-1<br>interface Serial0/2/0:1<br> description ## to Site 1 ##<br> ip address 172.18.0.2 255.255.255.252<br> ip nat outside<br> ip virtual-reassembly<br> encapsulation ppp<br><br>На С2801-2<br><br>interface Serial0/2/0:1<br> description ## to Site 1 ##<br> ip address 172.19.0.2 255.255.255.252<br> ip nat outside<br> ip virtual-reassembly<br> encapsulation ppp<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/18024.html#11 Thu, 29 Jan 2009 12:43:02 GMT &gt;Точек будет девять %) если можно то приведите конфиг <br><br>На мультиточке:<br>interface Tunnel0<br> ip address 192.168.0.1 255.255.255.128 - виртуальная адресация<br> no ip redirects<br> ip mtu 1400<br> ip nhrp authentication KEY<br> ip nhrp map multicast dynamic<br> ip nhrp network-id &#8470;<br> ip ospf network broadcast<br> tunnel source X.X.X.X - реальный адрес мульти-точки<br> tunnel mode gre multipoint<br> tunnel key KEY<br> tunnel protection ipsec profile PROFILE<br><br>На точках: <br> interface Tunnel0<br> ip address 192.168.0.2 255.255.255.128<br> ip mtu 1400<br> ip nhrp authentication A-KEY<br> ip nhrp map 192.168.0.1 X.X.X.X<br> ip nhrp network-id &#8470;<br> ip nhrp nhs 192.168.0.1<br> ip ospf network broadcast<br> tunnel source INT/IP<br> tunnel destination X.X.X.X<br> tunnel key KEY<br> tunnel protection ipsec profile PROFILE<br><br>В общем, как-то так. )) Основная прелесть в том, что на мультиточке только 1 интерфейс и нигде не фигурируют адреса самих точек. <br>Проверить работу туннеля для начала можно пингами до виртуальных адресов на другом конце. )) https://www.opennet.ru/openforum/vsluhforumID6/18024.html#10 Mon, 19 Jan 2009 07:19:49 GMT А как проверить что все работает через туннель а не напрямую через физический интерфейс????<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/18024.html#9 Mon, 19 Jan 2009 03:14:58 GMT Пример настройки GRE туннеля: http://www.ciscolab.ru/2007/07/22/ipsec_router_nat.html<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/18024.html#8 Mon, 19 Jan 2009 03:11:43 GMT &gt;&gt;&gt;Очень рекомендую ленивый вариант - настраивать ipsec через граф.интерфейс SDM. В этом <br>&gt;&gt;&gt;случае, настроив центральную циску, система сама сгенерирует зеркальную конфигурацию, которую надо <br>&gt;&gt;&gt;будет перенести на каждый удалённый маршрутизатор. <br>&gt;&gt;<br>&gt;&gt;не подскажете как к нему подрубиться?? <br>&gt;<br>&gt;В браузере -&gt; http://IP_Вашей_циски<br>&gt;Должна быть включена Java. <br><br>1. Должна быть установлена на ПК приблуда "Cisco SDM"<br>2. Java<br>3. По http лезть на циску с помощью Internet Explorer (Мозилой не получится)<br>4. Советую настраивать все-таки с консоли<br> https://www.opennet.ru/openforum/vsluhforumID6/18024.html#7 Sat, 17 Jan 2009 10:20:34 GMT &gt;&gt;Очень рекомендую ленивый вариант - настраивать ipsec через граф.интерфейс SDM. В этом <br>&gt;&gt;случае, настроив центральную циску, система сама сгенерирует зеркальную конфигурацию, которую надо <br>&gt;&gt;будет перенести на каждый удалённый маршрутизатор. <br>&gt;<br>&gt;не подскажете как к нему подрубиться?? <br><br>В браузере -&gt; http://IP_Вашей_циски<br>Должна быть включена Java.<br><br> https://www.opennet.ru/openforum/vsluhforumID6/18024.html#6 Sat, 17 Jan 2009 08:18:33 GMT &gt;[оверквотинг удален]<br>&gt; set pfs group2 <br>&gt; match address LIST <br>&gt;<br>&gt;+ полиси, трансформ сет, кей, ACL и все это привязать к интерфейсу. <br>&gt;<br>&gt;<br>&gt;со своими - мульти-точку VPN nhrp. если у вас будет больше 2х <br>&gt;точек, то могу привести кусок конфига, ибо так оно как-то краше. <br>&gt;<br>&gt;навскидку в вашем варианте косяков не вижу. <br><br>Точек будет девять %) если можно то приведите конфиг<br> https://www.opennet.ru/openforum/vsluhforumID6/18024.html#5 Sat, 17 Jan 2009 08:17:41 GMT &gt;Очень рекомендую ленивый вариант - настраивать ipsec через граф.интерфейс SDM. В этом <br>&gt;случае, настроив центральную циску, система сама сгенерирует зеркальную конфигурацию, которую надо <br>&gt;будет перенести на каждый удалённый маршрутизатор. <br><br>не подскажете как к нему подрубиться??<br> https://www.opennet.ru/openforum/vsluhforumID6/18024.html#4 Fri, 16 Jan 2009 19:28:36 GMT Очень рекомендую ленивый вариант - настраивать ipsec через граф.интерфейс SDM. В этом случае, настроив центральную циску, система сама сгенерирует зеркальную конфигурацию, которую надо будет перенести на каждый удалённый маршрутизатор.<br> https://www.opennet.ru/openforum/vsluhforumID6/18024.html#3 Fri, 16 Jan 2009 14:12:25 GMT в crypto ipsec profile можно добавить security-association lifetime и security-association idle-time. <br><br>туннели по инету я делаю крипто-мапами: <br>crypto map MAP 10 ipsec-isakmp <br> set peer X.X.X.X<br> set transform-set SET <br> set pfs group2<br> match address LIST <br><br>+ полиси, трансформ сет, кей, ACL и все это привязать к интерфейсу. <br><br>со своими - мульти-точку VPN nhrp. если у вас будет больше 2х точек, то могу привести кусок конфига, ибо так оно как-то краше. <br>навскидку в вашем варианте косяков не вижу. <br>