Форум программистов, компьютерный форум, киберфорум
Cisco
Войти
Регистрация
Восстановить пароль
Блоги Сообщество Поиск Заказать работу  
 
Рейтинг 4.57/7: Рейтинг темы: голосов - 7, средняя оценка - 4.57
0 / 0 / 0
Регистрация: 27.09.2021
Сообщений: 4
1

Cisco VPN IPsec

27.09.2021, 21:02. Показов 1366. Ответов 7

Author24 — интернет-сервис помощи студентам
Дд!

Туннел поднимается! Но трафик не идет. Помогите
0
27.09.2021, 21:02
Programming
Эксперт
39485 / 9562 / 3019
Регистрация: 12.04.2006
Сообщений: 41,671
Блог
27.09.2021, 21:02
Ответы с готовыми решениями:

Site to Site IPSec VPN CISCO891-K9 & Cisco RV120W Wireless-N VPN Firewall
Добрый день. Есть роутер CISCO891-K9 на котором есть один site to site vpn туннель с таким же роутером CISCO891-K9 в другой...

Cisco ASA падает VPN IPSEC
Коллеги, всем привет! Есть Cisco ASA5512 и Fortigate 100F, между ними поднят vpn ipsec, так вот с произвольной периодичностью падает на 3-5...

Site to Site IPSec VPN CIsco 800 & Cisco SRP 500 series
Доброго времени суток. Есть филиал на котором установлена Cisco 881 и есть удаленная точка на которой стоит Cisco SRP 527W. Задача...

7
Эксперт по компьютерным сетям
 Аватар для insect_87
11433 / 7002 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
27.09.2021, 21:04 2
Конфиги?

Добавлено через 29 секунд
Выложите текстом sh run
0
0 / 0 / 0
Регистрация: 27.09.2021
Сообщений: 4
27.09.2021, 21:28  [ТС] 3
Код
crypto ikev2 proposal aes-cbc-256-proposal
 encryption aes-cbc-256
 integrity sha256
 group 14
!
crypto ikev2 policy policy1
 proposal aes-cbc-256-proposal
!
crypto ikev2 keyring KR-1
 peer SmatrHub
  address 195.12.122.44
  pre-shared-key A~T"\HO=QVs3m2I$Ryh8
 !
!
!
crypto ikev2 profile profile1
 description IKEv2 profile
 match identity remote address 195.12.122.44 255.255.255.255
 authentication remote pre-share
 authentication local pre-share
 keyring local KR-1
!
!
!
!
crypto logging ikev2
!
!
crypto ipsec transform-set ESP-AES-SHA esp-aes 256 esp-sha256-hmac
 mode tunnel
!
crypto map SDM_CMAP_1 10 ipsec-isakmp
 set peer 195.12.122.44
 set security-association lifetime seconds 28800
 set transform-set ESP-AES-SHA
 set pfs group14
 set ikev2-profile profile1
 match address 103
!
!
!
!
!
interface FastEthernet0
 switchport access vlan 2
 no ip address
!
interface FastEthernet1
 switchport access vlan 2
 no ip address
!
interface FastEthernet2
 switchport access vlan 2
 no ip address
!
interface FastEthernet3
 switchport access vlan 2
 no ip address
!
interface FastEthernet4
 ip address 188.0.132.18 255.255.255.128
 ip mtu 1400
 ip nat outside
 ip virtual-reassembly in
 ip tcp adjust-mss 1360
 load-interval 30
 duplex auto
 speed auto
 crypto map SDM_CMAP_1
!
interface Vlan1
 no ip address
!
interface Vlan2
 ip address 192.168.10.10 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
ip forward-protocol nd
ip http server
ip http authentication local
no ip http secure-server
!
ip nat inside source static tcp 192.168.10.11 3389 interface FastEthernet4 3389
ip nat inside source list 100 interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 188.0.132.1
ip route 188.0.132.18 255.255.255.255 195.12.113.7
ip route 195.12.113.7 255.255.255.255 188.0.132.1
!
ip sla auto discovery
ip sla 1
 icmp-echo 195.12.113.7 source-ip 188.0.132.18
 frequency 5
ip sla schedule 1 life forever start-time now
access-list 1300 permit 192.168.10.0 0.0.0.255
access-list 1300 permit 188.0.132.0 0.0.0.127
access-list 100 permit ip 192.168.0.0 0.0.255.255 any
access-list 103 permit ip host 188.0.132.18 host 195.12.113.7



access-list 105 deny   ip host 188.0.132.18 host 195.12.113.7
!
route-map ppp permit 10
 match ip address 106
 set ip next-hop 188.0.132.18
!
!
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 password test
 login local
 transport input telnet ssh
!
scheduler max-task-time 5000
!
end

Router#

[size="1"][color="grey"][I]Добавлено через 16 минут[/I][/color][/size]
Local peer и local lan один адрес.

[size="1"][color="grey"][I]Добавлено через 2 минуты[/I][/color][/size]
Router#sh cr ik sa
 IPv4 Crypto IKEv2  SA

Tunnel-id Local                 Remote                fvrf/ivrf            Status
1         188.0.132.18/500      195.12.122.44/500     none/none            READY
      Encr: AES-CBC, keysize: 256, Hash: SHA256, DH Grp:14, Auth sign: PSK, Auth verify: PSK
      Life/Active Time: 86400/1286 sec

 IPv6 Crypto IKEv2  SA

Router#sh cr ip sa

interface: FastEthernet4
    Crypto map tag: SDM_CMAP_1, local addr 188.0.132.18

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (188.0.132.18/255.255.255.255/0/0)
   remote ident (addr/mask/prot/port): (195.12.113.7/255.255.255.255/0/0)
   current_peer 195.12.122.44 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 188.0.132.18, remote crypto endpt.: 195.12.122.44
     path mtu 1400, ip mtu 1400, ip mtu idb FastEthernet4
     current outbound spi: 0x81C99A1E(2177473054)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0xD829D96(226663830)
        transform: esp-256-aes esp-sha256-hmac ,
        in use settings ={Tunnel, }
        conn id: 2, flow_id: Onboard VPN:2, sibling_flags 80000040, crypto map: SDM_CMAP_1
        sa timing: remaining key lifetime (k/sec): (4608000/27507)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x81C99A1E(2177473054)
        transform: esp-256-aes esp-sha256-hmac ,
        in use settings ={Tunnel, }
        conn id: 1, flow_id: Onboard VPN:1, sibling_flags 80000040, crypto map: SDM_CMAP_1
        sa timing: remaining key lifetime (k/sec): (4608000/27507)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     outbound ah sas:

     outbound pcp sas:
Router#
0
Эксперт по компьютерным сетям
 Аватар для insect_87
11433 / 7002 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
27.09.2021, 21:35 4
1. В туннельном режиме вам надо шифровать трафик из внутренней локальной сети во внутренню удаленную.
Что шифруете вы:
Код
access-list 103 permit ip host 188.0.132.18 host 195.12.113.7
??
2. Шифруемый трафик не должен перед шифрованием попасть под source nat.
У вас он пока попадает:
Код
access-list 100 permit ip 192.168.0.0 0.0.255.255 any
Итого, если допустим удаленная сеть имеет адресацию 192.168.20.0/24, то листы с этой стороны должны быть такими:
Код
access-list 103 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255

access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 100 permit ip 192.168.0.0 0.0.255.255 any
С другой стороны адреса источника и назначения в листах меняются местами.
Параметры шифрования, хэширования, pfs/dh group обеих фаз, а так же ключ аутентификации должны совпадать
0
0 / 0 / 0
Регистрация: 27.09.2021
Сообщений: 4
27.09.2021, 21:43  [ТС] 5
Я понял эту. Но другой стороне закрытый офис. Мне писали эти адреса и сказали поднимите туннел. они сказали некоторые туннели есть lan local и peer local один адрес и работает.
0
Эксперт по компьютерным сетям
 Аватар для insect_87
11433 / 7002 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
27.09.2021, 21:49 6
Я ничего не понял из последнего поста.


В туннельном режиме только так, как я написал.
В транспортном - ещё нужен gre или ipip
0
0 / 0 / 0
Регистрация: 27.09.2021
Сообщений: 4
27.09.2021, 21:55  [ТС] 7
Ок, спасибо большое
0
Эксперт по компьютерным сетям
 Аватар для insect_87
11433 / 7002 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
27.09.2021, 21:57 8
Если вы не знаете адресацию удаленных сетей, то с этой стороны вы можете зашифровать весь трафик между частными сетями в туннельном режиме!
Но поймите: если с другой стороны под криптомапу трафик от удаленной сети в эту локальную сеть не попадет (или попадет под nat), то ничего не выйдет.

Это основы ipsec. Не хочу здесь ещё мат часть описывать
0
27.09.2021, 21:57
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
inter-admin
Эксперт
29715 / 6470 / 2152
Регистрация: 06.03.2009
Сообщений: 28,500
Блог
27.09.2021, 21:57
Помогаю со студенческими работами здесь

vpn туннель ipsec с двумя cisco 871
Привет всем, сразу перейду к делу. Есть два офиса (А,Б), и есть два cisco 871. Я новичок в cisco. Методом...

Выход через ipsec VPN в интернет через Cisco Router
Есть две локальные сети 192.168.1.0/24 и 192.168.2.0/24, между ними построен ipsec vpn. Как получить доступ с сети 192.168.1.0/24 через...

ipsec VPN
Добрый вечер уважаемые форумчане. Возник вопрос в настройке двух удаленных роутеров 1841. Пров дал канал в 100 мегабит меж двумя удаленными...

Vpn между cisco роутером 3285 и cisco pix-515
Здравствуйте! Есть сеть-1 (роутер) и сеть-2 (пикс) Нужно сделать доступ по рдп на внутренние адреса из сети-2 в сеть-1 сеть-1...

Проблемы с подключением RDP->Cisco VPN ->VPN
Здравствуйте, Я не сетевик, так что сразу попрошу отнестись поблажливо=) В общем, по долгу службы я работаю на RDP заказчика,...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
8
Ответ Создать тему

Редактор формул (кликните на картинку в правом углу, чтобы закрыть)
Новые блоги и статьи
Создаем SPA Router на чистом JavaScript
bytestream 17.02.2025
В современной веб-разработке одностраничные приложения (SPA) стали стандартом для создания динамичных и отзывчивых пользовательских интерфейсов. Ключевым компонентом любого SPA является роутер -. . .
Машинное обучение на TypeScript и TensorFlow
bytestream 17.02.2025
Машинное обучение становится все более востребованным направлением в современной разработке программного обеспечения. Интеграция искусственного интеллекта в веб-приложения открывает новые возможности. . .
Манипуляция данными EXIF и JPEG в JavaScript
bytestream 17.02.2025
В современном мире цифровой фотографии метаданные изображений играют важнейшую роль в организации и управлении медиаконтентом. Формат EXIF (Exchangeable Image File Format) - это стандарт,. . .
Как создать GUID/UUID в JavaScript
bytestream 17.02.2025
GUID (Globally Unique Identifier) и UUID (Universally Unique Identifier) - это специальные форматы 128-битных идентификаторов, которые практически гарантируют уникальность значения во времени и. . .
Что такое мышление в упрощенном смысле (моё субъективное видение, для создания модели).
Hrethgir 17.02.2025
Разумеется упрощать смысл есть. Дело в том, что я пришёл к тому выводу, что даже если я создам свой процессор (конвейер), то первое для чего смогу его использовать в качестве демонстративного. . .
Как Node.js устроен изнутри
Wired 17.02.2025
Node. js коренным образом изменил подход к веб-разработке, позволив использовать JavaScript не только в браузере, но и на стороне сервера. Созданный в 2009 году Райаном Далем, Node. js представляет. . .
Как обновить Node.js в Windows
Wired 17.02.2025
Думаю, многие разработчики сталкивались с ситуацией, когда устаревшая версия Node. js становилась источником проблем - от несовместимости с новыми пакетами до уязвимостей в безопасности. Особенно это. . .
Как обновить Node.js в MacOS
Wired 17.02.2025
В Node. js существует несколько подходов к обновлению, каждый из которых имеет свои преимущества и особенности применения. Выбор конкретного метода зависит от ваших потребностей - будь то. . .
Как обновить Node.js в Linux
Wired 17.02.2025
Обновление Node. js может показаться сложной задачей, особенно если у вас несколько проектов с разными зависимостями. Однако существует несколько надежных способов обновления, подходящих для разных. . .
[golang] 134. Gas Station
alhaos 17.02.2025
Тут нам даны два целочисленных слайса gas и cost, индексы массива представляют собой заправочные станции. а элементы gas это количество топлива на такой станции, cost это количество топлива. . .
КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2025, CyberForum.ru