URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1880
[ Назад ]

Исходное сообщение
"Cisco ISAKMP IPSEC"
Отправлено drake0103 , 15-Дек-15 19:42

Добрый день, дали задачу настроить впн. В сетях я не очень разбираюь, по этому делал аналогично тому как настроены другие тунели.
Железка к которой нужно подключится находится далеко и доступа туда нету, там дугие админы сетапят
Задача от них
Device IP         109.202.112.DD
VPN Network's        10.5.30.0/26

ISAKMP (Phase1)
Authentication Method    Pre-Shared Key  (To be exchanged over text message or over the phone)
Encryption Algorithm    Aes256
Hashing Algorithm    SHA2
Diffie-Hellman Group    Group 2
Lifetime    86400 seconds

IPSec (Phase 2)
Encryption Algorithm    AES256
Authentication Algorithm    SHA2
Perfect Forward Secrecy    no pfs
Lifetime    3600 seconds
IPSec Granularity    ESP
Настроил у себя
crypto isakmp policy 5
encr aes 256
hash sha256
authentication pre-share
group 2
crypto isakmp key g4L4cor4lt0k4ndc address 109.202.112.DD

crypto ipsec transform-set telebet esp-aes 256 esp-sha256-hmac
mode tunnel

crypto map MAP_TO_tunnels 11 ipsec-isakmp
description TeleBet
set peer 109.202.112.DD
set transform-set telebet
match address Telebet
ip access-list extended Telebet
permit ip 10.5.30.64 0.0.0.63 10.5.30.0 0.0.0.63
Добаил еще и роут
ip route  109.202.112.DD 1255.255.255.255 213.160.153.DD permanent
Но подключениях нету добавленного айпи
#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
82.146.CC.DD    95.67.CC.DD   QM_IDLE           7573 ACTIVE
213.160.CC.DD   148.251.CC.DD
Может я что то упустил, подскажите что не так

Содержание

Cisco ISAKMP IPSEC,Andrey, 22:39 , 15-Дек-15
- Cisco ISAKMP IPSEC,drake0103, 12:47 , 16-Дек-15
  - Cisco ISAKMP IPSEC,Andrey, 22:11 , 16-Дек-15
    - Cisco ISAKMP IPSEC,drake0103, 23:26 , 16-Дек-15

Сообщения в этом обсуждении

"Cisco ISAKMP IPSEC"
Отправлено Andrey , 15-Дек-15 22:39

>[оверквотинг удален]
> #show crypto isakmp sa
> IPv4 Crypto ISAKMP SA
> dst
>  src
>    state
>   conn-id status
> 82.146.CC.DD    95.67.CC.DD   QM_IDLE
>       7573 ACTIVE
> 213.160.CC.DD   148.251.CC.DD
> Может я что то упустил, подскажите что не так
1. Сначала снимаете криптомап с интерфейса, потом настраиваете, потом вешаете криптомап на интерфейс обратно.
2. Из объяснения не понятно: это должен быть именно криптомап на интерфейсе или это должен быть туннель (GRE or IPIP)с IPSec? Из вашего объяснения складывается впечатление про необходимость криптомапа, но что скажут удаленные админы?
3. Из вашего объяснения не ясно, вы создали новый криптомап или добавили конфигурацию к существующему?
4. Скрипач... ,пардон, дополнительный маршрут не нужен, если только у вас не несколько каналов и вас ждут с определенного IP.

"Cisco ISAKMP IPSEC"
Отправлено drake0103 , 16-Дек-15 12:47

>[оверквотинг удален]
>> dst
>>  src
>>    state
>>   conn-id status
>> 82.146.CC.DD    95.67.CC.DD   QM_IDLE
>>       7573 ACTIVE
>> 213.160.CC.DD   148.251.CC.DD
>> Может я что то упустил, подскажите что не так
> 1. Сначала снимаете криптомап с интерфейса, потом настраиваете, потом вешаете криптомап
> на интерфейс обратно.
Снял настроил и обратно повесил результату ноль.
Поправка, так сделал, на интерфейсе появился:
Crypto Map IPv4 "MAP_tunnels" 11 ipsec-isakmp
    Description: telbet_coral_test
    Peer = 109.202.112.DD
    Extended IP access list Telebet
        access-list Telebet permit ip 10.5.30.64 0.0.0.63 10.5.30.0 0.0.0.63
        access-list Telebet permit ip 10.5.30.0 0.0.0.63 10.5.30.64 0.0.0.63
    Current peer: 109.202.112.DD
    Security association lifetime: 4608000 kilobytes/3600 seconds
    Responder-Only (Y/N): N
    PFS (Y/N): N
    Transform sets={
        Playtech_coral_telebet:  { esp-256-aes esp-sha256-hmac  } ,
        }
    Interfaces using crypto map MAP_TO_Playtech_tunnels:
        GigabitEthernet0/0
        GigabitEthernet0/1
> 2. Из объяснения не понятно: это должен быть именно криптомап на интерфейсе
> или это должен быть туннель (GRE or IPIP)с IPSec? Из вашего
> объяснения складывается впечатление про необходимость криптомапа, но что скажут удаленные
> админы?
Тут настроено уже около 5 криптомапов в другую компанию по такому типу
> 3. Из вашего объяснения не ясно, вы создали новый криптомап или добавили
> конфигурацию к существующему?
Создавал новый криптомап, так как нужен еще один тунель
> 4. Скрипач... ,пардон, дополнительный маршрут не нужен, если только у вас не
> несколько каналов и вас ждут с определенного IP.
У нас два палинка и именно с этого айпи и юудут ждать

"Cisco ISAKMP IPSEC"
Отправлено Andrey , 16-Дек-15 22:11

>[оверквотинг удален]
>> или это должен быть туннель (GRE or IPIP)с IPSec? Из вашего
>> объяснения складывается впечатление про необходимость криптомапа, но что скажут удаленные
>> админы?
> Тут настроено уже около 5 криптомапов в другую компанию по такому типу
>> 3. Из вашего объяснения не ясно, вы создали новый криптомап или добавили
>> конфигурацию к существующему?
> Создавал новый криптомап, так как нужен еще один тунель
>> 4. Скрипач... ,пардон, дополнительный маршрут не нужен, если только у вас не
>> несколько каналов и вас ждут с определенного IP.
> У нас два палинка и именно с этого айпи и юудут ждать
Давайте с начала.
Криптомап это то, что вешается на интерфейс и определяется в конфигурации как "crypto map <NAME>". В той-же строке идет порядковый номер обработки. При наличии нескольких порядковых номеров криптомап с одним и тем-же <NAME> все равно остается только один.
На один исходящий интерфейс можно повесить только один криптомап.
Вы говорите что у вас 5 криптомапов. Это значит что у вас должно быть 5 внешних интерфейсов и на каждом свой криптомап.
Далее... ТЗ: секция ISAKMP encryption - aes256; hash - sha2. У вас hash почему-то стал sha256. Почему вдруг?

"Cisco ISAKMP IPSEC"
Отправлено drake0103 , 16-Дек-15 23:26

>[оверквотинг удален]
> Давайте с начала.
> Криптомап это то, что вешается на интерфейс и определяется в конфигурации как
> "crypto map <NAME>". В той-же строке идет порядковый номер обработки. При
> наличии нескольких порядковых номеров криптомап с одним и тем-же <NAME> все
> равно остается только один.
> На один исходящий интерфейс можно повесить только один криптомап.
> Вы говорите что у вас 5 криптомапов. Это значит что у вас
> должно быть 5 внешних интерфейсов и на каждом свой криптомап.
> Далее... ТЗ: секция ISAKMP encryption - aes256; hash - sha2. У вас
> hash почему-то стал sha256. Почему вдруг?
Все криптомапы имеют одно название
crypto map MAP_TO_tunnels 1 ipsec-isakmp
description Tunnel to Israel
set peer 178.255
set transform-set PlayTech_trans_set
match address Israel
.....................
crypto map MAP_TO_tunnels 11 ipsec-isakmp
description telbet
set peer 109.202.
set transform-set telebet
match address Telebet
interface GigabitEthernet0/1
.....
crypto map MAP_TO_tunnels
....
end

> Далее... ТЗ: секция ISAKMP encryption - aes256; hash - sha2. У вас
> hash почему-то стал sha256. Почему вдруг?
Выбор только такой был
(config-isakmp)#hash ?
  md5     Message Digest 5
  sha     Secure Hash Standard
  sha256  Secure Hash Standard 2 (256 bit)
  sha384  Secure Hash Standard 2 (384 bit)
  sha512  Secure Hash Standard 2 (512 bit)

Protection suite of priority 5
        encryption algorithm:   AES - Advanced Encryption Standard (256 bit keys).
        hash algorithm:         Secure Hash Standard 2 (256 bit)
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #2 (1024 bit)
        lifetime:               86400 seconds, no volume limit