Уважаемые! Есть 1760, 1 IP реальный, 1 - левый. И есть FreeBSD с аналогичными интефейсами. Как заставить циску шифровать весь трафик между ней и фрихой не уточняя приватных сетей? Шифровать трафик из одной приватной сети в другую - без проблем, шифровать весь трафик между 2 фрихами - тоже без проблем, а вот циска-фриха - никак...

• IPSEC-шифрование трафика циски ,Corhaid, 02:07 , 21-Июн-04
  • IPSEC-шифрование трафика циски ,andrew, 17:06 , 21-Июн-04
    • IPSEC-шифрование трафика циски ,Skiv, 18:21 , 21-Июн-04
      • IPSEC-шифрование трафика циски ,andrew, 17:41 , 22-Июн-04
        • IPSEC-шифрование трафика циски ,Corhaid, 01:42 , 23-Июн-04
          • IPSEC-шифрование трафика циски ,andrew, 09:20 , 23-Июн-04
            • IPSEC-шифрование трафика циски ,andrew, 09:22 , 23-Июн-04
            • IPSEC-шифрование трафика циски ,Corhaid, 09:33 , 23-Июн-04
            • IPSEC-шифрование трафика циски ,ВОЛКА, 11:20 , 23-Июн-04
              • IPSEC-шифрование трафика циски ,andrew, 12:05 , 23-Июн-04
                • IPSEC-шифрование трафика циски ,ВОЛКА, 12:17 , 23-Июн-04
                • IPSEC-шифрование трафика циски ,andrew, 12:52 , 23-Июн-04
                  • IPSEC-шифрование трафика циски ,andrew, 11:52 , 30-Июн-04
                    • IPSEC-шифрование трафика циски ,Corhaid, 01:49 , 01-Июл-04

>Уважаемые! Есть 1760, 1 IP реальный, 1 - левый. И есть FreeBSD
>с аналогичными интефейсами. Как заставить циску шифровать весь трафик между ней
>и фрихой не уточняя приватных сетей? Шифровать трафик из одной приватной
>сети в другую - без проблем, шифровать весь трафик между 2
>фрихами - тоже без проблем, а вот циска-фриха - никак...

Идеология IPSec на сиске такова, что шифруются только явно указанные сети. Решение - строить GRE Tunnel  и шифровать его целиком.

>>Уважаемые! Есть 1760, 1 IP реальный, 1 - левый. И есть FreeBSD
>>с аналогичными интефейсами. Как заставить циску шифровать весь трафик между ней
>>и фрихой не уточняя приватных сетей? Шифровать трафик из одной приватной
>>сети в другую - без проблем, шифровать весь трафик между 2
>>фрихами - тоже без проблем, а вот циска-фриха - никак...
>
>Идеология IPSec на сиске такова, что шифруются только явно указанные сети. Решение
>- строить GRE Tunnel  и шифровать его целиком.
А не встречал ли кто примеров настройки шифрованного gre-туннеля?

>>>Уважаемые! Есть 1760, 1 IP реальный, 1 - левый. И есть FreeBSD
>>>с аналогичными интефейсами. Как заставить циску шифровать весь трафик между ней
>>>и фрихой не уточняя приватных сетей? Шифровать трафик из одной приватной
>>>сети в другую - без проблем, шифровать весь трафик между 2
>>>фрихами - тоже без проблем, а вот циска-фриха - никак...
>>
>>Идеология IPSec на сиске такова, что шифруются только явно указанные сети. Решение
>>- строить GRE Tunnel  и шифровать его целиком.
>А не встречал ли кто примеров настройки шифрованного gre-туннеля?

что то вроде этого (там IPX - просто удали все что про него)
http://www.cisco.com/en/US/tech/tk827/tk369/technologies_con...

Поднял GRE-туннел - те же грабли, вид сбоку...
из подсетки в подсетку шифрует, а ping с циски на фриху идет мимо туннеля.
роутинг ip route 0.0.0.0 0.0.0.0 tunnel0. Где копать?

>Поднял GRE-туннел - те же грабли, вид сбоку...
>из подсетки в подсетку шифрует, а ping с циски на фриху идет
>мимо туннеля.
>роутинг ip route 0.0.0.0 0.0.0.0 tunnel0. Где копать?

Ну конфигу попрошу в студию, для начала сиськину.

>>Поднял GRE-туннел - те же грабли, вид сбоку...
>>из подсетки в подсетку шифрует, а ping с циски на фриху идет
>>мимо туннеля.
>>роутинг ip route 0.0.0.0 0.0.0.0 tunnel0. Где копать?
>
>Ну конфигу попрошу в студию, для начала сиськину.

crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
crypto isakmp key 123456 address IP_PUB_CISCO
!
!
crypto ipsec transform-set fgs esp-3des esp-md5-hmac
!
crypto map fgm local-address FastEth0/0
crypto map fgm local-address Loopb0
crypto map fgm local-address Tunnel0
crypto map fgm 1 ipsec-isakmp
set peer IP_PUB_BSD
set transform-set fgs
set pfs group2
match address 100
!
!
!
interface Tunnel0
ip address IP_TUN_1 255.255.255.252
  tunnel source IP_PUB_CISCO
tunnel destination IP_PUB_BSD
crypto map fgm
!
interface Ethernet0/0
description local
ip address IP_LOCAL 255.255.255.0
!
interface FastEthernet0/0
ip address IP_PUB_CISCO 255.255.255.0
crypto map fgm
!

ip route 0.0.0.0 0.0.0.0 tun0
access-list 100 permit gre host 172.20.25.20 host 172.20.25.21

Малость ошибся - Access-list выглядит так:
access-list 100 permit gre host IP_PUB_CISCO host IP_PUB_BSD

>crypto isakmp key 123456 address IP_PUB_CISCO
Здесь должен быть ключ удаленного адреса. т.е. должен быть БСДшный адрес.

>crypto map fgm local-address FastEth0/0
>crypto map fgm local-address Loopb0
>crypto map fgm local-address Tunnel0
Обычно ничего этого не пишу. И все тип-топ

> interface Tunnel0
> ip address IP_TUN_1 255.255.255.252
>  tunnel source IP_PUB_CISCO
> tunnel destination IP_PUB_BSD
> crypto map fgm

Если версия ИОС 12.3 то крипто-мапа на туннеле не нужна 100%. И в 12.2 у меня на 12.2(23) и выше без нее все работает.

>ip route 0.0.0.0 0.0.0.0 tun0

Можно попробовать заменить тун0 на ИП адрес выхода из туннеля.

а на циске других роутов больше нет??

IOS Version 12.2(15)T9
без крипто-мапа туннель вааще не поднимается
других маршрутов нет, кроме ip route 0.0.0.0 0.0.0.0 tun0
(пытался ставить вместо tun0 ip фришного конца туннеля - монопенисуально)
когда пингуешь фриху с циски tcpdump пишет
cisco_pub_ip > bsd_pub_ip: icmp: echo request
и пинг не проходит (явно идет мимо туннеля)
а вот када пингуешь циску с фрихи - пинги лезут в туннель, но циска не отзывается:
bsd_pub_ip > cisco_pub_ip: ESP(spi=0x8f376f05,seq=0x18
bsd_pub_ip > cisco_pub_ip: ESP(spi=0x8f376f05,seq=0x19
а весь трафик из локальных сетей уходит в туннель нормально
cisco_pub_ip > bsd_pub_ip : ESP(spi=0x0b111d17,seq=0x19)
bsd_pub_ip > cisco_pub_ip : ESP(spi=0x8f376f05,seq=0x27)
То ли какая то хрень с access-list, то ли c роутингом...

надо прописать еще маршрут на другой конец тунеля....

>IOS Version 12.2(15)T9
>без крипто-мапа туннель вааще не поднимается
>других маршрутов нет, кроме ip route 0.0.0.0 0.0.0.0 tun0
>(пытался ставить вместо tun0 ip фришного конца туннеля - монопенисуально)
>когда пингуешь фриху с циски tcpdump пишет
> cisco_pub_ip > bsd_pub_ip: icmp: echo request
>и пинг не проходит (явно идет мимо туннеля)
>а вот када пингуешь циску с фрихи - пинги лезут в туннель,
>но циска не отзывается:
> bsd_pub_ip > cisco_pub_ip: ESP(spi=0x8f376f05,seq=0x18
> bsd_pub_ip > cisco_pub_ip: ESP(spi=0x8f376f05,seq=0x19
>а весь трафик из локальных сетей уходит в туннель нормально
> cisco_pub_ip > bsd_pub_ip : ESP(spi=0x0b111d17,seq=0x19)
> bsd_pub_ip > cisco_pub_ip : ESP(spi=0x8f376f05,seq=0x27)
>То ли какая то хрень с access-list, то ли c роутингом...

нашел беду -
надо access-list 100 permit ip host cisco_pub_ip host bsd_pub_ip
а было
надо access-list 100 permit gre host cisco_pub_ip host bsd_pub_ip

А вот еще вопрос: Если вместо интерфейса FastEth0/0 использовать
interface Serial0
physical-layer async
ip address cisco_pub_ip 255.255.255.252
encapsulation ppp
как в этом случае поднять туннель?
как делать сrypto map на cisco_pub_ip?

>А вот еще вопрос: Если вместо интерфейса FastEth0/0 использовать
>interface Serial0
> physical-layer async
> ip address cisco_pub_ip 255.255.255.252
> encapsulation ppp
>как в этом случае поднять туннель?
>как делать сrypto map на cisco_pub_ip?

По идее все должно быть так же. Но я сам не пробовал именно в таком виде - у меня на РРР асинках нигде нету IPSec, только старый Cisco`вский CET. Но на синхронном РРР все работает без проблемм.