URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16674
[ Назад ]

Исходное сообщение
"ipsec-isakmp внутри gre тоннелья"
Отправлено Аноним , 08-Июл-08 07:44

между двумя цисками прокинут gre - туннель.
Хочу трафик внктри его зашиaровать, но так, чтобы ВЕСЬ трафик
включая isakmp прошел ВНУТРИ тоннеля. нужно это потому, что gre тоннель
прокинут через NAT к которому я не имею доступа (и прокинуть 500порт или
еще чтото кроме GRE немогу).

crypto keyring 10
  pre-shared-key address 192.168.27.2 key test
!
crypto isakmp policy 1
authentication pre-share
group 2
lifetime 3600
crypto isakmp profile 10
   keyring 10
   match identity address 192.168.27.2 255.255.255.255
   local-address 192.168.27.1
!
!
crypto ipsec transform-set 10 esp-des esp-md5-hmac
!
crypto ipsec profile 10
set transform-set 10
set pfs group2
set isakmp-profile 10
!
!
crypto map 10 local-address Tunnel10
crypto map 10 1 ipsec-isakmp
set peer 192.168.27.2
set transform-set 10
set pfs group2
set isakmp-profile 10
match address 100
!
interface Tunnel10
ip address 192.168.27.1 255.255.255.252
tunnel source FastEthernet0/1
tunnel destination XXXXXXXXXX
crypto map 10
!
ip route 192.168.25.0 255.255.255.0 192.168.27.2
!
access-list 100 permit ip 10.65.2.0 0.0.0.255 192.168.25.0 0.0.0.255
!
на второй циске симметрично.
не работает.
смотрю проходящий трафик и вижу - isakmp обмен идет не между адрсами туннеля (192.168.27.1\192.168.27.2), что былобы ИМХО логично, а между адресом FastEthernet 0/1
с одной стороны и адресом тонеля 192.168.27.2 (в обратную сторону аналогично). При этом он естественно в тоннель не попадает, до другой стороны не доходит и шифрование не устанавливается.
Что делать то?

Содержание

ipsec-isakmp внутри gre тоннелья,Изгой, 11:43 , 08-Июл-08
ipsec-isakmp внутри gre тоннеля - это просто :),piavik, 20:55 , 11-Июл-08

Сообщения в этом обсуждении

"ipsec-isakmp внутри gre тоннелья"
Отправлено Изгой , 08-Июл-08 11:43

>[оверквотинг удален]
>не работает.
>
>смотрю проходящий трафик и вижу - isakmp обмен идет не между адрсами
>туннеля (192.168.27.1\192.168.27.2), что былобы ИМХО логично, а между адресом FastEthernet 0/1
>
>с одной стороны и адресом тонеля 192.168.27.2 (в обратную сторону аналогично). При
>этом он естественно в тоннель не попадает, до другой стороны не
>доходит и шифрование не устанавливается.
>
>Что делать то?
А если сделать ipsec поинт ту поинт , приватные сети пустить в обход натов и шифровать их без гре, всё очень нормально и красиво без заковырок ??

"ipsec-isakmp внутри gre тоннеля - это просто :)"
Отправлено piavik , 11-Июл-08 20:55

>между двумя цисками прокинут gre - туннель.
>
>Хочу трафик внктри его зашиaровать, но так, чтобы ВЕСЬ трафик
>включая isakmp прошел ВНУТРИ тоннеля. нужно это потому, что gre тоннель
>прокинут через NAT к которому я не имею доступа (и прокинуть 500порт
>или
>еще чтото кроме GRE немогу).
Намучено у тебя по самые нехочу :)
Тебе надо так:
crypto isakmp key test address 192.168.27.2
(если хочешь - можешь вместо этого использовать crypto keyring)
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto ipsec transform-set CRYPT esp-des esp-md5-hmac
crypto ipsec profile CRYPTOPROFILE
set transform-set CRYPT
interface Tunnel XX
ip address 192.168.27.1 255.255.255.252
tunnel source (ip адрес source интерфейса)
tunnel destination (ip адрес destination интерфейса)
tunnel mode ipsec ipv4
tunnel protection ipsec profile CRYPTOPROFILE
Криптомапу делать не нужно - она создастся автоматически.
Соответственно аксес-листов тоже не нужно - будет криптоваться весь траффик, проходящий через туннель.
В качестве tunnel source лучше использовать IP адрес, покольку при указании интерфейса бывают грабли.
Если нужен постоянный коннект - поставь keepalives на туннелях.
Не забудь RSA ключи сгенерировать, если их нету (проверить: sh cry key my rsa).
Вроде все.
Пробуй.