Jump to content
iT4iT.CLUB
  • entries
    7
  • comments
    0
  • views
    4,675

Роем туннели, бросаем рельсы

Maerhekil

698 views

Соединяем два устройства небезысвестной фирмы через тырнет. Простенько без наворотов.
Ваялось всё на cisco 2911  System Bootstrap, Version 15.0(1r)M16, RELEASE SOFTWARE (fc1).

С лицухами такими:

Technology Package License Information for Module:'c2900' 

-----------------------------------------------------------------
Technology    Technology-package           Technology-package
              Current       Type           Next reboot  
------------------------------------------------------------------
ipbase        ipbasek9      Permanent      ipbasek9
security      securityk9    Permanent      securityk9
uc            None          None           None
data          None          None           None

CISCO № 1

Объявляем политику и описываем её.

  (config)#crypto isakmp policy 1
                   encr aes 256
                   authentication pre-share
                   group 2
                   lifetime 3600

Создаём ключ аутентификации вместе с ключевой строкой

  (config)#crypto isakmp key ОЧЕНЬСЛОЖНЫЙКЛЮЧ address АДРЕСНАЗНАЧЕНИЯ

Настраиваем окно шлюза

  (config)#crypto ipsec security-association replay window-size 128

Настраиваем IPSEC transform set политику

  (config)#crypto ipsec transform-set ИМЯНАШЕЙПОЛИТИКИ esp-aes 256 esp-sha-hmac
                   mode transport require

Обозначаем время жизни

  (config)#crypto isakmp keepalive 10 10

Чистим DF биты для инкапсулированных пакетов

  (config)#crypto ipsec df-bit clear

Ваяем карту, можно идти и другим путём, но я ваяю карту. Такой я упоротый.

  (config)#crypto map ИМЯНАШЕЙКАРТЫ 200 ipsec-isakmp
                   set peer АДРЕСНАЗНАЧЕНИЯ
                   set security-association lifetime seconds 21600
                   set transform-set ИМЯНАШЕЙПОЛИТИКИ
                   set pfs group2
                   match address НОМЕРACCESSЛИСТА

Создаём интерфейс

  (config)#interface Tunnel0
                   ip address 172.16.0.1 255.255.255.252
                   ip virtual-reassembly in
                   ip tcp adjust-mss 1396
                   tunnel source АДРЕСНАШВНЕШНИЙ
                   tunnel mode ipip
                   tunnel destination АДРЕСНАЗНАЧЕНИЯ

Вешаем крипто на внешний интерфейс

  (config)#interface ИМЯВНЕШНЕГОИНТЕРФЕЙСА
                  crypto map ИМЯНАШЕЙКАРТЫ

Создаём лист доступа

  (config)#access-list НОМЕРACCESSЛИСТА permit ip host АДРЕСНАШВНЕШНИЙ host АДРЕСНАЗНАЧЕНИЯ
  (config)#access-list НОМЕРACCESSЛИСТА permit ip host АДРЕСНАЗНАЧЕНИЯ host АДРЕСНАШВНЕШНИЙ

Кидаем рельсы

  (config)#ip route ВНУТРЕННЯЯСЕТЬУДАЛЁННАЯ  МАСКАСЕТИУДАЛЁНОЙ Tunnel0

В принципе всё на первом, ну а на втором делаем эдентичные настройки кроме, естественно, ип адреса на интерфейсе тунеля. Там пишем 172.16.0.2 адресок и радуемся. Если что-то не получилось, предполагаю, что что-то сделано не так как написано тут или сделано кое что ещё.
Надеюсь ничего не забыл и не перепутал, со мной такое бывает. 
Enjoy!



0 Comments


Recommended Comments

There are no comments to display.

Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...