https://slinkov.ru/openforum/vsluhforumID6/21534.html Помогите настроить Шифрованную сеть между двумя офисами на Cisco 851<br><br>Имеется:<br>2 Cisco 851;<br>2 статичных IP на одном провайдере.<br><br>Нужно сделать между ними шифрованный канал.<br>Короче говоря нужна локальная сеть между двумя офисами, которая будет защищенной.<br><br>В силу отсутствия опыта, практики, знаний. Прошу помощи.<br><br>Нашел вот этот пример. Но не знаю подойдет ли мне.<br>http://www.opennet.ru/openforum/vsluhforumID6/19829.html<br> https://slinkov.ru/openforum/vsluhforumID6/21534.html#19 Tue, 07 Sep 2010 19:03:29 GMT это вполне рабочий пример ) <br>попробуй сгенерировать ключ и посмотри что будет!<br> https://slinkov.ru/openforum/vsluhforumID6/21534.html#18 Mon, 06 Sep 2010 08:54:08 GMT &gt;[оверквотинг удален]<br>&gt;crypto key gener rsa и поставь длину ключа 1024. <br>&gt;Так же предлагаю тебе добавить следующее <br>&gt;<br>&gt;crypto isakmp policy 10 <br>&gt; encr 3des <br>&gt; hash md5 <br>&gt;<br>&gt;и покажи вывод команд <br>&gt;show cry isa sa <br>&gt;sho cry ipsec sa <br><br>Ничего не генерировал. Я делал в точности как по ссылке дана статья.<br>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080094634.shtml<br>Я думал тут полный-рабочий пример.<br><br> https://slinkov.ru/openforum/vsluhforumID6/21534.html#17 Mon, 06 Sep 2010 07:23:25 GMT А ты ключ сгенерировал ?<br><br>crypto key gener rsa и поставь длину ключа 1024.<br>Так же предлагаю тебе добавить следующее<br><br>crypto isakmp policy 10<br> encr 3des<br> hash md5<br><br>и покажи вывод команд<br>show cry isa sa<br>sho cry ipsec sa <br> https://slinkov.ru/openforum/vsluhforumID6/21534.html#16 Mon, 06 Sep 2010 06:11:12 GMT [b]Конфиг первого роутера[/b]<br>[code]<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>no service password-encryption<br>!<br>hostname R2<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>!<br>no aaa new-model<br>!<br>resource policy<br>!<br>clock timezone EST 0<br>ip subnet-zero<br>no ip domain lookup<br>!<br>!<br>crypto isakmp policy 10<br> authentication pre-share<br>!<br>crypto isakmp key ciscokey address 200.1.1.1<br>!<br>!<br>crypto ipsec transform-set myset esp-3des esp-md5-hmac <br>!<br>crypto map myvpn 10 ipsec-isakmp <br> set peer 200.1.1.1<br> set transform-set myset<br><br>!--- Include the private-network-to-private-network traffic<br>!--- in the encryption process:<br><br>match address 101<br>!<br>!<br>!<br>interface FastEthernet4<br> ip address 100.1.1.1 255.255.255.0<br> ip nat inside<br> ip virtual-reassembly<br>!<br>interface Vlan1<br> ip address 172.16.1.1 255.255.255.0<br> ip nat outside<br> ip virtual-reassembly<br> crypto map myvpn<br>!<br>ip classless<br>ip route 0.0.0.0 0.0.0.0 100.1.1.254<br>!<br>ip http server<br>no ip http secure-server<br>!<br><br>!--- Exc https://slinkov.ru/openforum/vsluhforumID6/21534.html#15 Fri, 03 Sep 2010 12:14:59 GMT &gt;&gt;к стати не вижу настроек пользователя . <br>&gt;&gt;<br>&gt;&gt;username &lt;имя пользователя&gt; privilege 15 password &lt;пароль&gt; .<br><br>Кстати. Сюда я привел код не show run<br>А просто кусок конфига, что вбивал сам руками. <br> https://slinkov.ru/openforum/vsluhforumID6/21534.html#14 Fri, 03 Sep 2010 11:59:46 GMT &gt;[оверквотинг удален]<br>&gt;Я работаю через SecureCRT на COM1 цепляюсь :-) <br>&gt;<br>&gt;Сейчас попробую <br>&gt;<br>&gt;&gt;к стати не вижу настроек пользователя . <br>&gt;&gt;<br>&gt;&gt;username &lt;имя пользователя&gt; privilege 15 password &lt;пароль&gt; .<br>&gt;<br>&gt;А я его настраивал при первом подключении к роутеру через Cisco Configuration <br>&gt;Professional <br><br>тогда не забудь добавить <br><br>line vty 0 4 <br>login local<br>privilege level 15<br>no password<br> https://slinkov.ru/openforum/vsluhforumID6/21534.html#13 Fri, 03 Sep 2010 11:55:13 GMT &gt;попробуй telnet. GUI это хорошо, но командная строка более функциональна. советую через <br>&gt;неё работать. <br>&gt;А так попробуй разрешить HTTPS <br>&gt;<br>&gt;ip http secure-server <br>&gt;<br><br>Я работаю через SecureCRT на COM1 цепляюсь :-)<br><br>Сейчас попробую<br><br>&gt;к стати не вижу настроек пользователя . <br>&gt;<br>&gt;username &lt;имя пользователя&gt; privilege 15 password &lt;пароль&gt; .<br><br>А я его настраивал при первом подключении к роутеру через Cisco Configuration Professional<br> https://slinkov.ru/openforum/vsluhforumID6/21534.html#12 Fri, 03 Sep 2010 11:49:45 GMT &gt;[оверквотинг удален]<br>&gt;control-plane <br>&gt;! <br>&gt;! <br>&gt;line con 0 <br>&gt; exec-timeout 0 0 <br>&gt;line aux 0 <br>&gt;line vty 0 4 <br>&gt; login <br>&gt;! <br>&gt;end <br><br>попробуй telnet. GUI это хорошо, но командная строка более функциональна. советую через неё работать. <br>А так попробуй разрешить HTTPS<br><br>ip http secure-server<br><br>к стати не вижу настроек пользователя . <br><br>username &lt;имя пользователя&gt; privilege 15 password &lt;пароль&gt; .<br> https://slinkov.ru/openforum/vsluhforumID6/21534.html#11 Fri, 03 Sep 2010 11:44:13 GMT Попробовал я сделать конфиг по образу той ссылки.<br><br>Вот что у меня получилось.<br>Итог.<br>Пинги идут на локальный ip роутера а через Cisco Configuration Professional не могу зайти на него. Только через консоль.<br><br>hostname C1<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>!<br>no aaa new-model<br>!<br>resource policy<br>!<br>clock timezone EST 0<br>ip subnet-zero<br>no ip domain lookup<br>!<br>!<br>crypto isakmp policy 10<br> authentication pre-share<br>!<br>crypto isakmp key ciscokey address 55.55.55.50<br>!<br>!<br>crypto ipsec transform-set myset esp-3des esp-md5-hmac <br>!<br>crypto map myvpn 10 ipsec-isakmp <br> set peer 55.55.55.50<br> set transform-set myset<br><br>network traffic<br><br>match address 101<br>!<br>!<br>interface Vlan1<br> ip address 10.10.10.1 255.255.255.0<br> ip nat inside<br> ip virtual-reassembly<br>!<br>interface FastEthernet4<br> ip address 55.55.55.51 255.255.255.0<br> ip nat outside<br> ip virtual-reassembly<br> crypto map myvpn<br>!<br>ip classless<br>ip route 0.0.0.0 0.0.0.0 55.55.55.254<br>!<br>ip http server<br>no ip http secure-server<br>!<br><br>ip nat inside source