https://www.opennet.me/openforum/vsluhforumID6/22972.html Добрый день, господа, подскажите такой момент.<br>есть cisco 1800, на ней поднят впн-канал к другой организации.<br>необходимо вместо этой циско поствить juniper srx.<br>вопрос собственно вот в чем - помогите перевести конфиг циски на жунипер, т.к. с жунипером опыт маленький, практически никакой.<br>пользовался этой докой: http://www.marfitsin.ru/index.php/articles/11-vpn/12-ciscojunipervpn<br>не получилось, потом дошло, что в ней описан другой метод организации впн.<br>ниже конфиг циски:<br><br>crypto pki trustpoint TP-self-signed-4084259508<br> enrollment selfsigned<br> subject-name cn=IOS-Self-Signed-Certificate-4084259508<br> revocation-check none<br> rsakeypair TP-self-signed-4084259508<br>!<br>!<br>crypto pki certificate chain TP-self-signed-4084259508<br> certificate self-signed 01<br> 3082024B 308201B4 A0030201 02020101 300D0609 2A864886 F70D0101 04050030<br> 31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274<br> 69666963 6174652D 34303834 32353935 3038301E 170D3032 30333036 30303434<br> 35385A17 0D323030 31303130 3 https://www.opennet.me/openforum/vsluhforumID6/22972.html#8 Mon, 15 Aug 2011 05:03:58 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; на внешнем (интернет) интерфейсе добавьте crypto map clientmap <br>&gt;&gt;&gt;&gt; ну и ключ соединения пропишите для адреса нашего пира.<br>&gt;&gt;&gt;&gt; пожалуй и все.<br>&gt;&gt;&gt;&gt; я смогу это настроить на жунипере?<br>&gt;&gt;&gt; сможете <br>&gt;&gt; еще раз Добрый день. с полпинка не получилось у меня.<br>&gt;&gt; мы можем связаться, что бы Вы оказали помощь? Естественно не безвозмездно.<br>&gt; какие модели роутеров и версии ос на них? я так понял Вам <br>&gt; предложили сделать не gre over ipsec, а lan-to-lan ipsec без туннелирования. <br>&gt; Напишите аську, я Вам стукну завтра <br><br>316862<br>Жду от вас сообщения<br> https://www.opennet.me/openforum/vsluhforumID6/22972.html#7 Sun, 14 Aug 2011 17:42:37 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; match address ipsec_adresa <br>&gt;&gt;&gt; ip access-li ex ipsec_adresa <br>&gt;&gt;&gt; ваше локальное адрессное пространство - наше локальное адрессное пространство.<br>&gt;&gt;&gt; на внешнем (интернет) интерфейсе добавьте crypto map clientmap <br>&gt;&gt;&gt; ну и ключ соединения пропишите для адреса нашего пира.<br>&gt;&gt;&gt; пожалуй и все.<br>&gt;&gt;&gt; я смогу это настроить на жунипере?<br>&gt;&gt; сможете <br>&gt; еще раз Добрый день. с полпинка не получилось у меня.<br>&gt; мы можем связаться, что бы Вы оказали помощь? Естественно не безвозмездно.<br><br>какие модели роутеров и версии ос на них? я так понял Вам предложили сделать не gre over ipsec, а lan-to-lan ipsec без туннелирования. Напишите аську, я Вам стукну завтра<br> https://www.opennet.me/openforum/vsluhforumID6/22972.html#6 Sun, 14 Aug 2011 07:03:21 GMT &gt;[оверквотинг удален]<br>&gt;&gt; set transform-set maks <br>&gt;&gt; set pfs group2 <br>&gt;&gt; match address ipsec_adresa <br>&gt;&gt; ip access-li ex ipsec_adresa <br>&gt;&gt; ваше локальное адрессное пространство - наше локальное адрессное пространство.<br>&gt;&gt; на внешнем (интернет) интерфейсе добавьте crypto map clientmap <br>&gt;&gt; ну и ключ соединения пропишите для адреса нашего пира.<br>&gt;&gt; пожалуй и все.<br>&gt;&gt; я смогу это настроить на жунипере?<br>&gt; сможете <br><br>еще раз Добрый день. с полпинка не получилось у меня. <br>мы можем связаться, что бы Вы оказали помощь? Естественно не безвозмездно.<br><br> https://www.opennet.me/openforum/vsluhforumID6/22972.html#5 Fri, 12 Aug 2011 09:45:05 GMT &gt;[оверквотинг удален]<br>&gt; set peer &lt;remote_ip&gt; <br>&gt; set transform-set maks <br>&gt; set pfs group2 <br>&gt; match address ipsec_adresa <br>&gt; ip access-li ex ipsec_adresa <br>&gt; ваше локальное адрессное пространство - наше локальное адрессное пространство.<br>&gt; на внешнем (интернет) интерфейсе добавьте crypto map clientmap <br>&gt; ну и ключ соединения пропишите для адреса нашего пира.<br>&gt; пожалуй и все.<br>&gt; я смогу это настроить на жунипере?<br><br>сможете<br> https://www.opennet.me/openforum/vsluhforumID6/22972.html#4 Fri, 12 Aug 2011 09:39:21 GMT &gt;&gt;&gt; В статье рассмотрен пример с обычным GRE тунелем, а у вас DMVPN.<br>&gt;&gt;&gt; Или переделайте на циско в обычный GRE если не критично или <br>&gt;&gt;&gt; конфигурите DMVPN = VPN+NHTB on juniper.<br>&gt;&gt;&gt; http://kb.juniper.net/kb/documents/public/junos_es/JUNOS_ES_Multipoint_VPN_with_NHTB.pdf <br>&gt;&gt; только с моей стороны возможно перешить на gre не трогая впн сервер <br>&gt;&gt; организации, на которую я цепляюсь?<br>&gt; DMVMP, используемый у вас - по сути проприетарная технология циски. Оч сомневаюсь, <br>&gt; что на джунипере что то сделаете.<br>&gt; Пробуйте поднять обычный p2p gre с вашим хабом. Естейственно потребует донастройки последнего. <br><br>Еще раз приветствую. <br>организация пошла на встречу, предложила перейти на чистый ipsec.<br>вот что предложила изменить на циске:<br>примерно вот что добавится:<br>crypto map clientmap 21 ipsec-isakmp <br> <br> set peer &lt;remote_ip&gt;<br> set transform-set maks <br> set pfs group2<br> match address ipsec_adresa<br><br>ip access-li ex ipsec_adresa<br>ваше локальное адрессное пространство - наше локальное адрессное пространство.<br><br> https://www.opennet.me/openforum/vsluhforumID6/22972.html#3 Thu, 11 Aug 2011 08:28:12 GMT &gt;&gt; В статье рассмотрен пример с обычным GRE тунелем, а у вас DMVPN.<br>&gt;&gt; Или переделайте на циско в обычный GRE если не критично или <br>&gt;&gt; конфигурите DMVPN = VPN+NHTB on juniper.<br>&gt;&gt; http://kb.juniper.net/kb/documents/public/junos_es/JUNOS_ES_Multipoint_VPN_with_NHTB.pdf <br>&gt; только с моей стороны возможно перешить на gre не трогая впн сервер <br>&gt; организации, на которую я цепляюсь?<br><br>DMVMP, используемый у вас - по сути проприетарная технология циски. Оч сомневаюсь, что на джунипере что то сделаете. <br> <br>Пробуйте поднять обычный p2p gre с вашим хабом. Естейственно потребует донастройки последнего.<br> https://www.opennet.me/openforum/vsluhforumID6/22972.html#2 Thu, 11 Aug 2011 07:55:49 GMT &gt; В статье рассмотрен пример с обычным GRE тунелем, а у вас DMVPN. <br>&gt; Или переделайте на циско в обычный GRE если не критично или <br>&gt; конфигурите DMVPN = VPN+NHTB on juniper.<br>&gt; http://kb.juniper.net/kb/documents/public/junos_es/JUNOS_ES_Multipoint_VPN_with_NHTB.pdf <br><br>только с моей стороны возможно перешить на gre не трогая впн сервер организации, на которую я цепляюсь?<br> https://www.opennet.me/openforum/vsluhforumID6/22972.html#1 Wed, 10 Aug 2011 14:19:28 GMT В статье рассмотрен пример с обычным GRE тунелем, а у вас DMVPN. Или переделайте на циско в обычный GRE если не критично или конфигурите DMVPN = VPN+NHTB on juniper.<br><br>http://kb.juniper.net/kb/documents/public/junos_es/JUNOS_ES_Multipoint_VPN_with_NHTB.pdf<br>