forum.opennet.ru - "vpn ipsec lan-to-lan между draytek 2920 и cisco router 2821" (2)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"vpn ipsec lan-to-lan между draytek 2920 и cisco router 2821"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"vpn ipsec lan-to-lan между draytek 2920 и cisco router 2821"	+/–
Сообщение от chapay (ok) on 24-Авг-12, 15:35
Помогите, не получается настроить Сетки друг друга не видят 192.168.10.0 и 192.168.201.0 ? настроил vpn ipsec lan-to-lan между draytek 2920 и cisco router 2821 (работает) есть 192.168.10.0 - draytek(217.174.xxx.xxx) ------ cisco (195.91.xxx.xxx)-192.168.1.0 нужно чтобы из 192.168.10.0 видна 192.168.201.0 нужно192.168.10.0-draytek(217.174.xxx.xxx) -cisco(195.91.xxx.xxx)-192.168.1.0, 192.168.201.0 на draytek настроил remote network 192.168.201.0/24 и в таблице маршлутизации появился маршрут S~ 192.168.1.0/ 255.255.255.128 via 195.91.xxx.xxx VPN-1 S~ 192.168.201.0/ 255.255.255.0 via 195.91.xxx.xxx VPN-1 crypto isakmp policy 10 encr aes 256 authentication pre-share group 2 crypto isakmp key XXXXXXXXXXXX address 109.188.xxx.xxx crypto isakmp key XXXXXXXXXXXX address 217.174.xxx.xxx crypto ipsec transform-set AES_256_SHA esp-aes 256 esp-sha-hmac mode transport crypto ipsec profile DRAYTEK set transform-set AES_256_SHA set pfs group1 set identity assa crypto map GRE_MAP local-address GigabitEthernet0/1 crypto map GRE_MAP 10 ipsec-isakmp set peer 217.174.xxx.xxx set peer 109.188.xxx.xxx set transform-set AES_256_SHA match address GRE_List interface GigabitEthernet0/0.6 description LAN$ETH-LAN$ encapsulation dot1Q 6 ip address 192.168.1.1 255.255.255.128 ip access-group FROM_LAN in ip flow ingress ip flow egress ip nat inside ip virtual-reassembly ! interface GigabitEthernet0/0.10 description VPN_TO_AVAYA encapsulation dot1Q 10 ip address 192.168.201.10 255.255.255.0 ip access-group FROM_AVAYA in ip virtual-reassembly interface GigabitEthernet0/1 description INTERNET$ETH-WAN$ ip address 195.91.xxx.xxx 255.255.xxx.xxx ip access-group FROM_INET in ip nat outside ip inspect IPFW in ip inspect IPFW out ip ips IPS in ip ips IPS out ip virtual-reassembly duplex full speed 100 crypto map GRE_MAP ip access-list extended GRE_List permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255 permit ip 192.168.201.0 0.0.0.255 192.168.10.0 0.0.0.255 cisco2821_MSK#show crypto session detail Crypto session current status Code: C - IKE Configuration mode, D - Dead Peer Detection K - Keepalives, N - NAT-traversal, X - IKE Extended Authentication Interface: GigabitEthernet0/1 Session status: UP-ACTIVE Peer: 217.174.xxx.xxx port 500 fvrf: (none) ivrf: (none) Phase1_id: 217.174.xxx.xxx Desc: (none) IKE SA: local 195.91.xxx.xxx/500 remote 217.174.183.xxx/500 Active Capabilities:(none) connid:4423 lifetime:07:46:13 IPSEC FLOW: permit ip 192.168.1.0/255.255.255.128 192.168.10.0/255.255.255.0 Active SAs: 2, origin: crypto map Inbound: #pkts dec'ed 858009 drop 22048 life (KB/Sec) 4399755/2773 Outbound: #pkts enc'ed 898431 drop 0 life (KB/Sec) 4399778/2773 IPSEC FLOW: permit ip 192.168.201.0/255.255.255.0 192.168.10.0/255.255.255.0 Active SAs: 0, origin: crypto map Inbound: #pkts dec'ed 0 drop 0 life (KB/Sec) 0/0 Outbound: #pkts enc'ed 0 drop 159 life (KB/Sec) 0/0 IPSEC FLOW: permit ip 192.168.1.0/255.255.255.0 192.168.10.0/255.255.255.0 Active SAs: 0, origin: crypto map Inbound: #pkts dec'ed 0 drop 0 life (KB/Sec) 0/0 Outbound: #pkts enc'ed 0 drop 8 life (KB/Sec) 0/0
Ответить \| Правка \| Cообщить модератору

Оглавление

vpn ipsec lan-to-lan между draytek 2920 и cisco router 2821, smirnovp, 11:41 , 28-Авг-12, (1)

vpn ipsec lan-to-lan между draytek 2920 и cisco router 2821, chapay, 10:00 , 29-Авг-12, (2)

Сообщения по теме [Сортировка по времени | RSS]

1. "vpn ipsec lan-to-lan между draytek 2920 и cisco router 2821" +/–

Сообщение от smirnovp (ok) on 28-Авг-12, 11:41

> crypto isakmp policy 10
>  encr aes 256
>  authentication pre-share
>  group 2
> crypto ipsec profile DRAYTEK
>  set transform-set AES_256_SHA
>  set pfs group1
>  set identity assa
Между Draytek и Cisco туннель не поднимал, но полагаю что group должен быть и там и там одинаковый.
> crypto map GRE_MAP local-address GigabitEthernet0/1
> crypto map GRE_MAP 10 ipsec-isakmp
>  set peer 217.174.xxx.xxx
>  set peer 109.188.xxx.xxx
>  set transform-set AES_256_SHA
>  match address GRE_List
> ip access-list extended GRE_List
>  permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
>  permit ip 192.168.201.0 0.0.0.255 192.168.10.0 0.0.0.255
Попробуй разделить crypto map на 2 части, как то так:
crypto map GRE_MAP local-address GigabitEthernet0/1
crypto map GRE_MAP 10 ipsec-isakmp
  set peer 217.174.xxx.xxx
  set transform-set AES_256_SHA
  match address GRE_List
crypto map GRE_MAP 20 ipsec-isakmp
  set peer 217.174.xxx.xxx
  set peer 109.188.xxx.xxx
  set transform-set AES_256_SHA
  match address GRE_List1
И access-lists сделать тоже отдельными.
Также не вижу роутинга на cisco может в нем что-то.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "vpn ipsec lan-to-lan между draytek 2920 и cisco router 2821" +/–

Сообщение от chapay (ok) on 29-Авг-12, 10:00

>> crypto ipsec profile DRAYTEK
>>  set transform-set AES_256_SHA
>>  set pfs group1
>>  set identity assa
Сори это мусор (от эксперименов остался).
Разобрался.
На циске все правельно настроил, надо на драйтеке настраивать еще lan-to-lan profiles для сети 192.168.201.0. Итого на драйтеке настраиваются два профиля Lan-to-lan для remote подсетей 192.168.1.0 и 192.168.201.0.
Всем спасибо.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "vpn ipsec lan-to-lan между draytek 2920 и cisco router 2821"	+/–
Сообщение от smirnovp (ok) on 28-Авг-12, 11:41
> crypto isakmp policy 10 > encr aes 256 > authentication pre-share > group 2 > crypto ipsec profile DRAYTEK > set transform-set AES_256_SHA > set pfs group1 > set identity assa Между Draytek и Cisco туннель не поднимал, но полагаю что group должен быть и там и там одинаковый. > crypto map GRE_MAP local-address GigabitEthernet0/1 > crypto map GRE_MAP 10 ipsec-isakmp > set peer 217.174.xxx.xxx > set peer 109.188.xxx.xxx > set transform-set AES_256_SHA > match address GRE_List > ip access-list extended GRE_List > permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255 > permit ip 192.168.201.0 0.0.0.255 192.168.10.0 0.0.0.255 Попробуй разделить crypto map на 2 части, как то так: crypto map GRE_MAP local-address GigabitEthernet0/1 crypto map GRE_MAP 10 ipsec-isakmp set peer 217.174.xxx.xxx set transform-set AES_256_SHA match address GRE_List crypto map GRE_MAP 20 ipsec-isakmp set peer 217.174.xxx.xxx set peer 109.188.xxx.xxx set transform-set AES_256_SHA match address GRE_List1 И access-lists сделать тоже отдельными. Также не вижу роутинга на cisco может в нем что-то.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "vpn ipsec lan-to-lan между draytek 2920 и cisco router 2821"	+/–
	Сообщение от chapay (ok) on 29-Авг-12, 10:00
	>> crypto ipsec profile DRAYTEK >> set transform-set AES_256_SHA >> set pfs group1 >> set identity assa Сори это мусор (от эксперименов остался). Разобрался. На циске все правельно настроил, надо на драйтеке настраивать еще lan-to-lan profiles для сети 192.168.201.0. Итого на драйтеке настраиваются два профиля Lan-to-lan для remote подсетей 192.168.1.0 и 192.168.201.0. Всем спасибо.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору