1

Тема: Cisco 1841 IPSEC VPN и routing

Есть следующая схема.

http://unix-forum.ru/misc.php?action=pu … mp;preview

Клиентский сервер в инете (windows 2003 , у которого внутренний IP 192.168.115.5)
На нем уже настроен IPSEC. Соединение в принципе создается.

Он должен соединиться с Cisco 1841 на которой настроен IPSEC (172.17.100.254).
Соединяется.

router#sh crypto session
Crypto session current status

Interface: FastEthernet0/0
Session status: UP-IDLE
Peer: xxx.xxx.xx.xx port 500
  IKE SA: local yyy.yyy.yyy.yyy/500 remote xxx.xxx.xx.xx/500 Active
  IPSEC FLOW: permit ip 172.17.100.0/255.255.255.0 192.168.115.0/255.255.255.0
        Active SAs: 0, origin: crypto map

За этой 1841 находится еще один сервер (Windows 2003 172.17.100.20)

Но вот проблема. Из первой, пинг не проходит.
По идее нужно добавить роутинг в первой windows.
Добавили. См. вложение. Потом добавили еще роутинг в циске

ip route 192.168.115.0 255.255.255.0 172.17.100.20

Все равно не идет.
Что делать и как быть?

Post's attachments

20140619_203434.jpg 631.57 kb, 2 downloads since 2014-06-19 

ip-routing-windows-2003.png
ip-routing-windows-2003.png 28.46 kb, file has never been downloaded. 

ping-ipsec-none.png
ping-ipsec-none.png 27.11 kb, file has never been downloaded. 

You don't have the permssions to download the attachments of this post.

2

Re: Cisco 1841 IPSEC VPN и routing

router#sh crypto session details
Crypto session current status

Interface: FastEthernet0/0
Session status: UP-IDLE
Peer: xxx.xxx.xx.xx port 500 fvrf: (none) ivrf: (none)
      Phase1_id: xxx.xxx.xx.xx
      Desc: (none)
  IKE SA: local yyy.yyy.yyy.yyy/500 remote xxx.xxx.xx.xx/500 Active
          Capabilities:(none) connid:2148 lifetime:07:24:06
  IPSEC FLOW: permit ip 172.17.100.0/255.255.255.0 192.168.115.0/255.255.255.0
        Active SAs: 0, origin: crypto map
        Inbound:  #pkts dec'ed 0 drop 0 life (KB/Sec) 0/0
        Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 0/0

Трафик не идет

3

Re: Cisco 1841 IPSEC VPN и routing

ip route 192.168.115.0 255.255.255.0 172.17.100.20

вот этого не понял. Зачем тебе на cisco прописывать маршрут в 192.168.115.0 через сервер?

По идее нужно добавить роутинг в первой windows.

вот не правильно вы добавили. Шлюз не может быть из другой сети. На винде указали какой трафик должен попадать в туннель?

4

Re: Cisco 1841 IPSEC VPN и routing

Нет. Не указали видимо.
Как это сделать?

5

Re: Cisco 1841 IPSEC VPN и routing

в винде, фиг его знает. А каким методом подключаешься по ipsec с сервера?

Добавлено: 20-06-2014 14:28:48

http://zyxel.ru/sites/default/files/nas … zywall.pdf
вот пример посмотри, может поможет.

6

Re: Cisco 1841 IPSEC VPN и routing

Через стандартные ISA-настройки.
Вот вытяжка (сводка параметров)

Параметры IKE Phase I:
    Режим: основной режим
    Шифрование: 3DES
    Целостность: SHA1
    Группа Диффи-Хелмана: Группа 2 (1024 бита)
    Метод проверки подлинности: предварительный секрет (хххххххl)
    Время жизни сопоставления безопасности: 28800 секунд


Параметры IKE Phase II:
    Режим: режим ESP-туннеля
    Шифрование: 3DES
    Целостность: SHA1
    Безопасная пересылка (PFS): ВКЛ.
    Группа Диффи-Хелмана: Группа 2 (1024 бита)
    Повторное создание ключа по времени: ВКЛ
    Время жизни сопоставления безопасности: 28800 секунд

7

Re: Cisco 1841 IPSEC VPN и routing

пробовал посмотреть пример настройки isa по ссылке?

8

Re: Cisco 1841 IPSEC VPN и routing

Да. Там настраивали уже до меня. Я так бегло посмотрел, у них внутренняя сеть почему то не передается нам.

   local  ident (addr/mask/prot/port): (172.17.100.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

9

Re: Cisco 1841 IPSEC VPN и routing

покажи конфиг циски. Ну и все таки проверить надо настройки ISA, там указывается какой трафик в туннель слать

10

Re: Cisco 1841 IPSEC VPN и routing

Там проблема с ISA. Я лиш помогаю настроить.
Конфиг циски рабочий. Мы на нем тестировали уже с тобой нетгир, если помниш.
Но с ИСА я не буду возиться. Пусть хозяева чинят.

11

Re: Cisco 1841 IPSEC VPN и routing

ну тогда пусть занимаются иса smile