Jump to content

туннель между cisco и keenetic


Recommended Posts

Доброго здоровьичка, надо построить туннель между cisco и keenetic giga. Раньше было cisco-cisco. но одна из них сломалась. Кинетик куплен как замена сдохшей циски, но что-то не срабатывает. Делаю через ipsec подключение. Туннель не поднимается. Может надо как-то по другому?

Link to comment
Share on other sites

В 01.02.2022 в 19:33, chomski сказал:

так чегось, инструкция хоть есть какая?

Я настраивал site-to-site IPSec IKEv2, циска - сервер, кинетик - клиент.

Циску по этой ИНСТРУКЦИИ (раздел IKEv2 Between Cisco IOS and strongSwan, Cisco IOS Configuration).

Кинетик по этой ИНСТРУКЦИИ (раздел Настройка Keenetic в роли клиента).

Только в конфиге циски вместо двух ключей (pre-shared-key local и pre-shared-key remote) использовал один pre-shared-key, который вписал в настройках кинетика (ключ PSK).

Edited by Jeka_M
  • Thanks 1
Link to comment
Share on other sites

P.S. Если вдруг инструкция для циски по ссылке станет недоступна, вот копипаста конфига:

Скрытый текст

IKEv2 Between Cisco IOS and strongSwan

Cisco IOS Configuration

crypto ikev2 proposal ikev2proposal 
 encryption aes-cbc-128
 integrity sha1
 group 5

crypto ikev2 policy ikev2policy 
 match fvrf any
 proposal ikev2proposal

crypto ikev2 keyring keys
 peer strongswan
  address 172.16.10.2
  pre-shared-key local cisco
  pre-shared-key remote cisco
 
crypto ikev2 profile ikev2profile
 match identity remote address 172.16.10.2 255.255.255.255 
 authentication remote pre-share
 authentication local pre-share
 keyring local keys

crypto ipsec transform-set TS esp-aes esp-sha-hmac 
 mode tunnel

crypto map cmap 10 ipsec-isakmp 
 set peer 172.16.10.2
 set transform-set TS 
 set ikev2-profile ikev2profile
 match address cryptoacl

interface Ethernet0/1
 ip address 192.168.1.1 255.255.255.0

interface Ethernet0/0
 ip address 172.16.10.1 255.255.255.0
 crypto map cmap

ip access-list extended cryptoacl
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

 

  • Thanks 1
Link to comment
Share on other sites

Забыл ещё добавить, что циске надо запретить натить трафик между двумя сетями через access-list, чтобы трафик заворачивался в VPN-туннель. Например:

ip access-list extended nat-ext
 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
 permit ip 192.168.1.0 0.0.0.255 any

Соответственно этот access-list привязать к WAN-интерфейсу, например:

ip nat inside source list nat-ext interface GigabitEthernet0/0 overload

 

  • Thanks 1
Link to comment
Share on other sites

В 06.02.2022 в 19:06, Jeka_M сказал:

Я настраивал site-to-site IPSec IKEv2, циска - сервер, кинетик - клиент.

Циску по этой ИНСТРУКЦИИ (раздел IKEv2 Between Cisco IOS and strongSwan, Cisco IOS Configuration).

Кинетик по этой ИНСТРУКЦИИ (раздел Настройка Keenetic в роли клиента).

Только в конфиге циски вместо двух ключей (pre-shared-key local и pre-shared-key remote) использовал один pre-shared-key, который вписал в настройках кинетика (ключ PSK).

Спасибо! а модель и прошивка у циски какие? у меня 2821 и 12.4

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...