chomski Posted January 31, 2022 Share Posted January 31, 2022 Доброго здоровьичка, надо построить туннель между cisco и keenetic giga. Раньше было cisco-cisco. но одна из них сломалась. Кинетик куплен как замена сдохшей циски, но что-то не срабатывает. Делаю через ipsec подключение. Туннель не поднимается. Может надо как-то по другому? Quote Link to comment Share on other sites More sharing options...
chomski Posted February 1, 2022 Author Share Posted February 1, 2022 так чегось, инструкция хоть есть какая? Quote Link to comment Share on other sites More sharing options...
Jeka_M Posted February 6, 2022 Share Posted February 6, 2022 (edited) В 01.02.2022 в 19:33, chomski сказал: так чегось, инструкция хоть есть какая? Я настраивал site-to-site IPSec IKEv2, циска - сервер, кинетик - клиент. Циску по этой ИНСТРУКЦИИ (раздел IKEv2 Between Cisco IOS and strongSwan, Cisco IOS Configuration). Кинетик по этой ИНСТРУКЦИИ (раздел Настройка Keenetic в роли клиента). Только в конфиге циски вместо двух ключей (pre-shared-key local и pre-shared-key remote) использовал один pre-shared-key, который вписал в настройках кинетика (ключ PSK). Edited February 6, 2022 by Jeka_M 2 Quote Link to comment Share on other sites More sharing options...
Jeka_M Posted February 6, 2022 Share Posted February 6, 2022 P.S. Если вдруг инструкция для циски по ссылке станет недоступна, вот копипаста конфига: Скрытый текст IKEv2 Between Cisco IOS and strongSwan Cisco IOS Configuration crypto ikev2 proposal ikev2proposal encryption aes-cbc-128 integrity sha1 group 5 crypto ikev2 policy ikev2policy match fvrf any proposal ikev2proposal crypto ikev2 keyring keys peer strongswan address 172.16.10.2 pre-shared-key local cisco pre-shared-key remote cisco crypto ikev2 profile ikev2profile match identity remote address 172.16.10.2 255.255.255.255 authentication remote pre-share authentication local pre-share keyring local keys crypto ipsec transform-set TS esp-aes esp-sha-hmac mode tunnel crypto map cmap 10 ipsec-isakmp set peer 172.16.10.2 set transform-set TS set ikev2-profile ikev2profile match address cryptoacl interface Ethernet0/1 ip address 192.168.1.1 255.255.255.0 interface Ethernet0/0 ip address 172.16.10.1 255.255.255.0 crypto map cmap ip access-list extended cryptoacl permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 1 Quote Link to comment Share on other sites More sharing options...
Jeka_M Posted February 6, 2022 Share Posted February 6, 2022 Забыл ещё добавить, что циске надо запретить натить трафик между двумя сетями через access-list, чтобы трафик заворачивался в VPN-туннель. Например: ip access-list extended nat-ext deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 permit ip 192.168.1.0 0.0.0.255 any Соответственно этот access-list привязать к WAN-интерфейсу, например: ip nat inside source list nat-ext interface GigabitEthernet0/0 overload 1 Quote Link to comment Share on other sites More sharing options...
chomski Posted February 11, 2022 Author Share Posted February 11, 2022 В 06.02.2022 в 19:06, Jeka_M сказал: Я настраивал site-to-site IPSec IKEv2, циска - сервер, кинетик - клиент. Циску по этой ИНСТРУКЦИИ (раздел IKEv2 Between Cisco IOS and strongSwan, Cisco IOS Configuration). Кинетик по этой ИНСТРУКЦИИ (раздел Настройка Keenetic в роли клиента). Только в конфиге циски вместо двух ключей (pre-shared-key local и pre-shared-key remote) использовал один pre-shared-key, который вписал в настройках кинетика (ключ PSK). Спасибо! а модель и прошивка у циски какие? у меня 2821 и 12.4 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.