IPsec between two Cisco routers

Задача: настроить туннель из одной сети в другую между двумя Cisco.
Назовем их R1(cisco831) и R2(cisco871)
Схема примерно такая:

Конфиг R1(часть конфига пропущена):
!!настраиваем обмен ключей, выбираем алгоритм 3des

crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key 0 cisco address 192.168.1.2
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set SET esp-3des esp-md5-hmac

!
Создаем crypto map, который потом вешаем на интерфейс

crypto map VPN 10 ipsec-isakmp
set peer 192.168.1.2
set security-association lifetime seconds 180
set transform-set SET
match address KOR
!
!
!
!
interface Loopback0
ip address 172.16.1.1 255.255.255.0
!
interface Ethernet0
no ip address
shutdown
!
interface Ethernet1
ip address 192.168.1.1 255.255.255.0
duplex half
crypto map VPN
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
ip classless
ip route 10.0.0.0 255.255.255.0 Ethernet1
ip http server
no ip http secure-server

!
Указываем в ACL трафик, который будет ходить через туннель
этот ACL мы указали в нашем crypto map

ip access-list extended KOR
permit ip 172.16.1.0 0.0.0.255 10.0.0.0 0.0.0.255
!

Конфиг R2, собственно все тоже самое с точностью до наоборот.
ACL на crypto map делается зеркальный.

crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 192.168.1.1
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set SET esp-3des esp-md5-hmac
!
crypto map VPN 10 ipsec-isakmp
set peer 192.168.1.1
set security-association lifetime seconds 28800
set transform-set SET
match address KOR
!
!
!
!
interface Loopback0
ip address 10.0.0.1 255.255.255.0
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address 192.168.1.2 255.255.255.0
speed 10
half-duplex
crypto map VPN
!
ip route 172.16.1.0 255.255.255.0 FastEthernet4
no ip http server
no ip http secure-server
!
ip access-list extended KOR
permit ip 10.0.0.0 0.0.0.255 172.16.1.0 0.0.0.255
!

После настройки такая схема не хотела работать, перешерстил уже весь конфиг, но ничего. Хорошо, что добрые люди с ciscolab подсказали, что порты в туннеле у меня в разных режимах. То есть на циске831 порт 10-ти мегабитный, а на 871циске – порт FastEth, то есть 100 мегабит. После указания на R2 на порту скорости в 10 мегабит – туннель заработал. Будьте внимательны и учитесь на чужих ошибках.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *