Vpn-туннель между двумя cisco [Версия для КПК]

Показать полную графическую версию : Vpn-туннель между двумя cisco

NADVooDoo

06-12-2010, 01:49

Я полный новичок в настройке этого оборудования. Ну то есть, могу что-то там ввести, но сути это не меняет. Вкратце опишу задание:
Есть 2 офиса, и 2 cisco - одна здоровенная 2821, другая точно не знаю какая, типа того же наверное что-то.
В каждом офисе за циской стоит сервер, а потом локальная сеть. Нужно соединить 2 офиса через VPN-туннель, чтобы еще была возможность входить в локалку удаленным пользователям. Не могли бы вы кинуть рабочие конфиги, чтобы менять чего-то пришлось по-минимому. Ну интерфейсы и ip понятно, я поменяю, и если будете добры может пара рекомендаций. заранее благодарен любому откликнувшемуся!

Telepuzik

06-12-2010, 11:04

NADVooDoo,
Посмотрите основные команды для создания Cisco site to site VPN Configuration Cheatsheet (http://www.secmanager.com/cisco_vpn_configuration_cheatsheet)
Часть конфига связанная с настройкой VPN на маршрутизаторе в офисе 1, c использованием парольной фразы для установки соединения:

crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key <парольная фраза> address yy.yy.yy.yy
!
!
crypto ipsec transform-set TRANS esp-3des esp-md5-hmac
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
!
crypto map TEST 10 ipsec-isakmp
set peer yy.yy.yy.yy
set security-association lifetime seconds 28800
set transform-set 3DES-SHA
set pfs group2
match address 100

interface FastEthernet0
ip address xx.xx.xx.xx 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map TEST

access-list 100 permit ip 192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255

xx.xx.xx.xx - внешний ip в офисе 1
yy.yy.yy.yy - внешний ip в офисе 2
192.168.11.0 - локальная сеть в офисе 1
192.168.10.0 - локальная сеть в офисе 2

QRS

08-12-2010, 22:23

NADVooDoo, в первую очередь нужно проверить, чтобы прошивка Вашего оборудования поддерживла IPSec... версию можно увидеть через "sh ver".
Если в названии есть k9 или advipservices... можно пробовать.

Я пользую не crypto map, а туннель GRE - IPSec (с перспективой DMVPN) + NHRS + EIGRP... если прошивка позволяет (приведите вывод команды), могу дать код.
Если офиса остается всего два, то банального IPSec со статической маршрутизацией будет достаточно...