Új hozzászólás Aktív témák

• #2285 jerry311 nagyúr tusi_ #2282

  Új Válasz 2012-10-26 00:50:48 #2285

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  jerry311

  nagyúr

  válasz tusi_ #2282 üzenetére

  Javarészt a configod copy-pasztája.
  Itt-ott átírva és/vagy egyszerűsítve. Pl. csak 2 router Fa0/0-n összekábelezve.
  R2#show run

  crypto isakmp policy 10
  encr 3des
  hash md5
  authentication pre-share

  crypto isakmp key cisco123 address 30.0.0.1 no-xauth

  crypto ipsec transform-set cisco esp-3des esp-md5-hmac

  crypto map vpn-map 10 ipsec-isakmp
  set peer 30.0.0.2
  set transform-set cisco
  match address 100

  interface Loopback1
  ip address 172.16.0.1 255.255.255.0

  interface Loopback2
  ip address 192.168.1.1 255.255.255.0

  interface Loopback3
  ip address 172.16.1.1 255.255.255.0

  interface Tunnel10
  ip address 20.0.0.2 255.255.255.252
  tunnel source FastEthernet0/0
  tunnel destination 30.0.0.2
  !
  interface FastEthernet0/0
  ip address 30.0.0.1 255.255.255.252
  duplex auto
  speed auto
  crypto map vpn-map

  router eigrp 10
  network 20.0.0.0
  network 172.16.0.0 0.0.3.255
  no auto-summary

  ip route 0.0.0.0 0.0.0.0 30.0.0.2 --> mert lusta vagyok.

  access-list 1 deny 192.168.1.0
  access-list 1 permit any
  access-list 2 deny 192.168.0.0 0.0.0.255
  access-list 100 permit ip 172.16.0.0 0.0.1.255 192.168.0.0 0.0.1.255
  access-list 100 permit gre any any --> mert még annál is lustább vagyok.

  =========================================================
  =========================================================

  R1#show run
  crypto isakmp policy 10
  encr 3des
  hash md5
  authentication pre-share
  crypto isakmp key cisco123 address 30.0.0.1 no-xauth

  crypto ipsec transform-set cisco esp-3des esp-md5-hmac

  crypto map vpn-map 10 ipsec-isakmp
  set peer 30.0.0.1
  set transform-set cisco
  match address 100

  interface Loopback1
  ip address 192.168.0.1 255.255.255.0

  interface Loopback3
  ip address 192.168.2.1 255.255.255.0

  interface Tunnel10
  ip address 20.0.0.1 255.255.255.252
  tunnel source FastEthernet0/0
  tunnel destination 30.0.0.1

  interface FastEthernet0/0
  ip address 30.0.0.2 255.255.255.252
  duplex auto
  speed auto
  crypto map vpn-map

  router eigrp 10
  network 20.0.0.0
  network 192.168.0.0 0.0.3.255
  no auto-summary

  ip route 0.0.0.0 0.0.0.0 30.0.0.1

  access-list 1 deny 192.168.1.0
  access-list 1 permit any
  access-list 2 deny 192.168.0.0 0.0.0.255
  access-list 100 permit ip 192.168.0.0 0.0.1.255 172.16.0.0 0.0.1.255
  access-list 100 permit gre any any

  =========================================================
  =========================================================

  R1# show ip route eigrp
  172.16.0.0/24 is subnetted, 2 subnets
  D 172.16.0.0 [90/297372416] via 20.0.0.2, 00:06:24, Tunnel10
  D 172.16.1.0 [90/297372416] via 20.0.0.2, 00:06:24, Tunnel10
  R1#

• #2284 crok Topikgazda tusi_ #2282

  Új Válasz 2012-10-26 00:01:41 #2284

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  crok

  Topikgazda

  válasz tusi_ #2282 üzenetére

  Több ponton is zavaros, hogy mit is akarsz pontosan :/

  interface Tunnel10
  ip address 20.0.0.1 255.255.255.252
  tunnel source FastEthernet0/0
  tunnel destination 40.0.0.2

  Ez alapján GRE tunnel a 30.0.0.2 és a 40.0.0.2 közt lenne.
  Ez a Wireshark alapján látszik is.
  Ha az ISAKMP konfig mind a két oldalon jó valamint az
  IPSec transformset is szimmetrikus akkor az IPSecnek
  nincs akadája, hogy kiépüljön. sh crypto isa sa.. DE!
  access-list 100 permit ip 192.168.0.0 0.0.1.255 172.16.0.0 0.0.1.255
  E szerint csak az lesz crypt-elve, ami ebbe beleesik, ebbe
  meg csak loopback címek esnek bele. Permit gre any any -vel
  meg azért mehet, mert akkor EIGRP neighborship az kiépül
  és lesz routing a tunnelen keresztül.

  Na. Pontosan mit szeretnél elérni? Mi a hálózat, amin
  ezt kivitelezni szeretnéd? Pingelnél A-ból B-be? Honnan
  hová, milyen source-destination kellene, hogy menjen?
  EIGRP kell, hogy menjen? Nem derül ki, hogy pontosan
  mit akarsz crypt-elni: azt, ami a tunnelben megy, vagy
  csak megadsz valamit a map-ben, amit szeretnél crypt-
  elve áttolni? Mert mind a kettő dolognak megvan a fele.

  Van lehetőség tunnel nélkül is crypt-elni, ez a legegyszerűbb:

  Az ilyeneket pedig nem szabad ám csinálni, kivéve, ha
  arra valami jó okod van:
  ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
  Ilyenkor ki lesz a next hop? Ilyenkor a route ugyan static
  de a láttad, mi az admin distance egy ilyen route-nál?
  Nincs next-hop -> innentől ha nem egy hálózatba esik egy
  packet destination-je meg a kimenő interface, akkor hova
  megy a csomag? ARP biztos nem lesz.. ez nem jó.

• #2283 jerry311 nagyúr tusi_ #2282

  Új Válasz 2012-10-25 23:44:32 #2283

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  jerry311

  nagyúr

  válasz tusi_ #2282 üzenetére

  Ha crypto ACL-be beleteszed a külső IP-k közti forgalmat is, akkor nem fog menni, mert buta és úgy értelmezi, hogy titkosítania kéne már az első csomagot is, csak hát nincs mivel... Ezért kapsz hibát. Vagy valami ilyesmi. GRE-hez sosem értettem.

  GRE és 'mode transport' a transform-set configban nagyon szeretik egymást. Ez mondjuk opcionális egy ideig, aztán kötelező, attól függ mit konfigolsz.

  Csak telepítenem kell már egy NGS3-at...

Új hozzászólás Aktív témák