туннель между cisco и keenetic

[chomski]

Доброго здоровьичка, надо построить туннель между cisco и keenetic giga. Раньше было cisco-cisco. но одна из них сломалась. Кинетик куплен как замена сдохшей циски, но что-то не срабатывает. Делаю через ipsec подключение. Туннель не поднимается. Может надо как-то по другому?

[chomski]

так чегось, инструкция хоть есть какая?

[Jeka_M]

В 01.02.2022 в 19:33, chomski сказал:

так чегось, инструкция хоть есть какая?

Я настраивал site-to-site IPSec IKEv2, циска - сервер, кинетик - клиент.

Циску по этой ИНСТРУКЦИИ (раздел IKEv2 Between Cisco IOS and strongSwan, Cisco IOS Configuration).

Кинетик по этой ИНСТРУКЦИИ (раздел Настройка Keenetic в роли клиента).

Только в конфиге циски вместо двух ключей (pre-shared-key local и pre-shared-key remote) использовал один pre-shared-key, который вписал в настройках кинетика (ключ PSK).

Изменено 6 февраля, 2022 пользователем Jeka_M

[Jeka_M]

P.S. Если вдруг инструкция для циски по ссылке станет недоступна, вот копипаста конфига:

Скрытый текст

IKEv2 Between Cisco IOS and strongSwan

Cisco IOS Configuration

crypto ikev2 proposal ikev2proposal 
 encryption aes-cbc-128
 integrity sha1
 group 5

crypto ikev2 policy ikev2policy 
 match fvrf any
 proposal ikev2proposal

crypto ikev2 keyring keys
 peer strongswan
  address 172.16.10.2
  pre-shared-key local cisco
  pre-shared-key remote cisco
 
crypto ikev2 profile ikev2profile
 match identity remote address 172.16.10.2 255.255.255.255 
 authentication remote pre-share
 authentication local pre-share
 keyring local keys

crypto ipsec transform-set TS esp-aes esp-sha-hmac 
 mode tunnel

crypto map cmap 10 ipsec-isakmp 
 set peer 172.16.10.2
 set transform-set TS 
 set ikev2-profile ikev2profile
 match address cryptoacl

interface Ethernet0/1
 ip address 192.168.1.1 255.255.255.0

interface Ethernet0/0
 ip address 172.16.10.1 255.255.255.0
 crypto map cmap

ip access-list extended cryptoacl
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

 

[Jeka_M]

Забыл ещё добавить, что циске надо запретить натить трафик между двумя сетями через access-list, чтобы трафик заворачивался в VPN-туннель. Например:

ip access-list extended nat-ext
 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
 permit ip 192.168.1.0 0.0.0.255 any

Соответственно этот access-list привязать к WAN-интерфейсу, например:

ip nat inside source list nat-ext interface GigabitEthernet0/0 overload

 

[chomski]

В 06.02.2022 в 19:06, Jeka_M сказал:

Я настраивал site-to-site IPSec IKEv2, циска - сервер, кинетик - клиент.

Циску по этой ИНСТРУКЦИИ (раздел IKEv2 Between Cisco IOS and strongSwan, Cisco IOS Configuration).

Кинетик по этой ИНСТРУКЦИИ (раздел Настройка Keenetic в роли клиента).

Только в конфиге циски вместо двух ключей (pre-shared-key local и pre-shared-key remote) использовал один pre-shared-key, который вписал в настройках кинетика (ключ PSK).

Спасибо! а модель и прошивка у циски какие? у меня 2821 и 12.4