Jump to content
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

туннель между cisco и keenetic

chomski
 Share

Recommended Posts

chomski Newbie

chomski

Posted
Posted

Доброго здоровьичка, надо построить туннель между cisco и keenetic giga. Раньше было cisco-cisco. но одна из них сломалась. Кинетик куплен как замена сдохшей циски, но что-то не срабатывает. Делаю через ipsec подключение. Туннель не поднимается. Может надо как-то по другому?

Jeka_M Newbie

Jeka_M

Posted
Posted (edited)
В 01.02.2022 в 19:33, chomski сказал:

так чегось, инструкция хоть есть какая?

Я настраивал site-to-site IPSec IKEv2, циска - сервер, кинетик - клиент.

Циску по этой ИНСТРУКЦИИ (раздел IKEv2 Between Cisco IOS and strongSwan, Cisco IOS Configuration).

Кинетик по этой ИНСТРУКЦИИ (раздел Настройка Keenetic в роли клиента).

Только в конфиге циски вместо двух ключей (pre-shared-key local и pre-shared-key remote) использовал один pre-shared-key, который вписал в настройках кинетика (ключ PSK).

Edited by Jeka_M
  • Thanks 2
Jeka_M Newbie

Jeka_M

Posted
Posted

P.S. Если вдруг инструкция для циски по ссылке станет недоступна, вот копипаста конфига:

Скрытый текст

IKEv2 Between Cisco IOS and strongSwan

Cisco IOS Configuration 

crypto ikev2 proposal ikev2proposal 
 encryption aes-cbc-128
 integrity sha1
 group 5

crypto ikev2 policy ikev2policy 
 match fvrf any
 proposal ikev2proposal

crypto ikev2 keyring keys
 peer strongswan
  address 172.16.10.2
  pre-shared-key local cisco
  pre-shared-key remote cisco
 
crypto ikev2 profile ikev2profile
 match identity remote address 172.16.10.2 255.255.255.255 
 authentication remote pre-share
 authentication local pre-share
 keyring local keys

crypto ipsec transform-set TS esp-aes esp-sha-hmac 
 mode tunnel

crypto map cmap 10 ipsec-isakmp 
 set peer 172.16.10.2
 set transform-set TS 
 set ikev2-profile ikev2profile
 match address cryptoacl

interface Ethernet0/1
 ip address 192.168.1.1 255.255.255.0

interface Ethernet0/0
 ip address 172.16.10.1 255.255.255.0
 crypto map cmap

ip access-list extended cryptoacl
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

 

  • Thanks 1
Jeka_M Newbie

Jeka_M

Posted
Posted

Забыл ещё добавить, что циске надо запретить натить трафик между двумя сетями через access-list, чтобы трафик заворачивался в VPN-туннель. Например: 

ip access-list extended nat-ext
 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
 permit ip 192.168.1.0 0.0.0.255 any

Соответственно этот access-list привязать к WAN-интерфейсу, например: 

ip nat inside source list nat-ext interface GigabitEthernet0/0 overload

 

  • Thanks 1
chomski Newbie

chomski

Posted
  • Author
Posted
В 06.02.2022 в 19:06, Jeka_M сказал:

Я настраивал site-to-site IPSec IKEv2, циска - сервер, кинетик - клиент.

Циску по этой ИНСТРУКЦИИ (раздел IKEv2 Between Cisco IOS and strongSwan, Cisco IOS Configuration).

Кинетик по этой ИНСТРУКЦИИ (раздел Настройка Keenetic в роли клиента).

Только в конфиге циски вместо двух ключей (pre-shared-key local и pre-shared-key remote) использовал один pre-shared-key, который вписал в настройках кинетика (ключ PSK).

Спасибо! а модель и прошивка у циски какие? у меня 2821 и 12.4

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.

  I accept