Jora_Cornev Posted July 19, 2017 · Report post До этого было настроено по схеме: керио + роутер TP-Link. На керио: На роутере TP-Link: Всё работает вопросов нет... Решили заменить роутер TP-Link из-за того, что он виснет, на циску и вот засада. Делаю по мануалу cisco: !--- Internet Key Exchange (IKE) configuration. crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 lifetime 1800 !--- IPSec configuration. crypto isakmp key aptrules address 209.165.202.129 ! crypto ipsec transform-set aptset esp-3des esp-md5-hmac ! crypto map aptmap 1 ipsec-isakmp set peer 209.165.202.129 set transform-set aptset match address 110 ! interface Ethernet0/0 ip address 209.165.202.226 255.255.255.224 ip nat outside half-duplex crypto map aptmap ! interface FastEthernet0/0 ip address 172.16.15.1 255.255.255.0 ip nat inside speed auto !--- NAT configuration. ip nat inside source route-map nonat interface Ethernet0/0 overload ip classless ip route 0.0.0.0 0.0.0.0 209.165.202.225 no ip http server ip pim bidir-enable !--- Encryption match address access list. access-list 110 permit ip 172.16.15.0 0.0.0.255 192.168.10.0 0.0.0.255 !--- NAT access list. access-list 120 deny ip 172.16.15.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 120 permit ip 172.16.15.0 0.0.0.255 any route-map nonat permit 10 match ip address 120 Понимаю, что нужно в разделе IKE на циске, указать как "Локаьный ИД" и "Отдаленный ИД" т.к. без этих значений керио не авторизует. Но как это сделать ума не приложу... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Jora_Cornev Posted July 19, 2017 · Report post Не уже ли не кто не сталкивался с подробной задачей ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted July 19, 2017 · Report post set peer 209.165.202.129 ... match address 110 ... access-list 110 permit ip 172.16.15.0 0.0.0.255 192.168.10.0 0.0.0.255 Это что, попытка поднять IPsec с "серого" на "белый" адрес? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Jora_Cornev Posted July 20, 2017 · Report post Это что, попытка поднять IPsec с "серого" на "белый" адрес? Это правило объявляет какие сети шифровать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted July 20, 2017 · Report post По show crypto ipsec sa посмотрите какие id отдает кошка, чтоб вписать в kerio. И это читали? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Jora_Cornev Posted July 20, 2017 · Report post И это читали Конечно! и не один раз. Но там настройки на керио различаются. У меня пассивное подключение а там активное. P.S. Вообщем после недели курения манов и форумов, решил выкинуть из схемы керио и поставить на его место еще одну циску. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted July 21, 2017 · Report post (config)#crypto isakmp identity ? address Use the IP address of the interface for the identity dn Use the distinguished name of the router cert for the identity hostname Use the hostname of the router for the identity решил выкинуть из схемы керио и поставить на его место еще одну циску. Построить тунель и поднять динамический роутинг :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...