Jora_Cornev Posted July 19, 2017 Posted July 19, 2017 До этого было настроено по схеме: керио + роутер TP-Link. На керио: На роутере TP-Link: Всё работает вопросов нет... Решили заменить роутер TP-Link из-за того, что он виснет, на циску и вот засада. Делаю по мануалу cisco: !--- Internet Key Exchange (IKE) configuration. crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 lifetime 1800 !--- IPSec configuration. crypto isakmp key aptrules address 209.165.202.129 ! crypto ipsec transform-set aptset esp-3des esp-md5-hmac ! crypto map aptmap 1 ipsec-isakmp set peer 209.165.202.129 set transform-set aptset match address 110 ! interface Ethernet0/0 ip address 209.165.202.226 255.255.255.224 ip nat outside half-duplex crypto map aptmap ! interface FastEthernet0/0 ip address 172.16.15.1 255.255.255.0 ip nat inside speed auto !--- NAT configuration. ip nat inside source route-map nonat interface Ethernet0/0 overload ip classless ip route 0.0.0.0 0.0.0.0 209.165.202.225 no ip http server ip pim bidir-enable !--- Encryption match address access list. access-list 110 permit ip 172.16.15.0 0.0.0.255 192.168.10.0 0.0.0.255 !--- NAT access list. access-list 120 deny ip 172.16.15.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 120 permit ip 172.16.15.0 0.0.0.255 any route-map nonat permit 10 match ip address 120 Понимаю, что нужно в разделе IKE на циске, указать как "Локаьный ИД" и "Отдаленный ИД" т.к. без этих значений керио не авторизует. Но как это сделать ума не приложу... Вставить ник Quote
Jora_Cornev Posted July 19, 2017 Author Posted July 19, 2017 Не уже ли не кто не сталкивался с подробной задачей ? Вставить ник Quote
DRiVen Posted July 19, 2017 Posted July 19, 2017 set peer 209.165.202.129 ... match address 110 ... access-list 110 permit ip 172.16.15.0 0.0.0.255 192.168.10.0 0.0.0.255 Это что, попытка поднять IPsec с "серого" на "белый" адрес? Вставить ник Quote
Jora_Cornev Posted July 20, 2017 Author Posted July 20, 2017 Это что, попытка поднять IPsec с "серого" на "белый" адрес? Это правило объявляет какие сети шифровать. Вставить ник Quote
DRiVen Posted July 20, 2017 Posted July 20, 2017 По show crypto ipsec sa посмотрите какие id отдает кошка, чтоб вписать в kerio. И это читали? Вставить ник Quote
Jora_Cornev Posted July 20, 2017 Author Posted July 20, 2017 И это читали Конечно! и не один раз. Но там настройки на керио различаются. У меня пассивное подключение а там активное. P.S. Вообщем после недели курения манов и форумов, решил выкинуть из схемы керио и поставить на его место еще одну циску. Вставить ник Quote
ShyLion Posted July 21, 2017 Posted July 21, 2017 (config)#crypto isakmp identity ? address Use the IP address of the interface for the identity dn Use the distinguished name of the router cert for the identity hostname Use the hostname of the router for the identity решил выкинуть из схемы керио и поставить на его место еще одну циску. Построить тунель и поднять динамический роутинг :) Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.