Jump to content
Калькуляторы

Kerio & Cisco скрестить ежа с ужом

До этого было настроено по схеме: керио + роутер TP-Link.

 

На керио:

17969293_m.png

 

На роутере TP-Link:

17969186_m.png

Всё работает вопросов нет...

 

 

Решили заменить роутер TP-Link из-за того, что он виснет, на циску и вот засада.

Делаю по мануалу cisco:

 

!--- Internet Key Exchange (IKE) configuration.

 

crypto isakmp policy 1

encr 3des

hash md5

authentication pre-share

group 2

lifetime 1800

 

!--- IPSec configuration.

 

crypto isakmp key aptrules address 209.165.202.129

!

crypto ipsec transform-set aptset esp-3des esp-md5-hmac

!

crypto map aptmap 1 ipsec-isakmp

set peer 209.165.202.129

set transform-set aptset

match address 110

!

interface Ethernet0/0

ip address 209.165.202.226 255.255.255.224

ip nat outside

half-duplex

crypto map aptmap

!

interface FastEthernet0/0

ip address 172.16.15.1 255.255.255.0

ip nat inside

speed auto

 

!--- NAT configuration.

 

ip nat inside source route-map nonat interface Ethernet0/0 overload

ip classless

ip route 0.0.0.0 0.0.0.0 209.165.202.225

no ip http server

ip pim bidir-enable

 

!--- Encryption match address access list.

 

access-list 110 permit ip 172.16.15.0 0.0.0.255 192.168.10.0 0.0.0.255

 

!--- NAT access list.

 

access-list 120 deny ip 172.16.15.0 0.0.0.255 192.168.10.0 0.0.0.255

access-list 120 permit ip 172.16.15.0 0.0.0.255 any

route-map nonat permit 10

match ip address 120

 

 

 

Понимаю, что нужно в разделе IKE на циске, указать как "Локаьный ИД" и "Отдаленный ИД" т.к. без этих значений керио не авторизует.

17969293_m.png

 

Но как это сделать ума не приложу...

Share this post


Link to post
Share on other sites

Не уже ли не кто не сталкивался с подробной задачей ?

Share this post


Link to post
Share on other sites

set peer 209.165.202.129

...

match address 110

...

access-list 110 permit ip 172.16.15.0 0.0.0.255 192.168.10.0 0.0.0.255

Это что, попытка поднять IPsec с "серого" на "белый" адрес?

Share this post


Link to post
Share on other sites

Это что, попытка поднять IPsec с "серого" на "белый" адрес?

Это правило объявляет какие сети шифровать.

Share this post


Link to post
Share on other sites

По show crypto ipsec sa посмотрите какие id отдает кошка, чтоб вписать в kerio. И это читали?

Share this post


Link to post
Share on other sites

И это читали

 

Конечно! и не один раз.

Но там настройки на керио различаются.

У меня пассивное подключение а там активное.

 

P.S. Вообщем после недели курения манов и форумов,

решил выкинуть из схемы керио и поставить на его место еще одну циску.

Share this post


Link to post
Share on other sites

(config)#crypto isakmp identity ?
 address   Use the IP address of the interface for the identity
 dn        Use the distinguished name of the router cert for the identity
 hostname  Use the hostname of the router for the identity

 

решил выкинуть из схемы керио и поставить на его место еще одну циску.

Построить тунель и поднять динамический роутинг :)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this