Jora_Cornev Опубликовано 19 июля, 2017 · Жалоба До этого было настроено по схеме: керио + роутер TP-Link. На керио: На роутере TP-Link: Всё работает вопросов нет... Решили заменить роутер TP-Link из-за того, что он виснет, на циску и вот засада. Делаю по мануалу cisco: !--- Internet Key Exchange (IKE) configuration. crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 lifetime 1800 !--- IPSec configuration. crypto isakmp key aptrules address 209.165.202.129 ! crypto ipsec transform-set aptset esp-3des esp-md5-hmac ! crypto map aptmap 1 ipsec-isakmp set peer 209.165.202.129 set transform-set aptset match address 110 ! interface Ethernet0/0 ip address 209.165.202.226 255.255.255.224 ip nat outside half-duplex crypto map aptmap ! interface FastEthernet0/0 ip address 172.16.15.1 255.255.255.0 ip nat inside speed auto !--- NAT configuration. ip nat inside source route-map nonat interface Ethernet0/0 overload ip classless ip route 0.0.0.0 0.0.0.0 209.165.202.225 no ip http server ip pim bidir-enable !--- Encryption match address access list. access-list 110 permit ip 172.16.15.0 0.0.0.255 192.168.10.0 0.0.0.255 !--- NAT access list. access-list 120 deny ip 172.16.15.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 120 permit ip 172.16.15.0 0.0.0.255 any route-map nonat permit 10 match ip address 120 Понимаю, что нужно в разделе IKE на циске, указать как "Локаьный ИД" и "Отдаленный ИД" т.к. без этих значений керио не авторизует. Но как это сделать ума не приложу... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jora_Cornev Опубликовано 19 июля, 2017 · Жалоба Не уже ли не кто не сталкивался с подробной задачей ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 19 июля, 2017 · Жалоба set peer 209.165.202.129 ... match address 110 ... access-list 110 permit ip 172.16.15.0 0.0.0.255 192.168.10.0 0.0.0.255 Это что, попытка поднять IPsec с "серого" на "белый" адрес? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jora_Cornev Опубликовано 20 июля, 2017 · Жалоба Это что, попытка поднять IPsec с "серого" на "белый" адрес? Это правило объявляет какие сети шифровать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 20 июля, 2017 · Жалоба По show crypto ipsec sa посмотрите какие id отдает кошка, чтоб вписать в kerio. И это читали? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jora_Cornev Опубликовано 20 июля, 2017 · Жалоба И это читали Конечно! и не один раз. Но там настройки на керио различаются. У меня пассивное подключение а там активное. P.S. Вообщем после недели курения манов и форумов, решил выкинуть из схемы керио и поставить на его место еще одну циску. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 21 июля, 2017 · Жалоба (config)#crypto isakmp identity ? address Use the IP address of the interface for the identity dn Use the distinguished name of the router cert for the identity hostname Use the hostname of the router for the identity решил выкинуть из схемы керио и поставить на его место еще одну циску. Построить тунель и поднять динамический роутинг :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...