Перейти к содержимому
Калькуляторы

Kerio & Cisco скрестить ежа с ужом

До этого было настроено по схеме: керио + роутер TP-Link.

 

На керио:

17969293_m.png

 

На роутере TP-Link:

17969186_m.png

Всё работает вопросов нет...

 

 

Решили заменить роутер TP-Link из-за того, что он виснет, на циску и вот засада.

Делаю по мануалу cisco:

 

!--- Internet Key Exchange (IKE) configuration.

 

crypto isakmp policy 1

encr 3des

hash md5

authentication pre-share

group 2

lifetime 1800

 

!--- IPSec configuration.

 

crypto isakmp key aptrules address 209.165.202.129

!

crypto ipsec transform-set aptset esp-3des esp-md5-hmac

!

crypto map aptmap 1 ipsec-isakmp

set peer 209.165.202.129

set transform-set aptset

match address 110

!

interface Ethernet0/0

ip address 209.165.202.226 255.255.255.224

ip nat outside

half-duplex

crypto map aptmap

!

interface FastEthernet0/0

ip address 172.16.15.1 255.255.255.0

ip nat inside

speed auto

 

!--- NAT configuration.

 

ip nat inside source route-map nonat interface Ethernet0/0 overload

ip classless

ip route 0.0.0.0 0.0.0.0 209.165.202.225

no ip http server

ip pim bidir-enable

 

!--- Encryption match address access list.

 

access-list 110 permit ip 172.16.15.0 0.0.0.255 192.168.10.0 0.0.0.255

 

!--- NAT access list.

 

access-list 120 deny ip 172.16.15.0 0.0.0.255 192.168.10.0 0.0.0.255

access-list 120 permit ip 172.16.15.0 0.0.0.255 any

route-map nonat permit 10

match ip address 120

 

 

 

Понимаю, что нужно в разделе IKE на циске, указать как "Локаьный ИД" и "Отдаленный ИД" т.к. без этих значений керио не авторизует.

17969293_m.png

 

Но как это сделать ума не приложу...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не уже ли не кто не сталкивался с подробной задачей ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

set peer 209.165.202.129

...

match address 110

...

access-list 110 permit ip 172.16.15.0 0.0.0.255 192.168.10.0 0.0.0.255

Это что, попытка поднять IPsec с "серого" на "белый" адрес?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это что, попытка поднять IPsec с "серого" на "белый" адрес?

Это правило объявляет какие сети шифровать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По show crypto ipsec sa посмотрите какие id отдает кошка, чтоб вписать в kerio. И это читали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И это читали

 

Конечно! и не один раз.

Но там настройки на керио различаются.

У меня пассивное подключение а там активное.

 

P.S. Вообщем после недели курения манов и форумов,

решил выкинуть из схемы керио и поставить на его место еще одну циску.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

(config)#crypto isakmp identity ?
 address   Use the IP address of the interface for the identity
 dn        Use the distinguished name of the router cert for the identity
 hostname  Use the hostname of the router for the identity

 

решил выкинуть из схемы керио и поставить на его место еще одну циску.

Построить тунель и поднять динамический роутинг :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.