Я и Cisco IPSEC(новелла)

Недавно был в коммандировке и столкнулся с такой задачей: две точки подключенные к ADSL от СТК, на одной установлена Cisco 26xx, на другой Zyxel ZyWall(аппаратный фаервол со множеством функций), надо было их связать в одну сеть.
Решил я это сделать по средствам VPN IPSEC, но столкнулся с подводными камнями со стороны Cisco. Дело в том, что Cisco смотрит в сторону Якутска через спутниковый канал, а ADSL нужен только для того чтобы связать две точки. Вот в этом то и заключалась проблема, решение и описание проблемы я раскрою чуть ниже в конфигурации. Конфигурация:

-конфигурация IPSEC довольно таки типовая, такую легко можно найти в инете
crypto isakmp policy 10
authentication pre-share
lifetime 28800
crypto isakmp key protectmeplease address 10.10.10.10
crypto isakmp keepalive 10 periodic
crypto isakmp aggressive-mode disable
!
crypto isakmp peer address 10.10.10.10
!
!
crypto ipsec transform-set optimus esp-des esp-sha-hmac
no crypto ipsec nat-transparency udp-encaps
!
crypto map letmein local-address BVI1
crypto map letmein 10 ipsec-isakmp
set peer 10.10.10.10
set transform-set optimus
match address 102

!интерфейс в сторону локальной сети
interface FastEthernet0/0.999
description LAN
encapsulation dot1Q 999
ip address 172.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly

!интерфейс в сторону спутникового модема
interface FastEthernet0/1
description Satellite
ip address 192.168.1.2 255.255.255.252
duplex auto
speed auto
no cdp enable

!интерфейс DSL
interface ATM0/3/0
no ip address
no ip redirects
no atm ilmi-keepalive
dsl operating-mode auto
bridge-group 1
pvc 8/35
encapsulation aal5snap

!бриджовый интерфейс для ATM0/3/0, IPSEC туннель вешается именно на него
interface BVI1
description ADSL
ip address 10.20.20.20 255.255.255.0
no cdp enable
ip nat outside
ip virtual-reassembly
crypto map letmein

!по идее ACL располагаются в конфигурации чуть ниже маршрутов, но так будет удобней
ACL 102 задает политику обмена пакетами, в нем надо указать из какой сети в какую пакеты будут ходить в IPSEC туннеле, короче указываем обе LAN сетки обоих точек, source должна быть та которая терминируется на Cisco, а destination LAN сетка которая терминируется на ZyWall

access-list 102 permit ip 172.10.10.0 0.0.0.255 172.20.20.0 0.0.0.255

!а сейчас начнется самое интересное :)
!у нас есть default маршрут в сторону спутникового канала

ip route 0.0.0.0 0.0.0.0 192.168.1.1
!а так же маршрут, который говорит что наш IPSEC peer находится за сетью СТК
ip route 10.10.10.10 255.255.255.255 10.20.20.1

вроде все настроено, остается только запустить CS1.6 и яро покарать ребят со второго офиса :)))
НО, хер а с два, пакеты не ходят, туннель не инициируется даже по первой фазе IKE. Оказывается, чтоб туннель заработал надо создать фэйковый маршрут который говорит что сетка второго офиса находится за шлюзом ADSL!!!
!добавляем
ip route 172.20.20.0 255.255.255.0 10.20.20.1

ну теперь то точно все...НО блеать туннель опять не поднимается, что за хрень! %) опять таки, оказывается, чтоб туннель поднялся надо пустить трафик который соответствует политике прохождения трафика, короче пустить пинг из локалки первого офиса в локалку второго(ACL 102). И УСЕ!!! А теперь пора мочить!!! %))

Надеюсь кому нибудь это поможет!
  • 04 октября 2011, 09:35
  • iai
  • просмотров: ~3564
  • рейтинг: ?

Комментарии (7)

Вы - anonymous, войти ?

можно использовать bbcode-теги
[b]жирный текст[/b]
[i]курсив[/i]
[u]underline[/u]
[s]зачеркнутый текст[/s]
[size=20px]размер шрифта[/size]
всякие изменения текста
[left][/left]
[right][/right]
[center][/center]
позиционирование элементов: картинки, текст и т.д
[url][/url]
[email][/email]
внутри тега [url] помещайте ссылки, а внутри [email] адрес электронной почты;
так же [url] можно использовать в виде:
[url=http://example.com]пример[/url],
[url=http://test.ru][img]http://flickr.com/givemeimg.png[/img][/url]
[code][/code]
[quote][/quote]
внутри тега [code] можно помещать программный код (подстветка попытается включиться автоматически); для выделения цитат используйте [quote]
также можно напрямую указать язык [code=cpp]int i;[/code]
[list][/list]
создаем списки, каждый элемент пишется после [*].

Можно указывать маркер - [list=marker].
возможные маркеры 1(decimal), i(lower-roman), I(upper-roman), a(lower-alpha), A(upper-alpha). Примеры:

[list][*]1 элемент[*]2 элемент[*]3 элемент[/list]
[list=1][*]1 элемент[*]2 элемент[*]3 элемент[/list]
[list=A][*]1 элемент[*]2 элемент[*]3 элемент[/list]
[table][/table]
оформляем таблицу, используя внутренние теги [tr] и [td].
[tr] - строка, [td] - поле в строке,
[table=100%] - можно задавать ширину в процентах, по-умолчанию ширина 100%
[td=2] - можно задавать сколько столбцов входит в это поле. Пример:

[table=50%][tr][td]столбец 1[/td][td]столбец 2[/td][/tr][tr][td]значение 1[/td][td]значение 2[/td][/tr][tr][td=2]сразу 2 столбца[/td][/tr][/table]
[img][/img]
тег для вставки фото или картинок, мы любим картинки. Примеры использования:

[img]http://ya.ru/logo.png[/img],
[img=100x100px]http://ya.ru/logo.png[/img]
[img=fullimg.url]thumbimg.url[/img],
Пожалуйста загружайте картинки на наш сайт, либо вставляйте с бекбоновских ресурсов.
[video][/video]
Проигрывает видео, внутрь вставляем ссылки на видео, поддерживается Play.Ykt.Ru(нужно вставить ссылку на страницу с видео) и tv.ykt.ru(нужно вставить ссылку на адрес файла)