D-Link • Просмотр темы - Туннель между Di-804HV и Cisco

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Туннель между Di-804HV и Cisco

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 2

[ Сообщений: 23 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

svost

Заголовок сообщения: Туннель между Di-804HV и Cisco

Добавлено: Чт дек 18, 2003 16:20

Зарегистрирован: Чт дек 18, 2003 16:13
Сообщений: 8
Откуда: Россия Республика Карелия

Поделитесь опытом настройки. Если у кого есть, покажите кусок конфига со стороны циски.

Вернуться наверх

Ivan Martynyuk

Заголовок сообщения:

Добавлено: Чт дек 18, 2003 17:36

Зарегистрирован: Чт окт 30, 2003 20:00
Сообщений: 71
Откуда: D-Link Kiev

У меня на столе, как раз сейчас лежит Cisco и DI. Буду пробовать различные конфигурации, в том числе и VPN. Как только наиграюсь смогу выслать конфиги обеих устройств, например, по мейлу.

Вернуться наверх

I-Zam

Заголовок сообщения:

Добавлено: Чт дек 18, 2003 18:04

Зарегистрирован: Ср дек 17, 2003 09:48
Сообщений: 7
Откуда: г. Москва

Тогда я первый в очереди

_________________
Хорошо быть смелым, но страшно ...

Вернуться наверх

I-Zam

Заголовок сообщения:

Добавлено: Пт дек 19, 2003 11:21

Зарегистрирован: Ср дек 17, 2003 09:48
Сообщений: 7
Откуда: г. Москва

Какой-то глюг при постинге возни, сори, теперь вся очередь моя

_________________
Хорошо быть смелым, но страшно ...

Вернуться наверх

svost

Заголовок сообщения: А такой вопрос по DI-804HV

Добавлено: Пт дек 19, 2003 13:23

Зарегистрирован: Чт дек 18, 2003 16:13
Сообщений: 8
Откуда: Россия Республика Карелия

Можно ли настроить туннель используя только PRESHARED KEY и не настраивая шифрования и авторизации?

Вернуться наверх

Гость

Заголовок сообщения: Re: А такой вопрос по DI-804HV

Добавлено: Пт дек 19, 2003 13:50

svost писал(а):

Можно ли настроить туннель используя только PRESHARED KEY и не настраивая шифрования и авторизации?

Т.е. не используя IKE? Можно.

Вернуться наверх

svost

Заголовок сообщения: Туннель между Di-804HV и Cisco

Добавлено: Чт дек 25, 2003 10:32

Зарегистрирован: Чт дек 18, 2003 16:13
Сообщений: 8
Откуда: Россия Республика Карелия

При установки соединения пишет:
21 октября 2003 г. 1:09:28 Restarted by 192.168.0.133
21 октября 2003 г. 1:09:39 Send IKE M1(INIT) : 10.10.30.1 --> 10.10.30.2
21 октября 2003 г. 1:09:39 Receive IKE M2(RESP) : 10.10.30.2 --> 10.10.30.1
21 октября 2003 г. 1:09:39 Try to match with ENC:DES AUTH:PSK HASH:MD5 Group:Group2
21 октября 2003 г. 1:09:40 Send IKE M3(KEYINIT) : 10.10.30.1 --> 10.10.30.2
21 октября 2003 г. 1:09:40 Receive IKE M4(KEYRESP) : 10.10.30.2 --> 10.10.30.1
21 октября 2003 г. 1:09:40 Send IKE M5(IDINIT) : 10.10.30.1 --> 10.10.30.2
21 октября 2003 г. 1:09:40 Receive IKE M6(IDRESP) : 10.10.30.1 --> 10.10.30.2
21 октября 2003 г. 1:09:40 IKE Phase1 (ISAKMP SA) established : 10.10.30.2 <-> 10.10.30.1
21 октября 2003 г. 1:09:40 Send IKE Q1(QINIT) : 192.168.0.0 --> 10.10.201.128
21 октября 2003 г. 1:09:40 Receive IKE INFO : 10.10.30.2 --> 10.10.30.1
21 октября 2003 г. 0:56:12 Receive IKE INFO : 10.10.30.2 --> 10.10.30.1
21 октября 2003 г. 0:56:13 IKE phase2 (IPSec SA) remove : 192.168.0.0 <-> 10.10.201.128
21 октября 2003 г. 0:56:13 inbound SPI = 0x0, outbound SPI = 0x0
В чём облом?
На время не смотрите я соединения по кругу гоняю
циска с другой стороны пишет:
01:14:22: CRYPTO-6-IKMP_MODE_FAILURE: Processing of Quick mode failed with peer at 10.10.30.1

Вернуться наверх

svost

Заголовок сообщения: Извините но Ваш форум вываливается в такое окно

Добавлено: Чт дек 25, 2003 10:39

Зарегистрирован: Чт дек 18, 2003 16:13
Сообщений: 8
Откуда: Россия Республика Карелия

частенько после добавления нового сообщения на форум выдается вот такое ругательство:

Failed sending email ::

DEBUG MODE

Line : 225
File : /webs/wwwdlink/www/phorum/includes/emailer.php

Просьба ответить на мой вопрос по логам

Вернуться наверх

Ivan Martynyuk

Заголовок сообщения:

Добавлено: Чт дек 25, 2003 13:37

Зарегистрирован: Чт окт 30, 2003 20:00
Сообщений: 71
Откуда: D-Link Kiev

Вышлите, пожалуйста, мне на мейл дебаг циски (включается командами: debug crypto isakmp и debug crypto ipsec), а также результаты команд: show crypto isakmp sa, show crypto ipsec sa, show crypto engine connection active. Лог той же сессии DI. Конфиг DI и конфиг Циски.

Вернуться наверх

svost

Заголовок сообщения: Разобрался, но

Добавлено: Пт дек 26, 2003 11:38

Зарегистрирован: Чт дек 18, 2003 16:13
Сообщений: 8
Откуда: Россия Республика Карелия

Трудновато с циской разбираться в первое время...К чему вся предистория: есть центральный офис (у нас) в нём циска - представительства - (циски покупать туда нам запрещено) Связь между ними с помощью двух зелаксов (выделенка), причём один конец туннеля у нашего провайдера по договорённости!!!, а в представительствах winroute - что не есть хорошо.
Я хочу проверить такую вещь: сеть cisco lucent dsl pipe туннель lucent dsl pipe di804hv сеть, т.е. заменить циско на длинк с одной стороны (удешевить схему) Вопрос: потянет длинк такую конфигурацию конфига на другом конце туннеля (взята с циски в центральном офисе)
и если да, то можно увидеть примерный конфиг?
!
interface Tunnel1
ip address 192.168.252.1 255.255.255.252
no ip proxy-arp
tunnel source Serial0
tunnel destination X.X.X.X
tunnel mode ipip
tunnel key 1234
tunnel path-mtu-discovery
!
!
interface Serial0
ip address Y.Y.Y.Y 255.255.255.252
ip access-group 2 in
no ip unreachables
no ip proxy-arp
ip nat outside
!

Вернуться наверх

Гость

Заголовок сообщения: Re: Разобрался, но

Добавлено: Пт дек 26, 2003 11:52

svost писал(а):

.... Вопрос: потянет длинк такую конфигурацию конфига на другом конце туннеля (взята с циски в центральном офисе)
и если да, то можно увидеть примерный конфиг?
!
interface Tunnel1
ip address 192.168.252.1 255.255.255.252
no ip proxy-arp
tunnel source Serial0
tunnel destination X.X.X.X
tunnel mode ipip
tunnel key 1234
tunnel path-mtu-discovery
!
!
interface Serial0
ip address Y.Y.Y.Y 255.255.255.252
ip access-group 2 in
no ip unreachables
no ip proxy-arp
ip nat outside
!

804HV не умеет GRE.
Поэтому придется использовать ipsec.
Конфиг для циски можно найти на www.cisco.com.
Настройка 804HV "интуитивно понятна". (особенно если до этого циску настроили

)

Вернуться наверх

Гость

Заголовок сообщения:

Добавлено: Пт дек 26, 2003 11:55

я кстати теперь понял, что означало "Можно ли настроить туннель используя только PRESHARED KEY и не настраивая шифрования и авторизации?".....имелся ввиду GRE?
Еще раз повторю, 804HV не поддерживает ни каких других туннелей, кроме ipsec.

Вернуться наверх

svost

Заголовок сообщения: В муках рождалась истина.

Добавлено: Пт дек 26, 2003 13:27

Зарегистрирован: Чт дек 18, 2003 16:13
Сообщений: 8
Откуда: Россия Республика Карелия

Спасибо за ответы, последний вопрос - если искать "замену" циски с поддержкой GRE, какой RFC железяка должна поддерживать? Есть ли такие продукты у d-link?

Вернуться наверх

Гость

Заголовок сообщения: Re: В муках рождалась истина.

Добавлено: Пт дек 26, 2003 13:39

svost писал(а):

DI-1750/2630/3660.
Уточнение: у вас там не GRE, а IPIP(ip поверх ip)....просто привычка называть все туннели GRE туннелями

Можно все же оставить DI-804, но вместо ipip туннеля использовать ipsec. Разницы не почувствуете. Если надо, пришлю конфиг циски для ipsec.

Вернуться наверх

svost

Заголовок сообщения: Просьба выслать конфиг

Добавлено: Пт дек 26, 2003 15:04

Зарегистрирован: Чт дек 18, 2003 16:13
Сообщений: 8
Откуда: Россия Республика Карелия

Просьба выслать конфиг на мыло.
Спасибо за помощь.

Вернуться наверх

Страница 1 из 2

[ Сообщений: 23 ]

На страницу 1, 2 След.

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 264

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения