ZeRKoX Skrevet 21. desember 2009 Del Skrevet 21. desember 2009 Hei. Jeg har sagt ja til å sette opp en VPN-tunnell mellom to kontorer, og tenker å gjøre dette med to stk Cisco 1710. Jeg har prøvd å konfigurere demm på lokalnettet hjemme, men jeg får det ikke helt til. Jeg klarer ikke å pinge på tvers av tunnellen. Klarer dere se hva som er feil? Router-Bryne#sh run Building configuration... Current configuration : 1493 bytes ! version 12.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router-Bryne ! enable secret 5 $1$2JBH$CXejUwXEFfaOfGq8hVURS/ ! memory-size iomem 20 ip subnet-zero ! ! ip dhcp excluded-address 192.168.30.1 192.168.30.100 ! ip dhcp pool bryne network 192.168.30.0 255.255.255.0 default-router 192.168.30.1 domain-name ****.***********.loc dns-server 208.67.220.220 lease 7 ! ip audit notify log ip audit po max-events 100 ! ! crypto isakmp policy 9 hash md5 authentication pre-share crypto isakmp key ************** address 192.168.5.199 ! crypto ipsec security-association lifetime seconds 86400 ! crypto ipsec transform-set tunnellen esp-3des esp-sha-hmac ! crypto map vpntunnell 10 ipsec-isakmp set peer 192.168.5.199 set transform-set tunnellen match address 100 ! ! ! ! interface Ethernet0 ip address 192.168.5.198 255.255.255.0 ip nat outside full-duplex crypto map vpntunnell ! interface FastEthernet0 ip address 192.168.30.1 255.255.255.0 ip nat inside speed auto full-duplex ! ip nat inside source list 7 interface Ethernet0 overload ip classless ip route 0.0.0.0 0.0.0.0 192.168.5.1 permanent no ip http server ! ! access-list 7 permit 192.168.30.0 0.0.0.255 access-list 100 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255 access-list 100 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255 ! ! line con 0 line aux 0 line vty 0 4 password ******** login ! end Router-Vigrestad#sh run Building configuration... Current configuration : 1728 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Router-Vigrestad ! enable secret 5 $1$n.cF$6P49ly0kCN2nYx.DRDdNV0 ! memory-size iomem 15 ip subnet-zero ! ! ip dhcp excluded-address 192.168.20.1 192.168.20.100 ! ip dhcp pool vigrestad network 192.168.20.0 255.255.255.0 default-router 192.168.20.1 domain-name *****.**********.loc dns-server 208.67.220.220 lease 7 ! ip audit notify log ip audit po max-events 100 ip ssh time-out 120 ip ssh authentication-retries 3 ! crypto isakmp policy 9 hash md5 authentication pre-share crypto isakmp key ************** address 192.168.5.198 ! crypto ipsec security-association lifetime seconds 86400 ! crypto ipsec transform-set tunnellen esp-3des esp-sha-hmac crypto mib ipsec flowmib history tunnel size 200 crypto mib ipsec flowmib history failure size 200 ! crypto map vpntunnell 10 ipsec-isakmp set peer 192.168.5.198 set transform-set tunnellen match address 100 ! ! ! ! interface Ethernet0 description Utside1 ip address 192.168.5.199 255.255.255.0 ip nat outside full-duplex crypto map vpntunnell ! interface FastEthernet0 description Innside1 ip address 192.168.20.1 255.255.255.0 ip nat inside speed auto full-duplex ! ip nat inside source list 7 interface Ethernet0 overload ip classless ip route 0.0.0.0 0.0.0.0 192.168.5.1 permanent no ip http server ip pim bidir-enable ! access-list 7 permit 192.168.20.0 0.0.0.255 access-list 100 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255 access-list 100 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255 ! route-map test permit 10 ! ! line con 0 line aux 0 line vty 0 4 password ******** login ! end Lenke til kommentar
trrunde Skrevet 21. desember 2009 Del Skrevet 21. desember 2009 kan ikke så mye cisco enda, men skal lære meg det selv endag nå snart og kom over denne guiden http://www.blindhog.net/cisco-how-to-configure-an-ipsec-vpn/ kanskje den kan hjelpe deg. Lenke til kommentar
VictorOsborn Skrevet 23. desember 2009 Del Skrevet 23. desember 2009 Du får pinge med en annen source, fra LAN interfacet eller legge til en linje til i acl 100, din ping outsource adresse og icmp traffic. Din ping blir ikke cryptert og sendt over tunnelen. Jeg ville ikke ha sjekket om tunnelen er oppe med ping. Start med å sjekke isakmp med sh crypto isakmp sa og sjekk om den har gått i qm idle. Alt annen status er dårlig. Hvis den ikke har det ville jeg ha sjekket om den globale internet adressen er reachable fra ende til ende. Se om du får hits i loggen i FW eller tillat midlertidig for dette. Har du FW i begge ender? Hvis det er i orden kan sjekke sh crypto ipsec og om du hele tatt crypterer pakker utgående og sjekke pakker inngående. Din acl 100 bør være speilet på remote end. Lenke til kommentar
hesam Skrevet 22. februar 2010 Del Skrevet 22. februar 2010 (endret) Hei! Sånt skal være tilganglistene for NAT. Fjern subnettet må ikke bli NATet. access-list 150 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255 access-list 150 permit ip 192.168.30.0 0.0.0.255 any -------------------------------------------------------------------- access-list 150 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255 access-list 150 permit ip 192.168.20.0 0.0.0.255 any Endret 21. april 2010 av cyclo Fjernet unødvendig quote Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå