Последние сообщения

1

Сетевая Безопасность - Security / Re: IPSEC между маршрутизаторами 891 и 3825

« Последний ответ от uvs Июня 18, 2019, 02:36:27 pm »

Код: [Выделить]

aaa new-model
aaa authorization network default local

vpdn enable
vpdn-group L2TP
 ! Default L2TP VPDN group
 accept-dialin
  protocol l2tp
  virtual-template 1
 no l2tp tunnel authentication
 l2tp tunnel receive-window 128
 ip mtu adjust

username USER password 0 PASS

crypto keyring MY_KEYRING
  local-address Vlan50
  pre-shared-key address 0.0.0.0 0.0.0.0 key MY_KEY

crypto isakmp policy 100
 encr aes 256
 authentication pre-share
 group 20
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 10 periodic

crypto isakmp profile MY_L2TP
   keyring MY_KEYRING
   match identity address 0.0.0.0

crypto ipsec transform-set ESP-AES256-SHA esp-aes 256 esp-sha-hmac
 mode transport require
crypto ipsec df-bit clear

crypto dynamic-map MY_DYN 1000
 set transform-set ESP-AES256-SHA
 set isakmp-profile MY_L2TP

crypto map MY_GLOBAL 2000 ipsec-isakmp dynamic MY_DYN

interface Loopback1
 ip address 192.168.30.1 255.255.255.0

interface Vlan50
 ip address dhcp
 ip nat outside
 ip virtual-reassembly in
 crypto map MY_GLOBAL

interface Virtual-Template1
 ip unnumbered Loopback1
 ip mtu 1460
 ip tcp adjust-mss 1420
 peer default ip address pool IPPOOL
 ppp authentication ms-chap-v2 callin

ip local pool IPPOOL 192.168.30.150 192.168.30.170


2

Сетевая Безопасность - Security / Re: L2TP over IPSEC не устанавливается на маршрутизаторах ISR G2 890/1900/2900 серий

« Последний ответ от lelik Июня 04, 2019, 06:02:07 pm »

Настройки стандартные для VPDN
vpdn enable
vpdn-group L2TP-IPSEC
! Default L2TP VPDN group
 accept-dialin
  protocol l2tp
  virtual-template 1
 l2tp security crypto-profile L2TP
 no l2tp tunnel authentication

interface Virtual-Template1
 description L2TP-CLIENT
 ip address 10.100.1.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 peer default ip address dhcp-pool L2TP-CLIENT
 no keepalive
 ppp authentication ms-chap-v2

для IPSEC

crypto isakmp policy 2
 encr aes
 authentication pre-share
 group 2
!
crypto isakmp policy 3
 encr 3des
 authentication pre-share

crypto ipsec transform-set L2TP-SECURE esp-3des esp-sha-hmac
 mode transport

crypto map L2TP-WAN 10 ipsec-isakmp profile L2TP
 set transform-set L2TP-SECURE

interface GigabitEthernet0
crypto map L2TP-WAN


 group 2

3

Сетевая Безопасность - Security / Re: L2TP over IPSEC не устанавливается на маршрутизаторах ISR G2 890/1900/2900 серий

« Последний ответ от uvs Июня 02, 2019, 11:10:17 am »

Приветствую, вдогоночку еще одна проблема, на маршрутизаторах поколения G2 серии 890/2900 с обновленным IOS (c890-universalk9-mz.153-3.M2.bin) и выше не устанавливается L2TP соединение, если же использовать более старую версию IOS (c890-universalk9-mz.150-1.M5.bin),  все сращивается моментально, та же проблема и с 2900 серией, в чем может быть загвозка?

А вы какой технологией пользуетесь?

Я тоже долго бился с этим и у меня всё заработало в конечном итоге.

Сперва была фишка при настройке IPSEC.
Дальше ещё одна при настройке Virtual-PPP.

4

Сетевая Безопасность - Security / Re: L2TP over IPSEC не устанавливается на маршрутизаторах ISR G2 890/1900/2900 серий

« Последний ответ от lelik Мая 31, 2019, 01:25:16 pm »

все делали, но один нюансик если брать новый IOS c890-universalk9-mz.156-3.M.bin с новым то все сращивается моментально, а со старым c890-universalk9-mz.150-1.M5.bin не хочет проблема по дебагам на второй фазе . Та же проблема с L2TP на старых все идеально как только новый то на второй фазе отлуп.

5

Сетевая Безопасность - Security / Re: L2TP over IPSEC не устанавливается на маршрутизаторах ISR G2 890/1900/2900 серий

« Последний ответ от Al Мая 31, 2019, 12:58:29 pm »

Для начала надо бы точно понять, в чем именно проблема. Отладчик isakmp и затем ipsec все расскожет. (debug crypto isakmp, debug crypto ipsec).

6

Сетевая Безопасность - Security / Re: L2TP over IPSEC не устанавливается на маршрутизаторах ISR G2 890/1900/2900 серий

« Последний ответ от lelik Мая 31, 2019, 12:42:10 pm »

скорее всего еще одна проблема связанная с установлением IPSEC туннеля между маршрутизаторами одной модели 891/892 но с разными IOS. Туннель сращивается но через примерно 60 секунд падает, Tunnel3 is up, line protocol is down. Я уже это описывал в другой теме, хотелось бы узнать есть ли решение данной проблемы, или же повально переходить на новый IOS и отказываться от L2TP взамен Cisco Easy VPN

7

Сетевая Безопасность - Security / Re: L2TP over IPSEC не устанавливается на маршрутизаторах ISR G2 890/1900/2900 серий

« Последний ответ от Al Мая 30, 2019, 12:43:54 pm »

Возможно, проблема связана с лицензией security в новом IOS (show license).

8

Сетевая Безопасность - Security / L2TP over IPSEC не устанавливается на маршрутизаторах ISR G2 890/1900/2900 серий

« Последний ответ от lelik Мая 29, 2019, 12:07:33 pm »

Приветствую, вдогоночку еще одна проблема, на маршрутизаторах поколения G2 серии 890/2900 с обновленным IOS (c890-universalk9-mz.153-3.M2.bin) и выше не устанавливается L2TP соединение, если же использовать более старую версию IOS (c890-universalk9-mz.150-1.M5.bin),  все сращивается моментально, та же проблема и с 2900 серией, в чем может быть загвозка?
 

9

Сетевая Безопасность - Security / IPSEC между маршрутизаторами 891 и 3825

« Последний ответ от lelik Мая 29, 2019, 12:25:01 am »

Доброго дня, может кто сталкивался с подобной проблемой не хочет устанавливаться туннель между маршрутизаторами со старым IOS 3825 (c3825-adventerprisek9-mz.124-15.T4.bin) и 891 с новой версией c890-universalk9-mz.156-3.M.bin, Tunnel3 is up, line protocol is down. В чем может быть загвозка.

10

Коммутация и Маршрутизация - Routing & Switching / Re: Добавить тэг CISCO

« Последний ответ от Al Апреля 18, 2019, 12:03:17 pm »

Коллега, здравствуйте!

Возможно, Вы имеете ввиду TrustSec SGT, ознакомиться можно, например тут: https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_cts/configuration/xe-3s/sec-usr-cts-xe-3s-book/cts-sxp-ipv4.html

Вы также можете поискать руководство по настройке конкретно для Вашего железа и релиза софта на cisco.com.