Crypto-map on Tunnel

[SashaXa]

Добрый день!

Как можно навесить карту криптования на тунель, чтобы трафик криптовался  :?
Не буду приводить пример конфигурации, так как он увенчался неудачей, причем не в первый раз. Исход один:
sh cry ses
Crypto session current status

Interface: Tunnel520
Session status: DOWN
Peer: ***.***.***.*** port 500
 IPSEC FLOW: permit 47 host ###.###.###.### host ***.***.***.***
       Active SAs: 0, origin: crypto map

Важно: нужен листинг команд с обеих сторон

Спасибо

[krasnov]

Командой crypto map ******
и будет у вас
Session status: UP-ACTIVE  
А если серьёзно то для ответа не хватает информации и тех же самых конфигов

[SashaXa]

А если серьёзно то для ответа не хватает информации и тех же самых конфигов

ну вот конфиг  :shock:
-----------------------------------------------------------------------
!
(config)#crypto isakmp policy 10
(config-isakmp)#hash md5
(config-isakmp)#authentication pre-share
(config-isakmp)#lifetime 4000
!
(config)#crypto isakmp key 0 abc address 111.111.111.111
(config)#crypto ipsec transform-set TR-IPSec esp-des esp-md5-hmac
(cfg-crypto-trans)#mode transport
!
(config)#crypto map Branch 10 ipsec-isakmp
(config-crypto-map)#set peer 222.222.222.222
(config-crypto-map)#set transform-set TR-IPSec
(config-crypto-map)#set pfs group1
(config-crypto-map)#match address 111
!
(config)#access-list 111 permit ip host 222.222.222.222 host 111.111.111.111
!
(config)#interface tunnel 111
(config-if)#crypto map Branch
!
---------------------------------------
с другой стороны тоже самое, только:
!
(config-crypto-map)#set peer 111.111.111.111
!
(config)#access-list 111 permit ip host 111.111.111.111 host 222.222.222.222
!

[krasnov]

Ну што люди такие скромные, если конфиг, то не полный (наверное)
1. Сам GRE сконфигурён, а то
(config)#interface tunnel 111
(config-if)#crypto map Branch
- слишком мало
2. (config)#access-list 111 permit gre host 222.222.222.222 host 111.111.111.111 (2-е буквы меняем на 3)
3. crypto map Branch - убираем с туннеля, ставим на физ. интерфейс (в зависимости от sh ver)

А также смотрим примеры конфигов на http://www.cisco.com/en/US/partner/tech ... _list.html[/b]

[a_shats]

krasnov
Злой ты Это ж партнерский сайт киски, без логина/пароля туды никак

[krasnov]

to a_shats
Я не злой, я залогинившийся
А на cisco даже без CCO это информаци ну очень много
http://www.cisco.com/en/US/tech/tk583/t ... _list.html

[SashaXa]

1. Сам GRE сконфигурён, а то  
(config)#interface tunnel 111
(config-if)#crypto map Branch
- слишком мало

ну если бы знал как это проверить наверное не спрашивал бы  :roll:

2. (config)#access-list 111 permit gre host 222.222.222.222 host 111.111.111.111 (2-е буквы меняем на 3)

эт как понимать-то,  :?:

А также смотрим примеры конфигов на http://www.cisco.com/en/US/partner/tech ... _list.html[/b]

если есть возможность выкинуть пример конфига, было бы замечательно

[and3008]

http://www.cisco.com/en/US/tech/tk583/t ... _list.html

Там почти 160 примеров готовых конфигов для IPSec на все случаи жизни. Все популярно разжевано c описанием и картинками.

[SashaXa]

http://www.cisco.com/en/US/tech/tk583/t ... _list.html

Там почти 160 примеров готовых конфигов для IPSec на все случаи жизни. Все популярно разжевано c описанием и картинками.

да уж, спасибо, помогли  :? ,  форумы вродь для того, чтобы из множества выбрать правильное решение, а линкоФФ я тоже могу много накидать ...  :roll: только проблему эт не решит

[krasnov]

И зачем обижаться
Ну не понимаем мы в чём у вас проблема
Теория дана в мануалах
Примеры конфигов там же
Примеры со своих девайсов - их нет у нас ( поверьте GRE over IPSec не всегда нужно )
Решить конкретный траблшутинг - всегда пожалуйста

[and3008]

форумы вродь для того, чтобы из множества выбрать правильное решение

Я вам дал линк на 160 вариантов различных решений.

Что я сделал не так?

[SashaXa]

И зачем обижаться
Ну не понимаем мы в чём у вас проблема

нет обид  8) ,  вернусь к началу темы, и попытаюсь задать вопрос по-другому:

Как правильно криптовать трафик внутри туннеля, или реальную конфигурацию Crypto-map с обеих сторон.
На все вопросы отвечу,

[krasnov]

С обоих девайсов
sh ver
sh run ( с поднятым тунелем)
тогда напишится конкретно, иначе и дальше будет биллетристика

[SashaXa]

С обоих девайсов
sh ver

Cisco IOS Software, 2801 Software (C2801-ADVENTERPRISEK9-M), Version 12.4(12), RELEASE SOFTWARE (fc1)
ROM: System Bootstrap, Version 12.3(8r)T9, RELEASE SOFTWARE (fc1)
System image file is "flash:c2801-adventerprisek9-mz.124-12.bin"

Cisco 2801 (revision 6.0) with 116736K/14336K bytes of memory.
Processor board ID FHK1038F2VN
2 FastEthernet interfaces
3 Serial(sync/async) interfaces
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity disabled.
191K bytes of NVRAM.
62720K bytes of ATA CompactFlash (Read/Write)


Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.4(5), RELEASE SOFTWARE (fc3)
ROM: System Bootstrap, Version 12.3(8r)T8, RELEASE SOFTWARE (fc1)
System image file is "flash:c1841-advipservicesk9-mz.124-5.bin"

Cisco 1841 (revision 5.0) with 116736K/14336K bytes of memory.
Processor board ID FCZ093420TD
6 FastEthernet interfaces
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity disabled.
191K bytes of NVRAM.
31360K bytes of ATA CompactFlash (Read/Write)

С обоих девайсов
sh run

уж больно много получится, конкретнее что вырезать, от кеда и до кеда ...

[krasnov]

кидайте полностью, места не жалко;)
будет меньше вопросов и непоняток