Как настроить site-to-site на s-terra? День добрый, подскажите как победить s-terra gate100. суть соединить их через ipsec.
Дано: 2 s-terra gate100,
1 s-terra (gw) ip 192.168.1.252 192.168.1.253 192.168.1.254
2 s-terra (client) ip 192.168.1.242 192.168.1.243 192.168.1.244
GW!
version 12.4
no service password-encryption
!
crypto ipsec df-bit copy
crypto isakmp identity dn
username cscons privilege 15 password 0 csp
aaa new-model
!
!
hostname GW
enable password csp
!
!
!
logging trap debugging
!
!
crypto isakmp policy 1
encr gost
hash gost
authentication gost-sig
group vko
!
crypto ipsec transform-set TSET esp-gost28147-4m-imit
!
ip access-list extended LIST
permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 100.100.1.0 0.0.0.255 192.168.0.0 0.0.0.255
!
!
crypto map CMAP 1 ipsec-isakmp
match address LIST
set transform-set TSET
set pfs vko
set peer 10.0.0.3
!
interface GigabitEthernet0/0
ip address 192.168.1.252 255.255.255.0
crypto map CMAP
!
interface GigabitEthernet0/1
ip address 192.168.1.253 255.255.255.0
!
interface GigabitEthernet0/2
ip address 192.168.1.254 255.255.255.0
!
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
crypto pki trustpoint s-terra_technological_trustpoint
revocation-check none
!
end
Client!
version 12.4
no service password-encryption
!
crypto ipsec df-bit copy
crypto isakmp identity dn
username cscons privilege 15 password 0 csp
aaa new-model
!
!
hostname client
enable password csp
!
!
!
logging trap debugging
!
!
crypto isakmp policy 1
encr gost
hash gost
authentication gost-sig
group vko
!
crypto ipsec transform-set TSET esp-gost28147-4m-imit
!
ip access-list extended LIST
permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 100.100.1.0 0.0.0.255 192.168.0.0 0.0.0.255
permit ip 192.168.0.0 0.0.0.255 any
!
!
interface GigabitEthernet0/0
ip address 192.168.1.242 255.255.255.0
!
interface GigabitEthernet0/1
ip address 192.168.1.243 255.255.255.0
!
interface GigabitEthernet0/2
ip address 192.168.1.244 255.255.255.0
!
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
crypto pki trustpoint s-terra_technological_trustpoint
revocation-check none
!
end
при пинге gw линк не поднимается
Как настроить site-to-site на s-terra? День добрый, подскажите как победить s-terra gate100. суть соединить их через ipsec.
Дано: 2 s-terra gate100,
1 s-terra (gw) ip 192.168.1.252 192.168.1.253 192.168.1.254
2 s-terra (client) ip 192.168.1.242 192.168.1.243 192.168.1.244
GW!
version 12.4
no service password-encryption
!
crypto ipsec df-bit copy
crypto isakmp identity dn
username cscons privilege 15 password 0 csp
aaa new-model
!
!
hostname GW
enable password csp
!
!
!
logging trap debugging
!
!
crypto isakmp policy 1
encr gost
hash gost
authentication gost-sig
group vko
!
crypto ipsec transform-set TSET esp-gost28147-4m-imit
!
ip access-list extended LIST
permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 100.100.1.0 0.0.0.255 192.168.0.0 0.0.0.255
!
!
crypto map CMAP 1 ipsec-isakmp
match address LIST
set transform-set TSET
set pfs vko
set peer 10.0.0.3
!
interface GigabitEthernet0/0
ip address 192.168.1.252 255.255.255.0
crypto map CMAP
!
interface GigabitEthernet0/1
ip address 192.168.1.253 255.255.255.0
!
interface GigabitEthernet0/2
ip address 192.168.1.254 255.255.255.0
!
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
crypto pki trustpoint s-terra_technological_trustpoint
revocation-check none
!
end
Client!
version 12.4
no service password-encryption
!
crypto ipsec df-bit copy
crypto isakmp identity dn
username cscons privilege 15 password 0 csp
aaa new-model
!
!
hostname client
enable password csp
!
!
!
logging trap debugging
!
!
crypto isakmp policy 1
encr gost
hash gost
authentication gost-sig
group vko
!
crypto ipsec transform-set TSET esp-gost28147-4m-imit
!
ip access-list extended LIST
permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 100.100.1.0 0.0.0.255 192.168.0.0 0.0.0.255
permit ip 192.168.0.0 0.0.0.255 any
!
!
interface GigabitEthernet0/0
ip address 192.168.1.242 255.255.255.0
!
interface GigabitEthernet0/1
ip address 192.168.1.243 255.255.255.0
!
interface GigabitEthernet0/2
ip address 192.168.1.244 255.255.255.0
!
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
crypto pki trustpoint s-terra_technological_trustpoint
revocation-check none
!
end
при пинге gw линк не поднимается
Дано: 2 s-terra gate100,
1 s-terra (gw) ip 192.168.1.252 192.168.1.253 192.168.1.254
2 s-terra (client) ip 192.168.1.242 192.168.1.243 192.168.1.244
GW!
version 12.4
no service password-encryption
!
crypto ipsec df-bit copy
crypto isakmp identity dn
username cscons privilege 15 password 0 csp
aaa new-model
!
!
hostname GW
enable password csp
!
!
!
logging trap debugging
!
!
crypto isakmp policy 1
encr gost
hash gost
authentication gost-sig
group vko
!
crypto ipsec transform-set TSET esp-gost28147-4m-imit
!
ip access-list extended LIST
permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 100.100.1.0 0.0.0.255 192.168.0.0 0.0.0.255
!
!
crypto map CMAP 1 ipsec-isakmp
match address LIST
set transform-set TSET
set pfs vko
set peer 10.0.0.3
!
interface GigabitEthernet0/0
ip address 192.168.1.252 255.255.255.0
crypto map CMAP
!
interface GigabitEthernet0/1
ip address 192.168.1.253 255.255.255.0
!
interface GigabitEthernet0/2
ip address 192.168.1.254 255.255.255.0
!
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
crypto pki trustpoint s-terra_technological_trustpoint
revocation-check none
!
end
Client!
version 12.4
no service password-encryption
!
crypto ipsec df-bit copy
crypto isakmp identity dn
username cscons privilege 15 password 0 csp
aaa new-model
!
!
hostname client
enable password csp
!
!
!
logging trap debugging
!
!
crypto isakmp policy 1
encr gost
hash gost
authentication gost-sig
group vko
!
crypto ipsec transform-set TSET esp-gost28147-4m-imit
!
ip access-list extended LIST
permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 100.100.1.0 0.0.0.255 192.168.0.0 0.0.0.255
permit ip 192.168.0.0 0.0.0.255 any
!
!
interface GigabitEthernet0/0
ip address 192.168.1.242 255.255.255.0
!
interface GigabitEthernet0/1
ip address 192.168.1.243 255.255.255.0
!
interface GigabitEthernet0/2
ip address 192.168.1.244 255.255.255.0
!
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
crypto pki trustpoint s-terra_technological_trustpoint
revocation-check none
!
end
при пинге gw линк не поднимается
Не можешь разобраться в этой теме?
Обратись за помощью к экспертам
Гарантированные бесплатные доработки
Быстрое выполнение от 2 часов
Проверка работы на плагиат
Интересные статьи из справочника
Поможем написать учебную работу
Отвечай на вопросы, зарабатывай баллы и трать их на призы.
Подробнее
Подробнее
Чтобы настроить site-to-site VPN между двумя устройствами s-terra Gate100 через IPsec, следует выполнить следующие шаги:
Настройка IPSec на обоих устройствах:
Указать параметры шифрования, аутентификации и одноранговой безопасности (PFS) в политике ISAKMP на обоих устройствах.Создать transform-set для задания параметров шифрования IPsec на обоих устройствах.Создать access-list для определения трафика, который будет защищен IPsec на обоих устройствах.Создать crypto map для установления туннеля IPsec между устройствами на обоих устройствах.Назначить созданный crypto map на входящий интерфейс, через который будет проходить защищенный трафик на обоих устройствах.Настройка интерфейсов:
Назначить IP адреса на интерфейсы устройств, соответствующие их сетевому конфигу в вашем случае 192.168.1.242-244 на клиенте и 192.168.1.252-254 на GW.Создать маршрут по умолчанию на каждом устройстве указывающий на шлюз для выхода в Интернет (в вашем случае 192.168.1.1).Убедитесь, что оба устройства имеют общую точку доверия (trustpoint) для сертификатов, если используются сертификаты для аутентификации.
Проверьте настройки согласования параметров IPsec между устройствами, такие как алгоритмы шифрования, аутентификации и группа обмена ключами.
Проверьте логи на обоих устройствах для наличия ошибок и отладочной информации, чтобы выявить проблемы с установлением VPN туннеля.
После того, как все настройки сделаны, попробуйте пропинговать другое устройство для активации туннеля IPsec и проверьте статус соединения с помощью команды "show crypto isakmp sa" и "show crypto ipsec sa" на обоих устройствах. Если соединение не устанавливается, убедитесь, что все параметры согласованы правильно между устройствами и что нет проблем с доступностью сети между ними.