шифруется весь трафик, поступающий в туннель

Почему?

ага

это в вашей конфигурации

Ну вы защиту на тунель уже повесили и на физику

match address ACLSPB убрать

и убить acl

ACL применяется в крипто мап, а крипто мап тут не нужна

короче

правильно?

crypto isakmp policy 10 encr aes authentication pre-share group 2 crypto isakmp key supersecret address х.х.х.х ! ! crypto ipsec transform-set TS esp-aes esp-sha-hmac mode transport ! crypto ipsec profile REG set transform-set TS ! ! ! ! interface Tunnel11 ip unnumbered GigabitEthernet0/0/0 tunnel source х.х.х.х tunnel destination х.х.х.х tunnel protection ipsec profile REG ! ! interface GigabitEthernet0/0/0 ! ! ip route 172.22.111.0 255.255.255.0 Tunnel11

ага

спасибо, щас попробую

Да

с другой стороны соответственно надо поправить адрес в isakmp ключе

а остальное всё так же

ага

это понятно

тут дело в том, что применяя IPSEC на физике с помощью криптомапы, вы создаете ipsec туннель, в котором шифруете интересующий вас трафик (указан в acl). Если же используется gre туннель, то зачем создавать ещё один ipsec туннель - просто вешаете crypto profile, который будет шифровать весь трафик в туннеле.

либо с крипто-мапой можно матчить gre any any и будет ipsec over gre :)

в общем такая скользкая тема, в ней лучше разобраться, если применяете. :)

Я на CCNA ходил

Немного стыдно

Но вот на 3.0

да не

очень мало было про VPN

CCNA скорее просто говорит, что трафик шифровать можно. :)

Можно сказать что не было

А вот как - это уже другой вопрос :))

показали только IPSEC чистый

и все - это говорит все что вам надо знать

=))

Слушайте

тоесть и в микротике мне просто надо Ipsec фразу добваить в свойства GRe

и будет так же ?))

Стенд поднимите на ГНС или unetlab и поиграйтесь там много чего есть

У меня есть один филиал на микроте

в микротике хз, как gre over ipsec поднять. :)

Блин с GNS сложно все

но наверняка можно

Надо образы искать

ставить его

жуть

ради одной такой фигни

в микротике хз, как gre over ipsec поднять. :)

Вбить пароль при создании гре

образ микротика на официальном сайте. :)

Та ладно. Это не проблема

микротик у меня всего на одном филиале из 5

Вбить пароль при создании гре

ну я подозревал, что там несложно. Главное, чтобы дефолтные SA совпадали.

В гнс и eve-ng прекрасно всё работает на образе CHR

В центре 4431

Вокруг 4шт 881

делаю звезду

Proposals, а не SA

ну и + 1 микрот

Proposals, а не SA

верно, спасибо, что поправили. :)

Ага точно

их же надо вбить

а как он их подхватит?

Просто первые по приоритету найдет?

просто найдет совпадения

если они есть в наборах

ERROR: S client not available

ясно

спс

а получится так - с одной стороны tunnel mode protection, а с другой crypto map ??

Нет.

Листов не будет

Да нет

блин

я все со своим RUH2 мучаюсь

микрот просто ipsec profile активирует как только я фразу парольную в GRE залеплю

залезет в Proposals

возьметат там нужные

и будет шлифовать траффик

если я все правильно понял

возьметат там нужные

Возьмёт максимальную битность, которая согласуется с обеих сторон

Ну да это уже лирика

но суть ясна

прикольно вообщем

Если с одной стороны 128/192/256, а с другой 128/192, возьмёт 192

Кстати, коллеги, тоже хотел посоветоваться с кем-то у кого есть реализация wireless на циске ? Есть весьма не тривиальная проблема.

Плавающая проблема, которая появляется рандомно. Пропадает доступ к сети и только на макбуках. Причем проявляется так, что подключение на лаптопе остаётся, все сетевые настройки остаются и на wlc клиент есть в списке. Но доступа в сеть нет и до него достучаться не возможно.

Только на мак устройствах проявляется и только рандомно.

Просто как залипание. Помогает переподключение.

Да, есть такой баг)

Вот, я думал может только у меня. Писал тас. Эти ребята, вытянули с меня всю инфу. Сказали все переделать. Переделал не помогло. Сказали прошейтесь на новую. Прошил. Не помогло. Сказали баг будут искать. И пропали.

Короче циска еще те ребята. Я заметил, что это проявляется на сетях с АД. Думаю связь какая то с шифрованием между клиентом и точкой. Но поймать в дебаг Не могу. На точке дебаг только на час можно врубить при lwapp реализации

чуваки. Это была бага с сетью мака

именно wlan отпадывал?

Плавающая проблема, которая появляется рандомно. Пропадает доступ к сети и только на макбуках. Причем проявляется так, что подключение на лаптопе остаётся, все сетевые настройки остаются и на wlc клиент есть в списке. Но доступа в сеть нет и до него достучаться не возможно.

есть такое

посмотри в сторону записей в ARP таблицах устройств и скажи что увидишь ;)

у нас была ситуация, когда ARP ответы не проходили клиенту от шлюза. в обратную же сторону всё было красиво. этому подвержены были не только маки, кстати.