[MASOCH-L] VPN IPSEC cisco 1700

Thu Aug 20 16:48:28 BRT 2009

Olá Luis, acho que assim fica um pouco mais fácil para entender:

! configuração da phase 1 (isakmp) - o default do Cisco é usar DES
para esta fase
crypto isakmp policy 1
 hash md5 !--- confirme se está usando md5 ou sha
 authentication pre-share
 lifetime 28800

! psk para o gw-remoto
crypto isakmp key <chave> address <gw-remoto>

! transform-set (phase 2)
crypto ipsec transform-set cm-transformset-1 esp-des esp-md5-hmac
!--- confirme se está usando des ou 3des, md5 ou sha para criptografia e
!--- altere a configuração acima para refletir a mesma configuração do gw-remoto

! crypto-map que deverá ser aplicado na sua interface wan,
! normalmente é a interface para onde está apontada a sua rota default
crypto map cm-cryptomap 1 ipsec-isakmp
 set peer <gw-remoto>
 set transform-set cm-transformset-1
 ! access-list que selecionará o tráfego e criará as SAs
 match address 100

! defina a access-list
access-list 100 permit <rede interna> <rede remota>
access-list 100 permit (...)

! aplique o crypto-map em uma interface
interface f0/0
 description connected to Internet
 crypto map cm-cryptomap
!
end

Depois disso, teste a comunicação e verifique o status do túnel com
"show crypto isakmp sa". QM_IDLE significa que está tudo bem.

Gustavo.

On Thu, Aug 20, 2009 at 4:24 PM, Luis Luis<masoch460 at gmail.com> wrote:
> Emiliano,
>
> Obrigado vou ver se consigo algo aqui com suas informações.
>
> Luís
>
> On Thu, Aug 20, 2009 at 4:16 PM, Emiliano Martins <
> emiliano.martins at ik1.com.br> wrote:
>
>> Luis,
>> Achei uns comandos para configurar o cisco 1720, talvez te ajude:
>>
>> *Cisco router Setup:*
>>
>> *Setup Cisco with Commands*
>> version 12.2
>> no parser cache
>> no service single-slot-reload-enable
>> service timestamps debug uptime
>> service timestamps log uptime
>> service password-encryption
>> hostname Cisco1720
>> logging rate-limit console 10 except errors
>> enable password
>> memory-size iomem 15
>> mmi polling-interval 60
>> no mmi auto-configure
>> no mmi pvc
>> mmi snmp-timeout 180
>> ip subnet-zero
>> no ip domain-lookup
>> ip dhcp pool 1
>> network 192.168.2.0 255.255.255.0
>> default-router 192.168.2.1
>> ip audit notify log
>> ip audit po max-events 100
>> ip ssh time-out 120
>> ip ssh authentication-retries 3
>> no ip dhcp-client network-discovery
>> *crypto isakmp policy 1
>> hash md5
>> authentication pre-share
>> lifetime 3600
>> crypto isakmp key 123 address 203.69.175.28
>> crypto ipsec transform-set cm-transformset-1 esp-des esp-md5-hmac
>> crypto mib ipsec flowmib history tunnel size 200
>> crypto mib ipsec flowmib history failure size 200
>> crypto map cm-cryptomap local-address Ethernet0
>> crypto map cm-cryptomap 1 ipsec-isakmp
>> set peer 203.69.175.28
>> set transform-set cm-transformset-1
>> match address 100*
>> interface Ethernet0
>> description connected to Internet
>> ip address 210.243.151.181 255.255.255.240
>> half-duplex
>> *crypto map cm-cryptomap*
>> interface FastEthernet0
>> description connected to EthernetLAN_1
>> ip address 192.168.2.1 255.255.255.0
>> speed auto
>> router rip
>> version 1
>> passive-interface Ethernet0
>> network 210.243.151.176
>> network 192.168.2.0
>> no auto-summary
>> ip classless
>> ip route 0.0.0.0 0.0.0.0 Ethernet0
>> no ip http server
>> *access-list 100 permit ip 192.168.2.0
>> 0.0.0.255
>> 192.168.1.0
>> 0.0.0.255*
>> snmp-server community public RO
>> line con 0
>> exec-timeout 0 0
>> password 7 06575D7218
>> login
>> line aux 0
>> line vty 0 4
>> password
>> login
>> line vty 5 15
>> login
>> no scheduler allocate
>> end
>>
>> 2009/8/20 Luis Luis <masoch460 at gmail.com>
>>
>> > Olá emiliano
>> >
>> > Já estou com as informações do IKE aqui e o endeço da rede lan de lá.
>> >
>> > Informações do IKE
>> > Name: IKE
>> > General Settings
>> > Perfect Forward Secrecy: disabled
>> > Rekey Time Limit: 28800
>> > ISAKMP Retransmit Interval:16
>> > Rekey Traffic Limit:0
>> > Max Retransmit Attempts: 4
>> > Replay Window Size: 0
>> > Vendor ID: off
>> >
>> > Só estou vendo como configuro isso no cisco, obrigado pelas informações,
>> >
>> > Luís
>> >
>> >
>> > 2009/8/20 Emiliano Martins <emiliano.martins at ik1.com.br>
>> >
>> > > Luis,
>> > > Além desses dados você precisará do ip de lan da outra ponta e dos
>> tempos
>> > > de
>> > > cada fase do IKE. Só não tenho um tutorial para vc...
>> > >
>> > > 2009/8/20 Luis Luis <masoch460 at gmail.com>
>> > >
>> > > > Boa tarde lista,
>> > > >
>> > > > Estou aqui fazendo pela primeira vez uma conexão vpn com o meus cisco
>> > > 1700,
>> > > > vou ser client de um concentrador que preciso me interligar.
>> > > > O pessoal me passou os seguintes dados para mim se conectar a eles;
>> > > >
>> > > > Shared Key: "a chave para conexão
>> > > > IP Publico : "o ip deles para se conectar a eles"
>> > > >
>> > > > Como nunca fiz isso queria saber se alguém já fez ou sabe algum
>> > > > documentação
>> > > > para mim verificar.
>> > > >
>> > > > Obrigado,
>> > > >
>> > > > Luís
>> > > > __
>> > > > masoch-l list
>> > > > https://eng.registro.br/mailman/listinfo/masoch-l
>> > > >
>> > >
>> > >
>> > >
>> > > --
>> > > Emiliano Martins
>> > > iK1 Tecnologia Ltda
>> > > __
>> > > masoch-l list
>> > > https://eng.registro.br/mailman/listinfo/masoch-l
>> > >
>> > __
>> > masoch-l list
>> > https://eng.registro.br/mailman/listinfo/masoch-l
>> >
>>
>>
>>
>> --
>> Emiliano Martins
>> iK1 Tecnologia Ltda
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>