[MASOCH-L] VPN IPSEC cisco 1700
Emiliano Martins
emiliano.martins at ik1.com.br
Thu Aug 20 17:04:52 -03 2009
É eu não entendo de Cisco... eu brinco de VPN com roteadores com
configuração pela interface web... apenas peguei os comandos que achei no
site de um fabricante e que um cliente meu já havia utilizado.
Mas é sempre bom saber o qeu significam os comandos, obrigado Gustavo.
2009/8/20 Gustavo Rodrigues Ramos <gustavo at nexthop.com.br>
> Olá Luis, acho que assim fica um pouco mais fácil para entender:
>
> ! configuração da phase 1 (isakmp) - o default do Cisco é usar DES
> para esta fase
> crypto isakmp policy 1
> hash md5 !--- confirme se está usando md5 ou sha
> authentication pre-share
> lifetime 28800
>
> ! psk para o gw-remoto
> crypto isakmp key <chave> address <gw-remoto>
>
> ! transform-set (phase 2)
> crypto ipsec transform-set cm-transformset-1 esp-des esp-md5-hmac
> !--- confirme se está usando des ou 3des, md5 ou sha para criptografia e
> !--- altere a configuração acima para refletir a mesma configuração do
> gw-remoto
>
> ! crypto-map que deverá ser aplicado na sua interface wan,
> ! normalmente é a interface para onde está apontada a sua rota default
> crypto map cm-cryptomap 1 ipsec-isakmp
> set peer <gw-remoto>
> set transform-set cm-transformset-1
> ! access-list que selecionará o tráfego e criará as SAs
> match address 100
>
> ! defina a access-list
> access-list 100 permit <rede interna> <rede remota>
> access-list 100 permit (...)
>
> ! aplique o crypto-map em uma interface
> interface f0/0
> description connected to Internet
> crypto map cm-cryptomap
> !
> end
>
> Depois disso, teste a comunicação e verifique o status do túnel com
> "show crypto isakmp sa". QM_IDLE significa que está tudo bem.
>
> Gustavo.
>
>
> On Thu, Aug 20, 2009 at 4:24 PM, Luis Luis<masoch460 at gmail.com> wrote:
> > Emiliano,
> >
> > Obrigado vou ver se consigo algo aqui com suas informações.
> >
> > Luís
> >
> > On Thu, Aug 20, 2009 at 4:16 PM, Emiliano Martins <
> > emiliano.martins at ik1.com.br> wrote:
> >
> >> Luis,
> >> Achei uns comandos para configurar o cisco 1720, talvez te ajude:
> >>
> >> *Cisco router Setup:*
> >>
> >> *Setup Cisco with Commands*
> >> version 12.2
> >> no parser cache
> >> no service single-slot-reload-enable
> >> service timestamps debug uptime
> >> service timestamps log uptime
> >> service password-encryption
> >> hostname Cisco1720
> >> logging rate-limit console 10 except errors
> >> enable password
> >> memory-size iomem 15
> >> mmi polling-interval 60
> >> no mmi auto-configure
> >> no mmi pvc
> >> mmi snmp-timeout 180
> >> ip subnet-zero
> >> no ip domain-lookup
> >> ip dhcp pool 1
> >> network 192.168.2.0 255.255.255.0
> >> default-router 192.168.2.1
> >> ip audit notify log
> >> ip audit po max-events 100
> >> ip ssh time-out 120
> >> ip ssh authentication-retries 3
> >> no ip dhcp-client network-discovery
> >> *crypto isakmp policy 1
> >> hash md5
> >> authentication pre-share
> >> lifetime 3600
> >> crypto isakmp key 123 address 203.69.175.28
> >> crypto ipsec transform-set cm-transformset-1 esp-des esp-md5-hmac
> >> crypto mib ipsec flowmib history tunnel size 200
> >> crypto mib ipsec flowmib history failure size 200
> >> crypto map cm-cryptomap local-address Ethernet0
> >> crypto map cm-cryptomap 1 ipsec-isakmp
> >> set peer 203.69.175.28
> >> set transform-set cm-transformset-1
> >> match address 100*
> >> interface Ethernet0
> >> description connected to Internet
> >> ip address 210.243.151.181 255.255.255.240
> >> half-duplex
> >> *crypto map cm-cryptomap*
> >> interface FastEthernet0
> >> description connected to EthernetLAN_1
> >> ip address 192.168.2.1 255.255.255.0
> >> speed auto
> >> router rip
> >> version 1
> >> passive-interface Ethernet0
> >> network 210.243.151.176
> >> network 192.168.2.0
> >> no auto-summary
> >> ip classless
> >> ip route 0.0.0.0 0.0.0.0 Ethernet0
> >> no ip http server
> >> *access-list 100 permit ip 192.168.2.0
> >> 0.0.0.255
> >> 192.168.1.0
> >> 0.0.0.255*
> >> snmp-server community public RO
> >> line con 0
> >> exec-timeout 0 0
> >> password 7 06575D7218
> >> login
> >> line aux 0
> >> line vty 0 4
> >> password
> >> login
> >> line vty 5 15
> >> login
> >> no scheduler allocate
> >> end
> >>
> >> 2009/8/20 Luis Luis <masoch460 at gmail.com>
> >>
> >> > Olá emiliano
> >> >
> >> > Já estou com as informações do IKE aqui e o endeço da rede lan de lá.
> >> >
> >> > Informações do IKE
> >> > Name: IKE
> >> > General Settings
> >> > Perfect Forward Secrecy: disabled
> >> > Rekey Time Limit: 28800
> >> > ISAKMP Retransmit Interval:16
> >> > Rekey Traffic Limit:0
> >> > Max Retransmit Attempts: 4
> >> > Replay Window Size: 0
> >> > Vendor ID: off
> >> >
> >> > Só estou vendo como configuro isso no cisco, obrigado pelas
> informações,
> >> >
> >> > Luís
> >> >
> >> >
> >> > 2009/8/20 Emiliano Martins <emiliano.martins at ik1.com.br>
> >> >
> >> > > Luis,
> >> > > Além desses dados você precisará do ip de lan da outra ponta e dos
> >> tempos
> >> > > de
> >> > > cada fase do IKE. Só não tenho um tutorial para vc...
> >> > >
> >> > > 2009/8/20 Luis Luis <masoch460 at gmail.com>
> >> > >
> >> > > > Boa tarde lista,
> >> > > >
> >> > > > Estou aqui fazendo pela primeira vez uma conexão vpn com o meus
> cisco
> >> > > 1700,
> >> > > > vou ser client de um concentrador que preciso me interligar.
> >> > > > O pessoal me passou os seguintes dados para mim se conectar a
> eles;
> >> > > >
> >> > > > Shared Key: "a chave para conexão
> >> > > > IP Publico : "o ip deles para se conectar a eles"
> >> > > >
> >> > > > Como nunca fiz isso queria saber se alguém já fez ou sabe algum
> >> > > > documentação
> >> > > > para mim verificar.
> >> > > >
> >> > > > Obrigado,
> >> > > >
> >> > > > Luís
> >> > > > __
> >> > > > masoch-l list
> >> > > > https://eng.registro.br/mailman/listinfo/masoch-l
> >> > > >
> >> > >
> >> > >
> >> > >
> >> > > --
> >> > > Emiliano Martins
> >> > > iK1 Tecnologia Ltda
> >> > > __
> >> > > masoch-l list
> >> > > https://eng.registro.br/mailman/listinfo/masoch-l
> >> > >
> >> > __
> >> > masoch-l list
> >> > https://eng.registro.br/mailman/listinfo/masoch-l
> >> >
> >>
> >>
> >>
> >> --
> >> Emiliano Martins
> >> iK1 Tecnologia Ltda
> >> __
> >> masoch-l list
> >> https://eng.registro.br/mailman/listinfo/masoch-l
> >>
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
--
Emiliano Martins
iK1 Tecnologia Ltda
More information about the masoch-l
mailing list