[MASOCH-L] VPN IPSEC cisco 1700

Fri Aug 21 10:09:40 BRT 2009

Pessoal obrigado pelas informações

Com os dados que tenho aqui sobre a cryptografia fiz assim;

dados da cryptografia:

o    3DES with SHA: on

o    3DES with MD5: on
Ai ficou assim meu router

crypto isakmp policy 100
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key <chave> address <ip remoto>
crypto ipsec transform-set mine esp-3des esp-sha-hmac
!
crypto map vpn 10 ipsec-isakmp
 set peer <ip remoto>
 set transform-set mine
 match address 102
!
!
!
interface FastEthernet0/0
 description Rede Local UPPERCASE
 ip address xxxxxx 255.255.255.0 secondary
 ip address xxxxxx 255.255.255.0 secondary
 ip address xxxxxx 255.255.255.0 secondary
 speed auto
 full-duplex
!
interface Serial0/0
 description Conexao PPP TESTE
 bandwidth 512
 ip address xxxxxx 255.255.255.252
 encapsulation ppp
 crypto map vpn
!
ip default-gateway xxxxxxxx
ip route 0.0.0.0 0.0.0.0 xxxxxxxx
!

access-list 102 permit ip <ip local> 0.0.0.255 <ip remoto> 0.0.0.3
!

!
line con 0
line aux 0
line vty 0 4
!
end

Mesmo assim não consegui fechar a vpn, mais estou tentando

Obrigado,

Luís

2009/8/20 Emiliano Martins <emiliano.martins at ik1.com.br>

> É eu não entendo de Cisco... eu brinco de VPN com roteadores com
> configuração pela interface web... apenas peguei os comandos que achei no
> site de um fabricante e que um cliente meu já havia utilizado.
> Mas é sempre bom saber o qeu significam os comandos, obrigado Gustavo.
>
> 2009/8/20 Gustavo Rodrigues Ramos <gustavo at nexthop.com.br>
>
> > Olá Luis, acho que assim fica um pouco mais fácil para entender:
> >
> > ! configuração da phase 1 (isakmp) - o default do Cisco é usar DES
> > para esta fase
> > crypto isakmp policy 1
> >  hash md5 !--- confirme se está usando md5 ou sha
> >  authentication pre-share
> >  lifetime 28800
> >
> > ! psk para o gw-remoto
> > crypto isakmp key <chave> address <gw-remoto>
> >
> > ! transform-set (phase 2)
> > crypto ipsec transform-set cm-transformset-1 esp-des esp-md5-hmac
> > !--- confirme se está usando des ou 3des, md5 ou sha para criptografia e
> > !--- altere a configuração acima para refletir a mesma configuração do
> > gw-remoto
> >
> > ! crypto-map que deverá ser aplicado na sua interface wan,
> > ! normalmente é a interface para onde está apontada a sua rota default
> > crypto map cm-cryptomap 1 ipsec-isakmp
> >  set peer <gw-remoto>
> >  set transform-set cm-transformset-1
> >  ! access-list que selecionará o tráfego e criará as SAs
> >  match address 100
> >
> > ! defina a access-list
> > access-list 100 permit <rede interna> <rede remota>
> > access-list 100 permit (...)
> >
> > ! aplique o crypto-map em uma interface
> > interface f0/0
> >  description connected to Internet
> >  crypto map cm-cryptomap
> > !
> > end
> >
> > Depois disso, teste a comunicação e verifique o status do túnel com
> > "show crypto isakmp sa". QM_IDLE significa que está tudo bem.
> >
> > Gustavo.
> >
> >
> > On Thu, Aug 20, 2009 at 4:24 PM, Luis Luis<masoch460 at gmail.com> wrote:
> > > Emiliano,
> > >
> > > Obrigado vou ver se consigo algo aqui com suas informações.
> > >
> > > Luís
> > >
> > > On Thu, Aug 20, 2009 at 4:16 PM, Emiliano Martins <
> > > emiliano.martins at ik1.com.br> wrote:
> > >
> > >> Luis,
> > >> Achei uns comandos para configurar o cisco 1720, talvez te ajude:
> > >>
> > >> *Cisco router Setup:*
> > >>
> > >> *Setup Cisco with Commands*
> > >> version 12.2
> > >> no parser cache
> > >> no service single-slot-reload-enable
> > >> service timestamps debug uptime
> > >> service timestamps log uptime
> > >> service password-encryption
> > >> hostname Cisco1720
> > >> logging rate-limit console 10 except errors
> > >> enable password
> > >> memory-size iomem 15
> > >> mmi polling-interval 60
> > >> no mmi auto-configure
> > >> no mmi pvc
> > >> mmi snmp-timeout 180
> > >> ip subnet-zero
> > >> no ip domain-lookup
> > >> ip dhcp pool 1
> > >> network 192.168.2.0 255.255.255.0
> > >> default-router 192.168.2.1
> > >> ip audit notify log
> > >> ip audit po max-events 100
> > >> ip ssh time-out 120
> > >> ip ssh authentication-retries 3
> > >> no ip dhcp-client network-discovery
> > >> *crypto isakmp policy 1
> > >> hash md5
> > >> authentication pre-share
> > >> lifetime 3600
> > >> crypto isakmp key 123 address 203.69.175.28
> > >> crypto ipsec transform-set cm-transformset-1 esp-des esp-md5-hmac
> > >> crypto mib ipsec flowmib history tunnel size 200
> > >> crypto mib ipsec flowmib history failure size 200
> > >> crypto map cm-cryptomap local-address Ethernet0
> > >> crypto map cm-cryptomap 1 ipsec-isakmp
> > >> set peer 203.69.175.28
> > >> set transform-set cm-transformset-1
> > >> match address 100*
> > >> interface Ethernet0
> > >> description connected to Internet
> > >> ip address 210.243.151.181 255.255.255.240
> > >> half-duplex
> > >> *crypto map cm-cryptomap*
> > >> interface FastEthernet0
> > >> description connected to EthernetLAN_1
> > >> ip address 192.168.2.1 255.255.255.0
> > >> speed auto
> > >> router rip
> > >> version 1
> > >> passive-interface Ethernet0
> > >> network 210.243.151.176
> > >> network 192.168.2.0
> > >> no auto-summary
> > >> ip classless
> > >> ip route 0.0.0.0 0.0.0.0 Ethernet0
> > >> no ip http server
> > >> *access-list 100 permit ip 192.168.2.0
> > >> 0.0.0.255
> > >> 192.168.1.0
> > >> 0.0.0.255*
> > >> snmp-server community public RO
> > >> line con 0
> > >> exec-timeout 0 0
> > >> password 7 06575D7218
> > >> login
> > >> line aux 0
> > >> line vty 0 4
> > >> password
> > >> login
> > >> line vty 5 15
> > >> login
> > >> no scheduler allocate
> > >> end
> > >>
> > >> 2009/8/20 Luis Luis <masoch460 at gmail.com>
> > >>
> > >> > Olá emiliano
> > >> >
> > >> > Já estou com as informações do IKE aqui e o endeço da rede lan de
> lá.
> > >> >
> > >> > Informações do IKE
> > >> > Name: IKE
> > >> > General Settings
> > >> > Perfect Forward Secrecy: disabled
> > >> > Rekey Time Limit: 28800
> > >> > ISAKMP Retransmit Interval:16
> > >> > Rekey Traffic Limit:0
> > >> > Max Retransmit Attempts: 4
> > >> > Replay Window Size: 0
> > >> > Vendor ID: off
> > >> >
> > >> > Só estou vendo como configuro isso no cisco, obrigado pelas
> > informações,
> > >> >
> > >> > Luís
> > >> >
> > >> >
> > >> > 2009/8/20 Emiliano Martins <emiliano.martins at ik1.com.br>
> > >> >
> > >> > > Luis,
> > >> > > Além desses dados você precisará do ip de lan da outra ponta e dos
> > >> tempos
> > >> > > de
> > >> > > cada fase do IKE. Só não tenho um tutorial para vc...
> > >> > >
> > >> > > 2009/8/20 Luis Luis <masoch460 at gmail.com>
> > >> > >
> > >> > > > Boa tarde lista,
> > >> > > >
> > >> > > > Estou aqui fazendo pela primeira vez uma conexão vpn com o meus
> > cisco
> > >> > > 1700,
> > >> > > > vou ser client de um concentrador que preciso me interligar.
> > >> > > > O pessoal me passou os seguintes dados para mim se conectar a
> > eles;
> > >> > > >
> > >> > > > Shared Key: "a chave para conexão
> > >> > > > IP Publico : "o ip deles para se conectar a eles"
> > >> > > >
> > >> > > > Como nunca fiz isso queria saber se alguém já fez ou sabe algum
> > >> > > > documentação
> > >> > > > para mim verificar.
> > >> > > >
> > >> > > > Obrigado,
> > >> > > >
> > >> > > > Luís
> > >> > > > __
> > >> > > > masoch-l list
> > >> > > > https://eng.registro.br/mailman/listinfo/masoch-l
> > >> > > >
> > >> > >
> > >> > >
> > >> > >
> > >> > > --
> > >> > > Emiliano Martins
> > >> > > iK1 Tecnologia Ltda
> > >> > > __
> > >> > > masoch-l list
> > >> > > https://eng.registro.br/mailman/listinfo/masoch-l
> > >> > >
> > >> > __
> > >> > masoch-l list
> > >> > https://eng.registro.br/mailman/listinfo/masoch-l
> > >> >
> > >>
> > >>
> > >>
> > >> --
> > >> Emiliano Martins
> > >> iK1 Tecnologia Ltda
> > >> __
> > >> masoch-l list
> > >> https://eng.registro.br/mailman/listinfo/masoch-l
> > >>
> > > __
> > > masoch-l list
> > > https://eng.registro.br/mailman/listinfo/masoch-l
> > >
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
>
>
>
> --
>  Emiliano Martins
> iK1 Tecnologia Ltda
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>