cisco:cryptoipsec
Differenze
Queste sono le differenze tra la revisione selezionata e la versione attuale della pagina.
Prossima revisione | Revisione precedente | ||
cisco:cryptoipsec [07/03/2014 14:01] – creata djbx83 | cisco:cryptoipsec [28/03/2024 22:24] (versione attuale) – modifica esterna 127.0.0.1 | ||
---|---|---|---|
Linea 1: | Linea 1: | ||
- | crypto isakmp policy 10 | + | [[: |
- | encr 3des | + | |
- | | + | |
- | group 2 | + | |
- | crypto isakmp key Ga13r4zo12! address 195.72.202.26 | + | ====== Cisco Crypto MAP IPSec Tunnels ====== |
- | !Il nome del SET è arbitrario | + | Creare la policy per la Fase 1. |
- | crypto ipsec transform-set 3DES-SHA1 esp-3des esp-sha-hmac | + | In questo caso, in presenza di tipologie diverse di Tunnel IPSec occorre specificarle in modo sequenziale. |
+ | Tanto lui le tenta tutte prima. | ||
- | ip access-list extended VPN-TO-GAIERA | + | crypto isakmp policy 10 |
- | permit ip 192.168.20.0 192.168.1.0 | + | encr 3des |
+ | | ||
+ | group 2 | ||
- | !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! | + | Creare la Preshared Key per la fase 1, riferita al nostro Endpoint del tunnel |
- | !!! DA APPLICARE ALL' | + | |
- | !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! | + | |
- | !ip access-list extended IP_NAT | + | crypto isakmp key abcdefghi!111222! address x.y.z.a |
- | ! deny ip LOCAL_NET REMOTE_NET | + | |
- | ! permit ip LOCAL_NET any | + | |
- | !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! | + | Creare il Trasform Set e dargli un nome arbitrario. Per comodità, si preferisce chiamarlo con un nome che ricalchi il tipo di Encryption utilizzato. Nulla vieta, comunque, di chiamarlo " |
- | crypto | + | |
- | set peer 195.72.202.26 | + | |
- | set transform-set 3des-sha1 | + | |
- | set pfs group2 | + | |
- | match address VPN-TO-GAIERA | + | |
- | !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! | + | Creare l'access list che servirà al Cisco per stabilire come " |
- | !!! DA APPLICARE ALL' | + | 192.168.x.x rappresenta la rete locale, 192.168.y.y rappresenta la rete remota. La mask è al contrario. |
- | !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! | + | |
- | interface Dialer0 | + | ip access-list extended |
- | | + | |
+ | |||
+ | All' | ||
- | !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! | + | ip access-list extended IP_NAT |
+ | | ||
+ | | ||
+ | |||
+ | Creiamo la Crypto Map vera e propria (Fase 2) | ||
+ | |||
+ | crypto map CMAP-VPN-TO-DOVEVUOITU 10 ipsec-isakmp | ||
+ | set peer x.y.z.a. | ||
+ | set transform-set 3des-sha1 | ||
+ | set pfs group2 | ||
+ | match address VPN-TO-DOVEVUOITU | ||
+ | |||
+ | Chiaramente, | ||
+ | Se l' | ||
+ | |||
+ | Finalmente, all' | ||
+ | |||
+ | interface Dialer0 | ||
+ | | ||
+ | |||
+ | ATTENZIONE: per effettuare le prove, di solito in locale sul router NON si riesce quasi mai a pingare. | ||
+ | Occorre fare un ping esteso, specificando da quale interfaccia far partire il ping (tipicamente, |
cisco/cryptoipsec.1394197276.txt.gz · Ultima modifica: 28/03/2024 22:24 (modifica esterna)