Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
Рейтинг 5.00/10: Рейтинг темы: голосов - 10, средняя оценка - 5.00
Иван_2013
0 / 0 / 0
Регистрация: 29.05.2013
Сообщений: 7
1

Site to Site IPSec VPN CISCO891-K9 & Cisco RV120W Wireless-N VPN Firewall

16.07.2013, 18:07. Просмотров 1846. Ответов 3
Метки нет (Все метки)

Добрый день.

Есть роутер CISCO891-K9 на котором есть один site to site vpn туннель с таким же роутером CISCO891-K9 в другой организации(туннель работает отлично).

Есть необходимость создать 2-й VPN туннель с Cisco RV120W Wireless-N VPN Firewall в третьей организацией.
Пытался сам настроить не получается.

В логах RV120W пишет следующее:
Кликните здесь для просмотра всего текста

2013-07-16 16:28:46: [rv120w][IKE] INFO: accept a request to establish IKE-SA: **.249.123.121
2013-07-16 16:28:46: [rv120w][IKE] INFO: Configuration found for **.249.123.121.
2013-07-16 16:28:46: [rv120w][IKE] INFO: Initiating new phase 1 negotiation: ***.86.62.248[500]<=>**249.123.121[500]
2013-07-16 16:28:46: [rv120w][IKE] INFO: Beginning Aggressive mode.
2013-07-16 16:28:46: [rv120w][IKE] INFO: NAT-Traversal is Enabled
2013-07-16 16:28:46: [rv120w][IKE] INFO: [agg_i1send:256]: XXX: NUMNATTVENDORIDS: 3
2013-07-16 16:28:46: [rv120w][IKE] INFO: [agg_i1send:260]: XXX: setting vendorid: 4
2013-07-16 16:28:46: [rv120w][IKE] INFO: [agg_i1send:260]: XXX: setting vendorid: 8
2013-07-16 16:28:46: [rv120w][IKE] INFO: [agg_i1send:260]: XXX: setting vendorid: 9
2013-07-16 16:28:46: [rv120w][IKE] INFO: Received Vendor ID: CISCO-UNITY
2013-07-16 16:28:46: [rv120w][IKE] INFO: Received Vendor ID: DPD
2013-07-16 16:28:46: [rv120w][IKE] INFO: Received unknown Vendor ID
2013-07-16 16:28:46: [rv120w][IKE] INFO: Received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
2013-07-16 16:28:46: [rv120w][IKE] INFO: Received Vendor ID: RFC 3947
2013-07-16 16:28:46: [rv120w][IKE] INFO: NAT-D payload matches for ***.86.62.248[500]
2013-07-16 16:28:46: [rv120w][IKE] INFO: NAT-D payload matches for **.249.123.121[500]
2013-07-16 16:28:46: [rv120w][IKE] INFO: For **.249.123.121[500], Selected NAT-T version: RFC 3947
2013-07-16 16:28:46: [rv120w][IKE] INFO: NAT not detected
2013-07-16 16:28:46: [rv120w][IKE] INFO: ISAKMP-SA established for ***.86.62.248[500]-**.249.123.121[500] with spi:c2b1b44ee0863cb8:2caa6996723fd3f5
2013-07-16 16:28:46: [rv120w][IKE] INFO: Sending Informational Exchange: notify payload[INITIAL-CONTACT]
2013-07-16 16:28:47: [rv120w][IKE] INFO: Initiating new phase 2 negotiation: ***.86.62.248[500]<=>**.249.123.121[0]
2013-07-16 16:28:48: [rv120w][IKE] ERROR: Unknown notify message from **.249.123.121[500].No phase2 handle found.




Конфиг с CISCO891-K9

Кликните здесь для просмотра всего текста

license udi pid CISCO891-K9 sn FCZ1635C2X2

crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
lifetime 28800
crypto isakmp key 88888888888 address **.193.193.236
crypto isakmp key 99999999999999 address ***.86.62.248
!
crypto ipsec transform-set UA esp-aes 256 esp-sha-hmac
crypto ipsec transform-set OBOLON esp-aes 256 esp-sha-hmac
!
crypto map IPSEC 10 ipsec-isakmp
set peer **.193.193.236
set transform-set UA
set pfs group2
match address CRYPTO

crypto map IPSEC 11 ipsec-isakmp
set peer ***.86.62.248
set transform-set OBOLON
set pfs group2
match address CRYPTO
!
interface GigabitEthernet0
ip address **.249.123.121 255.255.255.0
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
crypto map IPSEC
!
interface Vlan1
ip address 192.168.1.200 255.255.255.0
ip access-group withoutspam in
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly in
!
ip http server
ip http authentication local
ip http secure-server
ip nat inside source route-map SDM_RMAP_1 interface GigabitEthernet0 overload
ip route 0.0.0.0 0.0.0.0 **.249.123.1
!
ip access-list extended CRYPTO
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

ip access-list extended NAT
remark CCP_ACL Category=16
deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 any

ip access-list extended withoutspam
remark CCP_ACL Category=17
permit tcp host 192.168.1.221 any eq smtp
deny tcp any any eq smtp
deny tcp host 192.168.1.150 eq ftp any eq ftp
permit ip 192.168.1.0 0.0.0.255 any
permit ip 192.168.2.0 0.0.0.255 any
!
route-map noNAT permit 10
match ip address NAT
!
route-map SDM_RMAP_1 permit 1
match ip address NAT


Картинки с RV120W




Прошу помочь.
0
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
16.07.2013, 18:07
Ответы с готовыми решениями:

Site to Site IPSec VPN CIsco 800 & Cisco SRP 500 series
Доброго времени суток. Есть филиал на котором установлена Cisco 881 и есть удаленная точка на...

Не могу создать vpn site to site на cisco asa 5506-x
Ребята нужна помощь в создании vpn на firewall cisco asa 5506-x, в гугле нет ничего обэтом,...

Cisco ASA, отваливается Site-to-Site VPN
Добрый день. Предыстория: На бранч офисе был установлен роутер D-link, который держал Site-to-Site...

Cisco ASA, 2 site-to-site vpn
Здравствуйте! У меня вопросик.. А можно ли будет сделать так, чтобы между двумя ASA держалось 2...

CISCO Site-to-Site VPN по сертификатам
Здравствуйте. Пытаюсь разобраться с VPN на CISCO ASA, который мне достался в наследство. Ни как не...

3
Jabbson
Эксперт по компьютерным сетям
3445 / 2491 / 776
Регистрация: 03.11.2009
Сообщений: 7,930
Записей в блоге: 3
16.07.2013, 19:37 2
Попробуйте разделить листы доступа, описывающие интересный трафик для обоих vpn.
1
Иван_2013
0 / 0 / 0
Регистрация: 29.05.2013
Сообщений: 7
17.07.2013, 16:26  [ТС] 3
Цитата Сообщение от Jabbson Посмотреть сообщение
Попробуйте разделить листы доступа, описывающие интересный трафик для обоих vpn.
Спасибо огромное за совет. Работает теперь отлично.
0
Jabbson
Эксперт по компьютерным сетям
3445 / 2491 / 776
Регистрация: 03.11.2009
Сообщений: 7,930
Записей в блоге: 3
17.07.2013, 17:18 4
Цитата Сообщение от Иван_2013 Посмотреть сообщение
Спасибо огромное за совет. Работает теперь отлично.
Всегда пожалуйста.
0
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
17.07.2013, 17:18

Cisco VPN Site-to-Site
Всем доброго вечера! Возникла проблема с настройкой VPN SitetoSite! Схема, ...

Доступ в интернет через Site-to-Site VPN?
Доброго времени суток всем! Меня интересует один вопросик.. есть основной офис и удаленный офис....

Site to site VPN ASA
День добрый 10.10.10.0\24 в Организации А 10.10.10.0\24 в Организации Б Между ними, нужно...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
4
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru