Tweet
với cấu hình như bên dưới thì em đã kết nối thành công giữa 2 Cisco với nhau.
điều em muốn hỏi là Local_Proxy và Remote_Proxy em muốn đổi thành IP GRE(10.9.9.x).
vậy cần thay đổi dòng lệnh nào ? em đưa ra vấn đề này vì em có nhu cầu kết nối GRE over IPSec với Linux, Draytek....
tăng tính bảo mật của mạng Megawan cho các chi nhánh ở VietNam.
một lưu ý nửa là: sau khi thay đổi Local_Proxy and Remote_Proxy, thì vẫn đãm bảo được GRE over IPSec. vì em đã thử đổi Access list 110 cho Crypto map thì cũng chạy được, nhưng lúc này chỉ là Pure GRE Tunnel không có IPsec.
em đang rất cần sự giúp đỡ của các anh chị về vấn đề này.
nếu làm thành công, em sẽ có hậu tạ(nhậu or cafe nhé). giới thiệu nhiều học viên hơn nửa đến VNPro
*Mar 1 00:06:00.827: IPSEC(initialize_sas): ,
(key eng. msg.) INBOUND local= 172.16.1.2, remote= 172.16.2.2,
local_proxy= 172.16.1.2/0.0.0.0/47/0 (type=1),
remote_proxy= 172.16.2.2/0.0.0.0/47/0 (type=1),
protocol= ESP, transform= esp-des esp-md5-hmac ,
lifedur= 3600s and 4608000kb,
///////////////////////////////
crypto isakmp policy 1
hash md5
authentication pre-share
lifetime 3600
crypto isakmp key 123 address 172.16.2.2
!
!
crypto ipsec transform-set cm-transformset-1 esp-des esp-md5-hmac
!
crypto map cm-cryptomap local-address FastEthernet0/0
crypto map cm-cryptomap 1 ipsec-isakmp
set peer 172.16.2.2
set transform-set cm-transformset-1
match address 110
!
interface Tunnel1
ip address 10.9.9.1 255.255.255.0
tunnel source FastEthernet0/0
tunnel destination 172.16.2.2
crypto map cm-cryptomap
!
interface FastEthernet0/0
ip address 172.16.1.2 255.255.255.0
ip nat outside
duplex auto
speed auto
crypto map cm-cryptomap
!
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
ip nat inside
duplex auto
speed auto
ip nat inside source route-map nonat interface FastEthernet0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.1.1
ip route 192.168.2.0 255.255.255.0 10.9.9.2
ip http server
!
!
ip access-list extended remove-ip-for-nat
deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 any
!
access-list 110 permit gre host 172.16.1.2 host 172.16.2.2
!
route-map nonat permit 10
match ip address remove-ip-for-nat
điều em muốn hỏi là Local_Proxy và Remote_Proxy em muốn đổi thành IP GRE(10.9.9.x).
vậy cần thay đổi dòng lệnh nào ? em đưa ra vấn đề này vì em có nhu cầu kết nối GRE over IPSec với Linux, Draytek....
tăng tính bảo mật của mạng Megawan cho các chi nhánh ở VietNam.
một lưu ý nửa là: sau khi thay đổi Local_Proxy and Remote_Proxy, thì vẫn đãm bảo được GRE over IPSec. vì em đã thử đổi Access list 110 cho Crypto map thì cũng chạy được, nhưng lúc này chỉ là Pure GRE Tunnel không có IPsec.
em đang rất cần sự giúp đỡ của các anh chị về vấn đề này.
nếu làm thành công, em sẽ có hậu tạ(nhậu or cafe nhé). giới thiệu nhiều học viên hơn nửa đến VNPro
*Mar 1 00:06:00.827: IPSEC(initialize_sas): ,
(key eng. msg.) INBOUND local= 172.16.1.2, remote= 172.16.2.2,
local_proxy= 172.16.1.2/0.0.0.0/47/0 (type=1),
remote_proxy= 172.16.2.2/0.0.0.0/47/0 (type=1),
protocol= ESP, transform= esp-des esp-md5-hmac ,
lifedur= 3600s and 4608000kb,
///////////////////////////////
crypto isakmp policy 1
hash md5
authentication pre-share
lifetime 3600
crypto isakmp key 123 address 172.16.2.2
!
!
crypto ipsec transform-set cm-transformset-1 esp-des esp-md5-hmac
!
crypto map cm-cryptomap local-address FastEthernet0/0
crypto map cm-cryptomap 1 ipsec-isakmp
set peer 172.16.2.2
set transform-set cm-transformset-1
match address 110
!
interface Tunnel1
ip address 10.9.9.1 255.255.255.0
tunnel source FastEthernet0/0
tunnel destination 172.16.2.2
crypto map cm-cryptomap
!
interface FastEthernet0/0
ip address 172.16.1.2 255.255.255.0
ip nat outside
duplex auto
speed auto
crypto map cm-cryptomap
!
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
ip nat inside
duplex auto
speed auto
ip nat inside source route-map nonat interface FastEthernet0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.1.1
ip route 192.168.2.0 255.255.255.0 10.9.9.2
ip http server
!
!
ip access-list extended remove-ip-for-nat
deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 any
!
access-list 110 permit gre host 172.16.1.2 host 172.16.2.2
!
route-map nonat permit 10
match ip address remove-ip-for-nat
Comment