[ipsec] Site-To-Site Cisco

[MASiK]

Собственно сабж, нужно сделать ВПН от Centos до CiscoASA

не хрена не понимаю, поставил openswan чет потыркался потыркался вообще не фига не понял, помогите пожалуйста, доступа к циске нету, но админ с той стороны выдал вот такое

Код: Выделить всё

Фаза 1:
authentication pre-share
  encryption 3des
  hash md5
  DH group 2
  lifetime 86400
 
Фаза 2:
esp-3des
esp-md5-hmac
mode main
 
Наш IP-адрес peer – 22.22.22.22
Ваш IP-адрес peer – 11.11.11.11

И сам Pre-Share KEY

вроде все сделал правильно а не чего даже не коннектиться, tcpdump'ом смотрю не фига не идут пакеты даже на этот ип (22.22.22.22)

вот конфиг который я сделал

Код: Выделить всё

config setup
	protostack=netkey
	nat_traversal=yes
	virtual_private=
	oe=off

conn rgd
  auto=start
  authby=secret
  left=11.11.11.11
  leftsubnet=10.28.227.0/24
  right=22.22.22.22
  rightsubnet=10.77.9.0/24
  keyexchange=ike
  esp=md5-hmac
  pfs=yes

Вообще не чего не понимаю...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Гость]

http://www.unix-ag.uni-kl.de/~massar/vpnc/
http://svn.unix-ag.uni-kl.de/vpnc/trunk/vpnc.conf

[MASiK]

http://www.unix-ag.uni-kl.de/~massar/vpnc/
http://svn.unix-ag.uni-kl.de/vpnc/trunk/vpnc.conf

Это я знаю но плохо работает vpnc а все говорят что этот Openswa лучше

[GhOsT_MZ]

а можно конфиг асы в более адекватном виде?
Кстати, если ничего tcpdump'ом не ловится, то значит на асе не сделали:

Код: Выделить всё

crypto isakmp enable INTERFACE

Вот пример рабочего конфига для PIX/ASA 8.0(3) (l2l и remote-access):

Код: Выделить всё

crypto ipsec transform-set TSET-VPN esp-des esp-md5-hmac
crypto ipsec transform-set TSET-RA esp-des esp-md5-hmac
crypto dynamic-map DMAP-RA 65535 set transform-set TSET-RA
crypto map CMAP-VPN 10 match address ENC_BR1
crypto map CMAP-VPN 10 set peer 1.1.1.1
crypto map CMAP-VPN 10 set transform-set TSET-VPN
crypto map CMAP-VPN 65535 ipsec-isakmp dynamic DMAP-RA
crypto map CMAP-VPN interface outside
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption des
 hash md5
 group 1
 lifetime 1000
crypto isakmp policy 65535
 authentication pre-share
 encryption des
 hash md5
 group 2
 lifetime 86400
group-policy RAdmin internal
group-policy RAdmin attributes
 wins-server value 8.8.8.8
 dns-server value 8.8.8.8 8.8.4.4
 password-storage enable
 ipsec-udp enable
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value split-tunnel-ra
 default-domain value domain.ru
username RAdmin password PASSWORD encrypted
username RAdmin attributes
 vpn-group-policy RAdmin
 service-type remote-access
tunnel-group remote type remote-access
tunnel-group remote general-attributes
 address-pool RAPool
tunnel-group remote ipsec-attributes
 pre-shared-key KEY
tunnel-group 1.1.1.1 type ipsec-l2l
tunnel-group 1.1.1.1 ipsec-attributes
 pre-shared-key KEY
!
class-map CMAP-ANY
 match any

[MASiK]

[quote="GhOsT_MZ"]а можно конфиг асы в более адекватном виде?
Кстати, если ничего tcpdump'ом не ловится, то значит на асе не сделали:

Код: Выделить всё

crypto isakmp enable INTERFACE

да если бы можно было, там на другой стороне другие админы

[GhOsT_MZ]

И в чем тогда вопрос? Настроить железку железку со своей стороны и телепатически заставить вторую железку работать? Увольте, Вам никто не поможет.