GETVPN i KS

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
Awatar użytkownika
miro20
wannabe
wannabe
Posty: 471
Rejestracja: 10 lip 2008, 19:02

GETVPN i KS

#1

#1 Post autor: miro20 »

Czesc,

Mam pytanie, czy KS moze partycypowac w wymianie encryptowanego ruchu ?, na mysli mam to ze jest siec za KS i nie widze na KS zadnego ipsec sa, traffic miedzy GM lata ladnie ale KS i GM juz nie

===============================

Kod: Zaznacz cały


KS:
R1#show crypto ipsec sa

R1#




GM1

R2#show crypto ipsec sa

interface: FastEthernet0/0
    Crypto map tag: vpn, local addr 172.16.0.2

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.0.0/255.255.0.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.0.0/255.255.0.0/0/0)
   current_peer 0.0.0.0 port 848
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 10, #pkts encrypt: 10, #pkts digest: 10
    #pkts decaps: 15, #pkts decrypt: 15, #pkts verify: 15
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 172.16.0.2, remote crypto endpt.: 0.0.0.0
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
     current outbound spi: 0xB42B4F2A(3022737194)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0xB42B4F2A(3022737194)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 1, flow_id: SW:1, sibling_flags 80000040, crypto map: vpn
        sa timing: remaining key lifetime (sec): (1813)
        Kilobyte Volume Rekey has been disabled
        IV size: 16 bytes
        replay detection support: Y  replay window size: 5
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xB42B4F2A(3022737194)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2, flow_id: SW:2, sibling_flags 80000040, crypto map: vpn
        sa timing: remaining key lifetime (sec): (1813)
        Kilobyte Volume Rekey has been disabled
        IV size: 16 bytes
        replay detection support: Y  replay window size: 5
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:
R2#


GM2:



R3#show crypto ipsec sa

interface: FastEthernet0/0
    Crypto map tag: vpn, local addr 172.16.0.3

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.0.0/255.255.0.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.0.0/255.255.0.0/0/0)
   current_peer 0.0.0.0 port 848
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 15, #pkts encrypt: 15, #pkts digest: 15
    #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 172.16.0.3, remote crypto endpt.: 0.0.0.0
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
     current outbound spi: 0xB42B4F2A(3022737194)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0xB42B4F2A(3022737194)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 1, flow_id: SW:1, sibling_flags 80000040, crypto map: vpn
        sa timing: remaining key lifetime (sec): (1783)
        Kilobyte Volume Rekey has been disabled
        IV size: 16 bytes
        replay detection support: Y  replay window size: 5
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xB42B4F2A(3022737194)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2, flow_id: SW:2, sibling_flags 80000040, crypto map: vpn
        sa timing: remaining key lifetime (sec): (1783)
        Kilobyte Volume Rekey has been disabled
        IV size: 16 bytes
        replay detection support: Y  replay window size: 5
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:
R3#





KS RT;

R1#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route

Gateway of last resort is not set

      172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
C        172.16.0.0/24 is directly connected, FastEthernet0/0
L        172.16.0.1/32 is directly connected, FastEthernet0/0
O IA  192.168.2.0/24 [110/11] via 172.16.0.2, 00:25:13, FastEthernet0/0
O IA  192.168.3.0/24 [110/11] via 172.16.0.3, 00:14:13, FastEthernet0/0
      192.168.255.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.255.0/24 is directly connected, FastEthernet0/1
L        192.168.255.1/32 is directly connected, FastEthernet0/1
R1#




[/code]
Zawsze jest coś czego możesz się nauczyć

Seba
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin
Posty: 6223
Rejestracja: 15 lip 2004, 20:35
Lokalizacja: Warsaw, PL

#2

#2 Post autor: Seba »

Funkcje GM i KS nie są wspierane na tym samym urządzeniu.

Czytałem gdzieś na jakiś forach, że ktoś podobno to skonfigurował i działało, natomiast zapytany o pokazanie konfiguracji, niczego nie pokazał i zamilkł.
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein

Awatar użytkownika
Cinek
wannabe
wannabe
Posty: 83
Rejestracja: 18 mar 2010, 20:55

#3

#3 Post autor: Cinek »

hej,

dawno temu czytalem gdzies na forum INE artykul Petra o GET VPNie i bylo opisane jak zrobic GM i KS na tym samym urzadzeniu. Idea byla taka ze musisz miec 2 KS'y i COOP pomiedzy nimi, te same 2 KS'y mozesz wtedy ustawic jako GM ale jako KS server wskazujesz adres peer'a z COOP...

cos takiego :P

Awatar użytkownika
miro20
wannabe
wannabe
Posty: 471
Rejestracja: 10 lip 2008, 19:02

#4

#4 Post autor: miro20 »

Dzieki Seba i Ciniek , to mi wszystko wyjasnia.


Pozdrawiam
Zawsze jest coś czego możesz się nauczyć

ODPOWIEDZ