Cisco 876-k9 vpn 3 sites

[johnk]

Χαιρετιζω το Forum. Παιδια μια ερωτηση εχω μονο. Θελω να κανω vpn site to site απο το κεντρικο μου καταστημα σε 2 απομακρυσμενα υποκαταστηματα. Μεχρι τωρα επαιζα με cisco 876-k9 site to site vpn. Ανοιξε η εταιρια και 2ο υποκαταστημα που πρεπει και αυτο να μπει στο vpn του κεντρικου. Στην πλευρα του κεντρικου εχω το 876-k9 υποστηριζει 2 ταυτοχρονες vpn συνδεσεις? Εχω static και στα 2 σημεια και θα μεπι και στο 3ο . Χρειαζομαι κατι αλλο?

Ευχαριστω εκ των προταιρων

[taxiarxos]

Κάνε ένα post τα config των routers (χωρίς passwords) να δούμε το σετάρισμα να βοηθήσουμε.

[johnk]

Ευχαριστω taxiarxos για την απαντηση. παραθετω παρακατω τα conf των 2 σημειων:

κεντρικα:

Κώδικας:

!
version 12.4
no service pad
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname kentrika
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 
enable password 7 
!
no aaa new-model
!
resource policy
!
ip cef
!
!
!
!
no ip domain lookup
ip domain name yourdomain.com
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw ftp
ip inspect name myfw realaudio
ip inspect name myfw smtp
ip inspect name myfw streamworks
ip inspect name myfw vdolive
ip inspect name myfw tftp
ip inspect name myfw rcmd
ip inspect name myfw http
!
isdn switch-type basic-net3
!
username john privilege 15 password xxx 
!
!
!
crypto isakmp policy 1
 hash md5
 authentication pre-share
crypto isakmp key secretkey address 62.xxx.xxx.43
!
!
crypto ipsec transform-set cm-transformset-1 ah-md5-hmac esp-des esp-md5-hmac
!
crypto map cm-cryptomap local-address Dialer1
crypto map cm-cryptomap 1 ipsec-isakmp
 set peer 62.xxx.xxx.43
 set transform-set cm-transformset-1
 match address 101
!
!
!
!
interface Tunnel1
 ip address 192.168.10.2 255.255.255.0
 tunnel source Dialer1
 tunnel destination 62.xxx.xxx.43
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 isdn switch-type basic-net3
 isdn point-to-point-setup
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
 dsl operating-mode auto
!
interface FastEthernet0
 no cdp enable
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
 ip address 192.168.2.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!
interface Dialer1
 ip address 83.xxx.xxx.181 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 no cdp enable
 ppp pap sent-username xxxxxxxxxxxxxxxx@otenet.gr password 0 xxxx 
 crypto map cm-cryptomap
!
router rip
 network 192.168.10.0
!
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 192.168.10.0 255.255.255.0 Tunnel1
!
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip http client username spiros


!
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 23 permit 62.xxx.xxx.43
access-list 23 permit 192.168.2.0 0.0.0.255
access-list 23 permit 192.168.10.0 0.0.0.255
access-list 101 permit gre host 83.xxx.xxx.181 host 62.xxx.xxx.43
access-list 103 permit ip any any

dialer-list 1 protocol ip permit
snmp-server enable traps tty
no cdp run
!
!
!
route-map nonat permit 10
 match ip address 175
!
!
control-plane

!
line con 0
 exec-timeout 120 0
 login local
 no modem enable
 stopbits 1
line aux 0
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 privilege level 15
 password xx 
 logging synchronous
 login
 length 0
 transport input telnet ssh
!
scheduler max-task-time 5000
!
webvpn context Default_context
 ssl authenticate verify all
 !
 no inservice
!
end

-------------------------------------------------------------------------------
υποκαταστημα-1

Κώδικας:

!
version 12.4
no service pad
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname ypokatasthma1
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 
enable password 7 
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-2588493967
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2588493967
 revocation-check none
 rsakeypair TP-self-signed-2588493967
!
!
        quit
dot11 syslog
ip cef
!
!
ip inspect name myfw tcp
ip inspect name myfw udp
ip inspect name myfw ftp
ip inspect name myfw realaudio
ip inspect name myfw smtp
ip inspect name myfw streamworks
ip inspect name myfw vdolive
ip inspect name myfw tftp
ip inspect name myfw rcmd
ip inspect name myfw http
no ip domain lookup
ip domain name yourdomain.com
!
isdn switch-type basic-net3
!
!
username john privilege 15 password xxx 
!
!
crypto isakmp policy 1
 hash md5
 authentication pre-share
crypto isakmp key secretkey address 83.xxx.xxx.181
!
!
crypto ipsec transform-set cm-transformset-1 ah-md5-hmac esp-des esp-md5-hmac
!
crypto map cm-cryptomap local-address Dialer1
crypto map cm-cryptomap 1 ipsec-isakmp
 set peer 83.xxx.xxx.181
 set transform-set cm-transformset-1
 match address 100
!
archive
 log config
  hidekeys
!
!
!
!
!
interface Tunnel1
 ip address 192.168.10.1 255.255.255.0
 tunnel source Dialer1
 tunnel destination 83.xxx.xxx.181
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 isdn switch-type basic-net3
 isdn point-to-point-setup
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
 dsl operating-mode auto
!
interface FastEthernet0
 no cdp enable
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
 ip address 192.168.3.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!
interface Dialer1
 ip address 62.xxx.xxx.43 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 no cdp enable
 ppp pap sent-username xxxxxxxxxxxxxx@otenet.gr password 0 xxx
 crypto map cm-cryptomap
!
router rip
 network 192.168.10.0
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 192.168.10.0 255.255.255.0 Tunnel1
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 122 interface Dialer1 overload
!
access-list 1 permit 192.168.3.0 0.0.0.255
access-list 23 permit 83.xxx.xxx.181
access-list 23 permit 192.168.2.0 0.0.0.255
access-list 23 permit 192.168.10.0 0.0.0.255
access-list 100 permit gre host 62.xxx.xxx.43 host 83.xxx.xxx.181
access-list 103 permit ip any any
dialer-list 1 protocol ip permit
snmp-server enable traps tty
no cdp run
!
!
route-map nonat permit 10
 match ip address 175
!
!
control-plane

!
line con 0
 exec-timeout 120 0
 login local
 no modem enable
 stopbits 1
line aux 0
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 privilege level 15
 password xx 
 logging synchronous
 login
 length 0
 transport input telnet ssh
!
scheduler max-task-time 5000
!
webvpn context Default_context
 ssl authenticate verify all
 !
 no inservice
!
end

[taxiarxos]

Αυτά τα configs τρέχουν ήδη σωστά; Το νέο σημείο που θα βάλεις θα μιλάει μόνο με το κεντρικό ή και με το άλλο υποκατάστημα; Μήπως σου ξέφυγε μια Access-list στο NAT; Κάτι λέιπει από το running config. Δηλώνεις μια Access-list στο route-map η οποία δεν υπάρχει στο config σου. Τα sites έχουν internet ή μονο VPN είναι; Γιατί σου λέιπουν μερικά πραγματάκια στο NAT.

[johnk]

ευχαριστω πολυ taxiarxos για την απαντηση. sorry που δεν απαντησα νωριτερα ειχα κατι προβληματα στο logon με τον παλιο μου χρηστη johnk και αναγκαστηκα και εφτιαξα καινουργιο. εχεις δικιο για τα configuration , απο ταχυτητα ανεβασα τα πρωτα πριν κανω τις διορθωσεις, δεν ειχα χρονο να τρεξω τα running config. παραθετω τα σωστα configs που παιζουν αυτην την στιγμη.

κεντρικα
--------------------------------

Κώδικας:

!

version 12.4

no service pad

service timestamps debug datetime localtime

service timestamps log datetime localtime

service password-encryption

!

hostname kentrika

!

boot-start-marker

boot-end-marker

!

logging buffered 51200 warnings

enable secret 5 

enable password 7 

!

no aaa new-model

!

resource policy

!

ip cef

!

!

!

!

no ip domain lookup

ip domain name yourdomain.com

ip inspect name myfw tcp

ip inspect name myfw udp

ip inspect name myfw ftp

ip inspect name myfw realaudio

ip inspect name myfw smtp

ip inspect name myfw streamworks

ip inspect name myfw vdolive

ip inspect name myfw tftp

ip inspect name myfw rcmd

ip inspect name myfw http

!

isdn switch-type basic-net3

!

crypto pki trustpoint TP-self-signed-325901753

 enrollment selfsigned

 subject-name cn=IOS-Self-Signed-Certificate-325901753

 revocation-check none

 rsakeypair TP-self-signed-325901753

!

!

crypto pki certificate chain TP-self-signed-325901753

 certificate self-signed 01

  3082024D 308201B6 A0030201 02020101 300D0609 2A864886 F70D0101 04050030

  30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274

  69666963 6174652D 33323539 30313735 33301E17 0D303230 33303130 30303730

  355A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F

  532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3332 35393031

  37353330 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100

  97A84538 958C7CF6 9F545A11 4E064D84 DC8A836B 44C870D9 5BD9CC3D CCE0F4B4

  55E261B0 E5066FDF E9C8018C CB2DA70C 4574D16B 07E97D44 C37E799B E1EAABD3

  BB515DE1 E8FEFD6C 34029757 B433A3A6 7D1F6A04 D606B8AB 4150B4AC CCFD5462

  1BE04CAE 9E12923B 7933E70B 1A80E68B 5F85962A 5F11AFBD 5CCE940D A2DD3C27

  02030100 01A37730 75300F06 03551D13 0101FF04 05300301 01FF3022 0603551D

  11041B30 19821749 6E746572 6E65742E 796F7572 646F6D61 696E2E63 6F6D301F

  0603551D 23041830 1680147A 84D1B108 D32408EA 9238D39D D1D8D6C8 6834A630

  1D060355 1D0E0416 04147A84 D1B108D3 2408EA92 38D39DD1 D8D6C868 34A6300D

  06092A86 4886F70D 01010405 00038181 00542A3B 79E65B2A FE948A98 ECD153E4

  1E510D6C 56E5AFE8 03BF6A2F B83CCCBA F5AC0631 40319A88 3ECA356A C3F69CB7

  D61066BB FB59F03B AA49842B B97F54FC 708B46B8 4110437D 79C18A8E A5FE4BBB

  EFE01DC0 7A98979E EEBA58F8 0333A957 1A09A9A0 25D5BE49 91DB6FB1 CF6D8C37

  1FD33590 9AFA55FA 6906858B A799663B 92

  quit

username john privilege 15 password 0 xx 

!

!

!

crypto isakmp policy 1

 hash md5

 authentication pre-share

crypto isakmp key secretkey address 62.xxx.xxx.43

!

!

crypto ipsec transform-set cm-transformset-1 ah-md5-hmac esp-des esp-md5-hmac

!

crypto map cm-cryptomap local-address Dialer1

crypto map cm-cryptomap 1 ipsec-isakmp

 set peer 62.xxx.xxx.43

 set transform-set cm-transformset-1

 match address 101

!

!

!

!

interface Tunnel1

 ip address 192.168.10.1 255.255.255.0

 tunnel source Dialer1

 tunnel destination 62.xxx.xxx.43

!

interface BRI0

 no ip address

 encapsulation hdlc

 shutdown

 isdn switch-type basic-net3

 isdn point-to-point-setup

!

interface ATM0

 no ip address

 no atm ilmi-keepalive

 pvc 8/35

  encapsulation aal5mux ppp dialer

  dialer pool-member 1

 !

 dsl operating-mode auto

!

interface FastEthernet0

 no cdp enable

!

interface FastEthernet1

!

interface FastEthernet2

!

interface FastEthernet3

!

interface Vlan1

 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$

 ip address 192.168.1.1 255.255.255.0

 ip nat inside

 ip virtual-reassembly

 ip tcp adjust-mss 1452

!

interface Dialer1

 ip address 83.xxx.xxx.181 255.255.255.0

 ip nat outside

 ip virtual-reassembly

 encapsulation ppp

 dialer pool 1

 no cdp enable

 ppp pap sent-username xxxxxxxxxxxxxxxx@otenet.gr password xxx

 crypto map cm-cryptomap

!

router rip

 network 192.168.10.0

!

ip route 0.0.0.0 0.0.0.0 Dialer1

ip route 192.168.2.0 255.255.255.0 Tunnel1

!

!

ip http server

ip http access-class 23

ip http authentication local

ip http secure-server

ip http timeout-policy idle 60 life 86400 requests 10000

ip http client username spiros

ip nat inside source list 122 interface Dialer1 overload

i



access-list 1 permit 192.168.1.0 0.0.0.255

access-list 23 permit 62.xxx.xxx.43

access-list 23 permit 192.168.1.0 0.0.0.255

access-list 23 permit 192.168.2.0 0.0.0.255

access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

access-list 100 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

access-list 100 permit icmp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

access-list 101 permit gre host 83.xxx.xxx.181 host 62.xxx.xxx.43

access-list 103 permit ip any any

access-list 122 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

access-list 122 permit ip 192.168.1.0 0.0.0.255 any

access-list 175 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

access-list 175 permit ip 192.168.1.0 0.0.0.255 any

dialer-list 1 protocol ip permit



snmp-server community skynet RW

snmp-server enable traps tty

no cdp run

!

!

!

route-map nonat permit 10

 match ip address 175

!

!

control-plane



!

line con 0

 exec-timeout 120 0

 login local

 no modem enable

 stopbits 1

line aux 0

line vty 0 4

 access-class 23 in

 exec-timeout 120 0

 privilege level 15

 password xxx 

 logging synchronous

 login

 length 0

 transport input telnet ssh

!

scheduler max-task-time 5000

!

webvpn context Default_context

 ssl authenticate verify all

 !

 no inservice

!

end

-----------------------------------------------------------
υποκαταστημα-1

Κώδικας:

!

version 12.4

no service pad

service timestamps debug datetime localtime

service timestamps log datetime localtime

service password-encryption

!

hostname ypokatasthma1

!

boot-start-marker

boot-end-marker

!

logging buffered 51200 warnings

enable secret 5 

enable password xx 

!

no aaa new-model

!

crypto pki trustpoint TP-self-signed-2588493967

 enrollment selfsigned

 subject-name cn=IOS-Self-Signed-Certificate-2588493967

 revocation-check none

 rsakeypair TP-self-signed-2588493967

!

!

crypto pki certificate chain TP-self-signed-2588493967

 certificate self-signed 01

  30820253 308201BC A0030201 02020101 300D0609 2A864886 F70D0101 04050030

  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274

  69666963 6174652D 32353838 34393339 3637301E 170D3032 30333031 30303037

  30365A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649

  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 35383834

  39333936 3730819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281

  8100B746 CBE7F129 0B94D271 280DECD0 69D18890 6340A1EE 62020896 536B0928

  EACF2835 19E9B913 0861B9F6 DA446B44 E16BC800 2789C0D3 8147B0BB D9CCCE14

  697E5555 B693B3FD 5F7AD8B8 F8E78831 50107581 5BD5FBF6 0EB7DD40 A01710C8

  8CB2EFC9 C32B8025 A2DEB97B AB343B5C 4DAD8715 E9792E56 069C330A 667B89E3

  4FF10203 010001A3 7B307930 0F060355 1D130101 FF040530 030101FF 30260603

  551D1104 1F301D82 1B496E74 65726E65 7453686F 702E796F 7572646F 6D61696E

  2E636F6D 301F0603 551D2304 18301680 146D83DF 36AE3A29 7BBF9ACD 7B37D278

  5DAC9B42 E0301D06 03551D0E 04160414 6D83DF36 AE3A297B BF9ACD7B 37D2785D

  AC9B42E0 300D0609 2A864886 F70D0101 04050003 8181000D 349AB084 6F7982FA

  DFC79A03 4C245B55 3ED25B82 0A554ED6 AEF8458E CDA273C2 DF36AFA8 49C17A39

  6C866FAE FC09D664 153270E7 74A1C8B5 99F52124 A54D78EB 9483D345 48467CC6

  BECFE2EB D106EBAA 0C3F28DB 518CE571 A9D87143 65B1471F CE4A2F73 9BF0BDD0

  7AFD7D42 690C9C1E 85EFBEA3 0A2898BE 92EB5CCC 74A5B8

        quit

dot11 syslog

ip cef

!

!

ip inspect name myfw tcp

ip inspect name myfw udp

ip inspect name myfw ftp

ip inspect name myfw realaudio

ip inspect name myfw smtp

ip inspect name myfw streamworks

ip inspect name myfw vdolive

ip inspect name myfw tftp

ip inspect name myfw rcmd

ip inspect name myfw http

no ip domain lookup

ip domain name yourdomain.com

!

isdn switch-type basic-net3

!

!

username johnk81 privilege 15 password xxx 

!

!

crypto isakmp policy 1

 hash md5

 authentication pre-share

crypto isakmp key secretkey address 83.xxx.xxx.181

!

!

crypto ipsec transform-set cm-transformset-1 ah-md5-hmac esp-des esp-md5-hmac

!

crypto map cm-cryptomap local-address Dialer1

crypto map cm-cryptomap 1 ipsec-isakmp

 set peer 83.xxx.xxx.181

 set transform-set cm-transformset-1

 match address 100

!

archive

 log config

  hidekeys

!

!

!

!

!

interface Tunnel1

 ip address 192.168.10.2 255.255.255.0

 tunnel source Dialer1

 tunnel destination 83.xxx.xxx.181

!

interface BRI0

 no ip address

 encapsulation hdlc

 shutdown

 isdn switch-type basic-net3

 isdn point-to-point-setup

!

interface ATM0

 no ip address

 no atm ilmi-keepalive

 pvc 8/35

  encapsulation aal5mux ppp dialer

  dialer pool-member 1

 !

 dsl operating-mode auto

!

interface FastEthernet0

 no cdp enable

!

interface FastEthernet1

!

interface FastEthernet2

!

interface FastEthernet3

!

interface Vlan1

 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$

 ip address 192.168.2.1 255.255.255.0

 ip nat inside

 ip virtual-reassembly

 ip tcp adjust-mss 1452

!

interface Dialer1

 ip address 62.xxx.xxx.43 255.255.255.0

 ip nat outside

 ip virtual-reassembly

 encapsulation ppp

 dialer pool 1

 no cdp enable

 ppp pap sent-username xxxxxxxxxxxxxx@otenet.gr password xxx

 crypto map cm-cryptomap

!

router rip

 network 192.168.10.0

!

ip forward-protocol nd

ip route 0.0.0.0 0.0.0.0 Dialer1

ip route 192.168.1.0 255.255.255.0 Tunnel1

!

ip http server

ip http access-class 23

ip http authentication local

ip http secure-server

ip http timeout-policy idle 60 life 86400 requests 10000

ip http client username spiros

ip nat inside source list 122 interface Dialer1 overload

!

access-list 1 permit 192.168.2.0 0.0.0.255

access-list 23 permit 83.xxx.xxx.181

access-list 23 permit 192.168.2.0 0.0.0.255

access-list 23 permit 192.168.1.0 0.0.0.255

access-list 100 permit gre host 62.xxx.xxx.43 host 83.xxx.xxx.181

access-list 103 permit ip any any

access-list 122 deny   ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

access-list 122 permit ip 192.168.2.0 0.0.0.255 any

access-list 175 deny   ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

access-list 175 permit ip 192.168.2.0 0.0.0.255 any

dialer-list 1 protocol ip permit


snmp-server community skynet RW

snmp-server enable traps tty

no cdp run

!

!

route-map nonat permit 10

 match ip address 175

!

!

control-plane



!

line con 0

 exec-timeout 120 0

 login local

 no modem enable

 stopbits 1

line aux 0

line vty 0 4

 access-class 23 in

 exec-timeout 120 0

 privilege level 15

 password xxx 

 logging synchronous

 login

 length 0

 transport input telnet ssh

!

scheduler max-task-time 5000

!

webvpn context Default_context

 ssl authenticate verify all

 !

 no inservice

!

end

........Auto merged post: john2_k πρόσθεσε 8 λεπτά και 19 δευτερόλεπτα αργότερα ........

σημειωση: θελω να ειναι αμφιδρομη η επικοινωνια δηλ. να επικοινωνουν και τα 2 υποκαταστηματα μεταξυ τους και να εχω και internet

[taxiarxos]

Καλύτερα τώρα...

Λοιπόν για να προσθέσεις το νέο site θα πρέπει να φτιάξεις ένα αντίστοιχο config όπως στο υποκατάστημα 1. Στον κεντρικό router θα προσθέσεις ένα νέο tunnel π.χ. 2 και τις αντίστοιχες access-lists. Τώρα αν θέλεις να έχεις επικοινωνία κ στα 2 υποκαταστήματα ανεξαρτήτως του κεντρικού θα πρέπει να ανοίξεις αντίστοιχα τα tunnels στα sites κ να προσθέσεις τις access lists. Δεν νομίζω ότι θα έχεις πρόβλημα. Στην ερώτηση αν υποστηρίζει 2ρο site VPN ο cisco που έχεις είναι ΝΑΙ κ πληροφοριακά υποστηρίζει μέχρι 20 tunnels (δηλαδή 1 tunnel per site). Αν θέλεις για 100% το τσεκάρεις στο site της cisco βάση του IOS που έχει ο router σου, αλλά απ΄ ότι θυμάμαι τόσο είναι up to 20 tunnels.

Ξεκίνα να χτίζεις το config και ότι χρειαστείς πόσταρε στο forum.

[johnk]

Γεια σου ρε taxiarxe , αυτη ειναι ωρα, ευχαριστω πολυ για τις απαντησεις. εννοεις να φτιαξω και δευτερο crypto isakmp policy 2 με peer την καινουργια static? Αυτο που δεν καταλαβαινω ειναι το εξης: τα υποκαταστηματα για να βλεπονται μεταξυ τους , θα γινετε μεσω του κεντρικου ( απο το tunnel )?

[taxiarxos]

Επαναλαμβάνω...

Τώρα αν θέλεις να έχεις επικοινωνία κ στα 2 υποκαταστήματα ανεξαρτήτως του κεντρικού θα πρέπει να ανοίξεις αντίστοιχα τα tunnels στα sites κ να προσθέσεις τις access lists.

Αν ανοίξεις tunnels στα sites θα είναι full mesh το δίκτυο σου.

Για τα crypto maps κτλ θα πρέπει να προσθέσεις στο ήδη υπάρχον νέα.

[johnk]

ωπα τωρα το καταλαβα , χαζη ερωτηση σου εκανα, το config για το 2ο υποκαταστημα το εχω ετοιμο. στον router του κεντρικου ανοιγω ενα tunnel 2 με tunnel destination την καινουργια static? και στα υποκαταστηματα μονο τα tunnels σνοιγω?

[taxiarxos]

Ακριβώς!

Στα sites θα πρέπει να ρίξεις αντίστοιχα το config για το Encryption και τις Access-lists.

[johnk]

ευχαριστω πολυ taxiarxos για την βοηθεια. κατι τελευταιο και θα τα δοκιμασω αυριο το πρωι ολα αυτα, χρειζεται να φτιαξω και 2ο crypto isakmp policy ? στον κεντρικο για το 2ο υποκαταστημα?

[taxiarxos]

Ναι φυσικά. Δοκίμασε τα και μιλάμε.

[johnk]

οκ ευχαριστω, καλο βραδυ. θα σας ενημερωσω το πρωι!

[taxiarxos]

Για να μην παρεξηγηθώ διευκρυνίζω ότι στο ήδη υπάρχον "crypto isakmp policy" θα πρέπει να προσθέσεις το νέο "crypto isakmp policy" εκτός αν έχεις πάνω από 1 interfaces. (1 crypto map per interface)

Δες κ εδώ στο site της Cisco για να καταλάβεις το config.

http://www.cisco.com/en/US/tech/tk58...8014f8ab.shtml

[johnk]

Ναι σωστος taxiarxos δεν θα ανοιξω καινουργιο crypro isakmp policy θα παιξω κατω απο αυτο. Μια διευκρινησει, στο καινουργιο υποκαταστημα θα εχω internet οπως τα αλλα?