NR - EdgeMAX - configurar EdgeRouter para Cisco IPSEC VPN

Advertencias para este ejemplo

-Estrictamente punto a punto (no hay NAT entre los 2 dispositivos)

Notas de la topología:

EdgeRouter:
- WAN: 8.8.8.8
-LAN: 10.12.10.0/24 (subred Local)

Cisco:
- WAN: 4.4.4.4
-LAN: 10.11.0.0/24 (subred remota)

 

En este Cisco 

crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key YOURPRESHAREDKEYHERE address 8.8.8.8 no-xauth


crypto map SDM_CMAP_1 1 ipsec-isakmp
 description Tunnel to Ubnt Demo
 set peer 8.8.8.8
 set transform-set ESP-3DES-SHA1
 match address 107

access-list 107 permit ip host 10.11.0.63 10.12.10.0 0.0.0.255

 

En el lado de ER Lite

disable-uniqreqids
 esp-group vpntunnel {
     compression disable
     lifetime 1800
     mode tunnel
     pfs disable
     proposal 1 {
         encryption 3des
         hash sha1
     }
 }
 ike-group vpntunnel {
     lifetime 28800
     proposal 1 {
         dh-group 2
         encryption 3des
         hash sha1
     }
 }
 ipsec-interfaces {
     interface eth1
 }
 logging {
     log-modes all
     log-modes control
 }
 nat-traversal disable
 site-to-site {
     peer 4.4.4.4 {
         authentication {
             mode pre-shared-secret
             pre-shared-secret YOURPRESHAREDKEYHERE
         }
         connection-type initiate
         default-esp-group vpntunnel
         ike-group HostedVoice
         local-ip 8.8.8.8
         tunnel 10 {
             allow-nat-networks disable
             allow-public-networks disable
             esp-group vpntunnel
             local {
                 subnet 10.12.10.0/24
             }
             remote {
                 subnet 10.11.0.63/32
             }
         }
     }
 }

 

Los comandos utilizados en la sala de emergencias son las siguientes
(Recuerde sustituir 8.8.8.8 y 4.4.4.4 con sus direcciones correspondientes)

configurar
configurar vpn ipsec disable-uniqreqids
configurar vpn ipsec esp-grupo vpntunnel
desactivar el sistema vpn ipsec esp-grupo vpntunnel compresión
set vpn ipsec esp-grupo vpntunnel vida 1800
set vpn ipsec esp-grupo vpntunnel modo túnel
desactivar el sistema vpn ipsec esp-grupo vpntunnel pfs
set vpn ipsec esp-grupo vpntunnel propuesta 1
configurar vpn ipsec esp-grupo vpntunnel propuesta 1 cifrado 3des
configurar vpn ipsec esp-grupo vpntunnel propuesta 1 hash sha1
configurar vpn ipsec ike-grupo vpntunnel
set VPN ipsec ike-grupo vpntunnel vida 28800
set vpn ipsec ike-grupo vpntunnel propuesta 1
vpn ipsec ike-grupo vpntunnel propuesta 1 dh-grupo 2
configurar vpn ipsec ike-grupo vpntunnel propuesta 1 cifrado 3des
configurar vpn ipsec ike-grupo vpntunnel propuesta 1 hash sha1
configurar vpn ipsec ipsec-interfaces interfaz eth1
configurar vpn ipsec registro registro-modos todos
configurar vpn ipsec registro control de modos de registros
desactivar el sistema vpn ipsec nat-transversal
configurar vpn ipsec sitio a sitio entre pares 4.4.4.4
set vpn ipsec site-to-site peer 4.4.4.4 local-ip 8.8.8.8 
set vpn ipsec site-to-site peer 4.4.4.4 authentication mode pre-shared-secret
set vpn ipsec site-to-site peer 4.4.4.4 authentication pre-shared-secret mysecretkey
set vpn ipsec site-to-site peer 4.4.4.4 connection-type initiate
set vpn ipsec site-to-site peer 4.4.4.4 default-esp-group vpntunnel
set vpn ipsec site-to-site peer 4.4.4.4 ike-group vpntunnel
set vpn ipsec site-to-site peer 4.4.4.4 tunnel 1
set vpn ipsec site-to-site peer 4.4.4.4 tunnel 1 esp-group vpntunnel
set vpn ipsec site-to-site peer 4.4.4.4 1 subred local 10.12.10.0/24 del túnel
por pares establecer vpn ipsec sitio a sitio 4.4.4.4 túnel 1 subred remota 10.11.0.63/32
commit

 

Nota la subred remota en los comandos de ejemplo es diferente desde arriba como sólo estoy queriendo ser capaz de comunicarse con 1 IP en el lado remoto (por lo tanto, la 32)

Recordatorio: No olvides a excluir a la subred remota de reglas NAT locales

-jeff824