NR - EdgeMAX - configurar EdgeRouter para Cisco IPSEC VPN

Advertências para este exemplo

-Estritamente ponto a ponto (sem NAT entre os 2 dispositivos)

Notas de topologia:

EdgeRouter:
- WAN: 8.8.8.8
-LAN: 10.12.10.0/24 (sub-rede Local)

Cisco:
- WAN: 4.4.4.4
-LAN: 10.11.0.0/24 (sub-rede remota)

 

Sobre esse Cisco 

crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key YOURPRESHAREDKEYHERE address 8.8.8.8 no-xauth


crypto map SDM_CMAP_1 1 ipsec-isakmp
 description Tunnel to Ubnt Demo
 set peer 8.8.8.8
 set transform-set ESP-3DES-SHA1
 match address 107

access-list 107 permit ip host 10.11.0.63 10.12.10.0 0.0.0.255

 

Do lado de ER Lite

disable-uniqreqids
 esp-group vpntunnel {
     compression disable
     lifetime 1800
     mode tunnel
     pfs disable
     proposal 1 {
         encryption 3des
         hash sha1
     }
 }
 ike-group vpntunnel {
     lifetime 28800
     proposal 1 {
         dh-group 2
         encryption 3des
         hash sha1
     }
 }
 ipsec-interfaces {
     interface eth1
 }
 logging {
     log-modes all
     log-modes control
 }
 nat-traversal disable
 site-to-site {
     peer 4.4.4.4 {
         authentication {
             mode pre-shared-secret
             pre-shared-secret YOURPRESHAREDKEYHERE
         }
         connection-type initiate
         default-esp-group vpntunnel
         ike-group HostedVoice
         local-ip 8.8.8.8
         tunnel 10 {
             allow-nat-networks disable
             allow-public-networks disable
             esp-group vpntunnel
             local {
                 subnet 10.12.10.0/24
             }
             remote {
                 subnet 10.11.0.63/32
             }
         }
     }
 }

 

Os comandos usados no pronto-socorro são as seguintes
(Lembre-se de substituir 8.8.8.8 e 4.4.4.4 com seus endereços apropriados)

configurar
conjunto vpn ipsec disable-uniqreqids
conjunto vpn ipsec esp-grupo vpntunnel
conjunto vpn ipsec esp-grupo vpntunnel compressão desativar
conjunto vpn ipsec esp-grupo vpntunnel vida 1800
túnel de modo conjunto vpn ipsec esp-grupo vpntunnel
conjunto vpn ipsec esp-grupo vpntunnel pfs desativar
conjunto vpn ipsec esp-grupo vpntunnel proposta 1
conjunto vpn ipsec esp-grupo vpntunnel proposta 1 criptografia 3des
definir vpn ipsec esp-grupo vpntunnel proposta 1 hash sha1
definir vpn ipsec ike-grupo vpntunnel
definido VPN ipsec ike-grupo vpntunnel vida 28800
conjunto vpn ipsec ike-grupo vpntunnel proposta 1
conjunto vpn ipsec ike-grupo vpntunnel proposta 1 dh-grupo 2
conjunto vpn ipsec ike-grupo vpntunnel proposta 1 criptografia 3des
conjunto vpn ipsec ike-grupo vpntunnel proposta 1 hash sha1
conjunto ipsec de vpn ipsec-interfaces interface eth1
conjunto ipsec vpn log log-modos todos
conjunto ipsec vpn log de controle de registro-modos
conjunto vpn ipsec disable de nat-traversal
conjunto 4.4.4.4
set de local de mesmo nível ipsec vpn vpn ipsec site-to-site peer 4.4.4.4 local-ip 8.8.8.8 
set vpn ipsec site-to-site peer 4.4.4.4 authentication mode pre-shared-secret
set vpn ipsec site-to-site peer 4.4.4.4 authentication pre-shared-secret mysecretkey
set vpn ipsec site-to-site peer 4.4.4.4 connection-type initiate
set vpn ipsec site-to-site peer 4.4.4.4 default-esp-group vpntunnel
set vpn ipsec site-to-site peer 4.4.4.4 ike-group vpntunnel
set vpn ipsec site-to-site peer 4.4.4.4 tunnel 1
set vpn ipsec site-to-site peer 4.4.4.4 tunnel 1 esp-group vpntunnel
set vpn ipsec site-to-site peer 4.4.4.4 túnel 1 sub-rede local 10.12.10.0/24
ponto de site-to-site ipsec vpn conjunto 4.4.4.4 túnel 1 sub-rede remota 10.11.0.63/32
commit

 

Nota a sub-rede remota nos comandos exemplo difere de cima, como eu estou querendo apenas ser capaz de comunicar-se com 1 IP do lado remoto (daí a 32)

Lembrete: Não esquecer de excluir a sub-rede remota do locais regras NAT

-jeff824

Powered by Zendesk