Cisco gre ipsec
-
Комрад плиз хелп!!
В общем ситуация такая есть Cisco 2800 и мой PfSense 2.1. Между ними поднят тунель GRE. Настройки там простенькие. Маршруты прописаны статически. Пакети прекрасно бегают из сети в сеть. Но тут такое дело, что хотелось бы иметь хоть какое-нить шифрование трафика. Так вот тут и возникает проблема - как это вообще вытворить?
Пробовал сделать так, чтобы весь трафик шифровался между ними(благо ip белые с обоих сторон). Создаю на Cisco crypto map, вешаю на внешний интерфейс. Прописываю шифровать весь траффик в режиме транспорт. Как то так. Со стороны pfsense также создаю правила шифрования трафика, но получаю облом. Вроде бы все параметры согласовываю с обоих сторон идентично. Но в логах наблюдаю error: NO-PROPOSAL-CHOSEN received in informational exchange. Я уже вторую неделю с этим мучаюсь. Все маны перерыл. Подскажите уже в какую сторону копать. Или если есть рабочие конфиги поделитесь пожалуйста.PS С обоих сторонв фазе1 выставляю aes128 SHA1 DH groupe2. В фазе 2 тоже согласовываю все параметры. Идентификация по pre shared key. Чуть позже выложу конфиги с cisco и pfsense.
-
google >> pfsense gre ipsec cisco
-
Здравствуйте.
Аналогичная ситуация, только вторую сторону тоннеля (там где кошка) настраиваю не я.
Что получилось:
1. Просто GRE тоннель без шифрования все работает трафик ходит.2. GRE с шифрованием ipsec: если верить tcpdump на внешнем интерфейсе моего роутера, проходит фазу 1. Фаза два не проходит
racoon: [IFACE]: [x.x.x.x] ERROR: exchange Identity Protection not allowed in any applicable rmconf.
Как мне показалось в этой статье описывается связка Cisco + Freebsd, только где в pfsense файл ipsec.conf в который нужно прописывать какой трафик шифровать в тоннеле. Поиском найти не находится. Подозреваю что ищу зря. Видимо нужно как-то по другому эти правила в pfsense прописывать.
Мой роутер: PfSense 2.0.1 (i386)
Вот что прислали с другой стороны:
Фаза 1 encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Message Digest 5 authentication method: Pre-Shared Key Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit Фаза 2 esp-des esp-md5-hmac GRE interface TunnelXXX ip address z.z.z.z 255.255.255.252 ip mtu 1300 tunnel source GigabitEthernet0/0/2.2 tunnel destination y.y.y.y tunnel protection ipsec profile pskey
-
http://www.networkstraining.com/site-to-site-ipsec-vpn-between-cisco-asa-and-pfsense/
Делайте по аналогии . Только исп-те присланные Вам настройки.P.s. Negotiation mode смените на main. Иногда оч. помогает.