Cisco gre ipsec



  • Комрад плиз хелп!!

    В общем ситуация такая есть Cisco 2800 и мой PfSense 2.1. Между ними поднят тунель GRE. Настройки там простенькие. Маршруты прописаны статически. Пакети прекрасно бегают из сети в сеть. Но тут такое дело, что хотелось бы иметь хоть какое-нить шифрование трафика. Так вот тут и возникает проблема - как это вообще вытворить?
    Пробовал сделать так, чтобы весь трафик шифровался между ними(благо ip белые с обоих сторон). Создаю на Cisco crypto map, вешаю на внешний интерфейс. Прописываю шифровать весь траффик в режиме транспорт. Как то так. Со стороны pfsense также создаю правила шифрования трафика, но получаю облом. Вроде бы все параметры согласовываю с обоих сторон идентично. Но в логах наблюдаю error: NO-PROPOSAL-CHOSEN received in informational exchange. Я уже вторую неделю с этим мучаюсь. Все маны перерыл. Подскажите уже в какую сторону копать. Или если есть рабочие конфиги поделитесь пожалуйста.

    PS С обоих сторонв фазе1 выставляю aes128 SHA1 DH groupe2. В фазе 2 тоже согласовываю все параметры. Идентификация по pre shared key. Чуть позже выложу конфиги с cisco и pfsense.



  • google >> pfsense gre ipsec cisco



  • Здравствуйте.
    Аналогичная ситуация, только вторую сторону тоннеля (там где кошка) настраиваю не я.
    Что получилось:
    1. Просто GRE тоннель без шифрования все работает трафик ходит.

    2. GRE с шифрованием ipsec:  если верить tcpdump на внешнем интерфейсе моего роутера, проходит фазу 1. Фаза два не проходит

    racoon: [IFACE]: [x.x.x.x] ERROR: exchange Identity Protection not allowed in any applicable rmconf.
    

    Как мне показалось в этой статье описывается связка Cisco + Freebsd, только где в pfsense файл ipsec.conf в который нужно прописывать какой трафик шифровать в тоннеле. Поиском найти не находится. Подозреваю что ищу зря. Видимо нужно как-то по другому эти правила в pfsense прописывать.

    Мой роутер: PfSense 2.0.1 (i386)

    Вот что прислали с другой стороны:

    
    Фаза 1
    
    encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
    hash algorithm:         Message Digest 5
    authentication method:  Pre-Shared Key
    Diffie-Hellman group:   #1 (768 bit)
    lifetime:               86400 seconds, no volume limit
    
    Фаза 2
    
    esp-des esp-md5-hmac
    
    GRE
    
    interface TunnelXXX
    ip address z.z.z.z 255.255.255.252
    ip mtu 1300
    tunnel source GigabitEthernet0/0/2.2
    tunnel destination y.y.y.y
    tunnel protection ipsec profile pskey
    
    


  • http://www.networkstraining.com/site-to-site-ipsec-vpn-between-cisco-asa-and-pfsense/
    Делайте по аналогии . Только исп-те присланные Вам настройки.

    P.s. Negotiation mode смените на main. Иногда оч. помогает.