Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Cisco gre ipsec

    Scheduled Pinned Locked Moved Russian
    4 Posts 3 Posters 2.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M Offline
      MrArnel
      last edited by

      Комрад плиз хелп!!

      В общем ситуация такая есть Cisco 2800 и мой PfSense 2.1. Между ними поднят тунель GRE. Настройки там простенькие. Маршруты прописаны статически. Пакети прекрасно бегают из сети в сеть. Но тут такое дело, что хотелось бы иметь хоть какое-нить шифрование трафика. Так вот тут и возникает проблема - как это вообще вытворить?
      Пробовал сделать так, чтобы весь трафик шифровался между ними(благо ip белые с обоих сторон). Создаю на Cisco crypto map, вешаю на внешний интерфейс. Прописываю шифровать весь траффик в режиме транспорт. Как то так. Со стороны pfsense также создаю правила шифрования трафика, но получаю облом. Вроде бы все параметры согласовываю с обоих сторон идентично. Но в логах наблюдаю error: NO-PROPOSAL-CHOSEN received in informational exchange. Я уже вторую неделю с этим мучаюсь. Все маны перерыл. Подскажите уже в какую сторону копать. Или если есть рабочие конфиги поделитесь пожалуйста.

      PS С обоих сторонв фазе1 выставляю aes128 SHA1 DH groupe2. В фазе 2 тоже согласовываю все параметры. Идентификация по pre shared key. Чуть позже выложу конфиги с cisco и pfsense.

      Darauf sagt ein Diplomat vom Quai d'Orsay: «Der Krieg? Ich kann das nicht so schrecklich finden! Der Tod eines Menschen: das ist eine Katastrophe. Hunderttausend Tote: das ist eine Statistik!» ©Kurt Tucholsky

      1 Reply Last reply Reply Quote 0
      • werterW Offline
        werter
        last edited by

        google >> pfsense gre ipsec cisco

        1 Reply Last reply Reply Quote 0
        • _ Offline
          _evgen_b
          last edited by

          Здравствуйте.
          Аналогичная ситуация, только вторую сторону тоннеля (там где кошка) настраиваю не я.
          Что получилось:
          1. Просто GRE тоннель без шифрования все работает трафик ходит.

          2. GRE с шифрованием ipsec:  если верить tcpdump на внешнем интерфейсе моего роутера, проходит фазу 1. Фаза два не проходит

          racoon: [IFACE]: [x.x.x.x] ERROR: exchange Identity Protection not allowed in any applicable rmconf.

          Как мне показалось в этой статье описывается связка Cisco + Freebsd, только где в pfsense файл ipsec.conf в который нужно прописывать какой трафик шифровать в тоннеле. Поиском найти не находится. Подозреваю что ищу зря. Видимо нужно как-то по другому эти правила в pfsense прописывать.

          Мой роутер: PfSense 2.0.1 (i386)

          Вот что прислали с другой стороны:

          
Фаза 1

encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
hash algorithm:         Message Digest 5
authentication method:  Pre-Shared Key
Diffie-Hellman group:   #1 (768 bit)
lifetime:               86400 seconds, no volume limit

Фаза 2

esp-des esp-md5-hmac

GRE

interface TunnelXXX
ip address z.z.z.z 255.255.255.252
ip mtu 1300
tunnel source GigabitEthernet0/0/2.2
tunnel destination y.y.y.y
tunnel protection ipsec profile pskey
          1 Reply Last reply Reply Quote 0
          • werterW Offline
            werter
            last edited by

            http://www.networkstraining.com/site-to-site-ipsec-vpn-between-cisco-asa-and-pfsense/
            Делайте по аналогии . Только исп-те присланные Вам настройки.

            P.s. Negotiation mode смените на main. Иногда оч. помогает.

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.