Тема поднятия криптованного канала между D-Link и cisco конечно уже несколько избита. Хотя, до недавнего времени у меня были некоторые пробелы в этом направлении. Просто не доводилось использовать такую схему подключения.

Как правило, в варианте подключения, который я использую, присутствует два маршрутизатора cisco, между которыми поднят GRE-туннель. Ну и в настройках IPSec интересным трафиком (ну который нам надо закриптовать) является именно этот GRE-трафик. Все логично, легко и просто.

Вот сегодня столкнулся с ситуацией, когда надо закриптовать трафик между нашей сеткой и сетью, находящейся за D-Link-ом. В этих устройствах отсутствует возможность построения GRE-туннелей, поэтому в начале этот вариант показался тупиковым.

Но, всё оказалось не так плохо. Явный туннель строить не пришлось

Итак, есть две сети, которые нужно объединить посредством IPSec, скажем 132.132.132.0/30 со стороны циски и 192.192.192.0/30 со стороны длинка. Внешний интерфейс на cisco имеет адрес xxx.xxx.xxx.xxx, а на d-link — yyy.yyy.yyy.yyy.

Ну и схема:

+==============+----    cisco    ---------------------   d-link   ---+==============+
 132.132.132/30        xxx.xxx.xxx.xxx                 yyy.yyy.yyy.yyy      192.192.192/30

Настройки на D-Link-e:

Local subnet: 192.192.192.0
Local netmask: 255.255.255.252
Remote subnet: 132.132.132.0
Remote netmask: 255.255.255.252
Remote gateway: xxx.xxx.xxx.xxx
Preshared key: mycryptokey

Настройки IKE proposal:

DH group: Group2
Encryption algorithm: 3DES
Auth algorithm: md5

Настройки IPSec proposal:

DH group: Group2
Encap protocol: ESP
Encryption algorithm: 3DES
Auth algorithm: sha
Life time: 28800

Маршрут на удаленную сеть, как оказалось прописывать не надо, D-Link берет его из настроек (как не удивительно .

Настройки циски с другой стороны. Политика для фазы 1 (которая в d-link-e описана в параметрах IKE proposal):

!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
!

Собственно, сам pre-shared ключик:

crypto isakmp key mycryptokey address yyy.yyy.yyy.yyy

Настройки для фазы 2:

!
crypto ipsec transform-set unodostres esp-3des esp-sha-hmac
!
crypto map remotenet 10 ipsec-isakmp
 set peer yyy.yyy.yyy.yyy
 set security-association lifetime seconds 28800
 set transform-set unodostres
 set pfs group2
 match address 110
!

Параметры transform-set + map естессно должны соответствовать длинковским IPSec proposal.

Интересный трафик, который нужно закриптовать, описан через АЦЛ (а в длинке это выглядит как Local Network — Remote Network):

!
access-list 110 permit ip 192.192.192.0 0.0.0.3 132.132.132.0 0.0.0.3
access-list 110 permit ip 132.132.132.0 0.0.0.3 192.192.192.0 0.0.0.3
!

Ну и необходимо применить наш crypto map на интерфейсе с внешним IP:

interface Serial4/0.41 point-to-point
 …
 ip address xxx.xxx.xxx.xxx 255.255.255.252
 crypto map remotenet
 …
!

Для того, чтобы это все работало, на cisco необходимо явно указать маршрут на удаленную сеть.

ip route 192.192.192.0 255.255.255.252 Serial 4/0.41

Основная сложность заключалась в подборе соответствующих друг-другу параметров IKE, IPSec и интересного трафика в ACL. При правильных настройках IPSec поднимается практически моментально.

Для проверки работоспособности схемы проще всего всунуть какой-нить промежуточный маршрутизатор между cisco и d-link и запустить на нем tcpdump. Особо желающие могут поиграться с debug ip packets на циске .

Популярность: 31%