Спасибо огромное за уроки. Отдельный плюс в карму, за то, что автора лучше слышно стало.

В очередной раз спасибо! Не знаю как бы я разобрался с Cisco Packet Tracer без вас !

Посмотрел видео! Автору спасибо. Для всех кто будет смотреть. Если вы не в теме, то с наскока это видео вы не поймете. Надо разбираться с ip sec. Почитать немного. Понимать что у него две фазы (создание двух туннелей, служебного и для данных....) и т.д. Тупо повторить настройки это мало поможет. К слову я бы вместо crypto map сделал бы VTI и заодно избежал ACL. Но crypto map это классика, которую надо знать))) Всем приятного обучения.

Cпасибо вам большое! Очень бы пригодились реквизиты , чтобы поддержать проект, вы человек от бОГА!!!

Moral Proxy. Так работе IPSec Site-to-Site. Чтобы знать какой трафик шифровать, у вас должны быть разные сети в качестве источника и получателя. Если же вы хотите использовать одну сеть, то тогда смотрите в сторону таких технологий как EoIP Tunnel

Наконец-то новый урок! Огромное спасибо!

Спасибо за уроки! Приобрел книгу, буду читать в пути!

Отличный парень этот Евген, спасибо за уроки)

ура, звук сделали погромче))

В CPT 7.2.0 так и не удалось создать рабочий проект с ASA5505. Конфигурации объектов идентичны скачанной лабе, тем не менее не работает. Впрочем, стоило пересохранить скачанную рабочую лабу и заново открыть - и тоже перестало работать. Одна и та же ошибка - " The interesting traffic can not be encrypted, IKE (ISAKMP) needs to negotatiate IPSec SAs".

И кстати агромное Вам спасибо за уроки!

в cisco packet tracer 8.2.1 в скаченной лабе не пингуются филиалы. хорошо что сразу решил попробовать готовый вариант на моей версии, а не начал искать ошибки

Воу воу... как это мы не будем рассматривать IPsec RA VPN? )) Это чаще встречается нежели соединить 2 сети через интернет.

Посмотрел еще раз... без вводной о криптографии зрителям наверно тяжело будет понять процесс настройки. Просьба к посмотревшим видео, поделиться впечатлениями.

Здраствуйте а такой вопрос, запутался с VPN-нами, Site-to-Site VPN на основе GRE строился? Почему тогда не через L2TP over IPsec. То есть имею виду что лутше?

Домашнее задание. Добавляем сервер (192.168.3.2 в моём случае) и цепляем его на роутер0 предварительно добавив плашку с портами (nm-2fe2w). ломимся на роутер0 и прописываем в АЦЛ на ВПН новую сеть, далее сносим АЦЛ от НАТ и накатываем новый ip access-list extended for-vpn permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 ip access-list extended for-nat deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 deny ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 permit ip 192.168.1.0 0.0.0.255 any permit ip 192.168.3.0 0.0.0.255 any вот так все выглядит на роутере0, далее ломимся на роутер1 и так же добавлям в АЦЛ на ВПН новую сеть, и сносим АЦЛ от НАТ и накатываем заного как показано ниже ip access-list extended for-vpn permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 ip access-list extended for-nat deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 permit ip 192.168.2.0 0.0.0.255 any Всё должно работать как надо ! Больше никуда лезть не нужно. У меня короче был ещё баг :) при пинге сервера 3.2 из сети 2.0 роутер2 (который в принципе должен шарашить всё без разбора в обе стороны т.к. он не имеет отношения к этому тунельному трафику) мне выкидывал destination host unreacheble, в обратную сторону при этом всё нормально пинговалось. Через час поисков трабла у меня подгорело всё что могло подгореть )))) в итоге просто сохранил проект, вышел, отрыл его заного и о чудо всё заработало как надо.......

*На каких роутерах cosco можно сделать vpn туннель? На многих нет команды crypto ipsakmp. Что делать если сеть построена на роутере, который это не поддерживает? Менять его или есть варианты объединения сетей? Я знаю про proxy arp, но это ведь костыль.

о, звук нормальным стал!

Добрый вечер! Как проверить, что пакеты проходят именно по VPN-туннелю?

У меня есть допустим центральный офис в котором 50 ПК, ip раздаёт dhcp сервер, так же центральный офис имеет доступ в интернет, как быть с филиалом, ставить туда отдельный dhcp сервер который там будет раздовать ip или как то можно настроить центральный dhcp что бы он раздавал ip на филиал? Возможно ли в таком случае организовать свзяь между офисами через VPN, филиал находится в другом городе, благодарен за скорый ответ!

В новой версии получилось д/з, но только после того, как роутеры перезагрузил. До этого писало - The interesting traffic can not be encrypted, IKE (ISAKMP) needs to negotatiate IPSec SAs. Видимо багуля CPT...

3DES у вас встречается в конфиге ЭТО к9 прошивка которая под категорию с3 попадает?

Делаю по видео, почему-то не подымается VPN: show crypto isakmp sa There are no IKEv1 SAs There are no IKEv2 SAs show crypto ipsec sa There are no ipsec sas Уже два раза все заново создавал- одно и тоже :( В какую сторону посмотреть? Где ошибка?

Добрый день. А что если у меня задача к центральному офису не один, а два филиала подключить. как прописывать в местах где мы ставили адрес одного клиента, какой нить аксесс лист или другое, содержащее адреса всех клиентов, которые должны будут создавать туннель. Спасибо за ответ всем кто подскажет.

Добрый день, Евгений, у вас есть практический материал по RA VPN?

Ставим лайка, спасибо автор.

А если сетей больше 2-ух?

А как мне настроить NAT, если у меня стоит роутер, к которому подключаются все сегменты, а на границе сети стоит межсетевой экран?

как я понимаю в CPT нельзя настроить IPSec через VTI?

Доброго времени. два офиса, на филиале делал настройку резервного канала, но возник трабл, почему то стал недоступен ip адрес локальной сети маршрутизатора, который идет акцессом в l3 коммутатор (ядро сети), по внешнему адресу маршрутизатор доступен, и все подсети за маршрутизатором доступны из центрального офиса, соотвтественно конечные устройства также. Из филиала, также недоступен ip адрес локальной сети маршрутизатора, но также все подсети за ним пингуются, (также там свое ядро сети на l3). между филиалом и центральным офисом gre тунель. но почему - то стали недоступны внутренные адреса gre тунеля: соответствеенно, с филиала пинг идет на ip адрес своей части gre, но не пингуется адрес gre со стороны центрального офиса, а со стороны центрельного офиса, есть пинг на ip своей стороны gre,но нет пинга ip стороны филиала. С чем это может быть связано?

Помогите! Все четко по инструкции настраиваю, маршрутизаторы сообщают об успешном создании карты и прикреплении ее к интерфейсу, но пакеты при передаче не шифруются, впн не используется. Не могу понять, что именно не так, потому что: адреса интерфейсов все правильно написаны, в обоих маршрутизаторах идентичные настройки, простая передача пду успешна. ацл написан правильно. Откуда еще может вылезти ошибка?

Здравствуйте, какой пароль у Аса0 и Аса1,я не могу зайти в прилегированный режим

Вроде все понятно в целом, непонятно только то, как быть если сетей не две? или к одному интерфейсу на роутере можно цеплять несколько туннелей?

Спасибо за видео! Записался на курсы, осваиваю packet tracer. Вопрос - у меня есть желание соединить 2 микроофиса в единую сеть через VPN - чтобы обе сетки видели друг друга и была возможность подключиться через мобильный телефон (iPhone). Белый IP только на одной стороне. Сейчас эту задачу решаю по колхозному через самый дешевый zyxel keenetik. Хотелось бы более «промышленного» решения. На какую модель роутера от Cisco можно обратить внимание? И что у них с лицензиями - неужели для каждого vpn клиента нужно покупать лицензии? Будут ли клиенты работать через l2tp без установки AnyConnect?

Очень сложнА ) Если честно... Ни когда ранее не занимался такой настройкой. Вопрос к вам, Евгений, вы сами это все освоили, на практике и самостоятельно? Получали ли сертификаты, если да, то какие?

privet spasibo za uroki .Skajite pojalusta ,kakaoy versiya cisco packet tracer padderjivayut vpn confiqurasiyu?

Спасибо за урок! Очень информативный! Я только не могу сделать Vpn на МЭ. МЭ между собой не пингуются, роутер они пингуют, компы не пингуются, и пишет, когда я ввожу команду show: there are no isakmp sa. Что делать?

лучший

Добрый день! А где можно почитать/посмотреть про RA VPN?

Объясните пожалуйста, почему мы запрещаем натить из 192.168.2.0 в 192.168.1.0 и потом разрешаем на любой хост. Спасибо.

В CPT последней версии (7.3) даже в скаченной лабе схема с роутерами не работает. IPv4 Crypto ISAKMP SA dst src state conn-id slot status 210.210.2.2 210.210.1.2 MM_NO_STATE 0 0 ACTIVE (deleted) Думаю надо осваивать DMZ, VPN и прочие сложные технологии в gns3, cpt слишком глючный

Добрый день! Подскажите, по заданию добавил 2 сервера c ip 192.168.3.2/24 и 192.168.3.3/24. Включил в новый свич. Свич подключил в R0. Создал интерфейс на R0 соответственно с ip 192.168.3.1/24. Хотел запретить доступ серверов к сети 192.168.1.0 , но при попытке запретить сети 192.168.3.0 доступ к 192.168.1.0 , пропадает и доступ в обратную сторону. Вот настройки. Подскажите что не так. interface FastEthernet1/0 ip address 192.168.3.1 255.255.255.0 ip access-group for-serv in ip access-list extended for-serv deny ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 permit ip any any

Здравствуйте! Добавил сервер вынес его в отдельную Vlan , создал интерфейсы на маршрутизаторе, внес изменения в аксес листы, но VPN не работает. Нужны какие-то дополнительные настройки для VLAN в VPN?

не дает ввести на роутере isakmp policy 1. в подсказке СЛЕДУЩЕЕ: Router(config)#crypto ? key Long term key operations Router(config)#crypto

привет. на команду crypto isakmp policy 1 получаю % Invalid input detected at '^' marker. Подскажите, почему так? версия Cisco Packet Tracer - 6.2.0.0052

supeeeeerrrrr

Евгений, здравствуйте! Вот такой вопрос возникает, допустим я хочу, чтобы DHCP сервер на главной площадке раздавал IP адреса и в филиале. Но как это сделать, ведь получается, нужно прокинуть VLAN через VPN?

Доброе день спасибо за урок у меня один вопрос я от роутера пингую ping ip 192.168.1.1 source 192.168.2.1 наполучается

Начал выполнение лабы. Взял другой роутер, и сразу же столкнулся с проблемой создания политики. Насколько я понял, настроить впн данным образом можно лишь на роутере 1841?

Помимо криптосистемы Дифа и Хелмана в cisco применяются другие криптосистемы? И спасибо за долгожданный урок!

sh crypto ip sec sa There are no ipsec sas И так на двух машинах. И непонятно от чего это.

А чем это отличается от GRE-tunel'я?

2-й пример в 7.0.0.0202 не работает, ваш сохраненный урок тоже сессию не поднял, позже в другой мб проверю

Ненавижу Packet tracer! Делаю по видео - не работает. Досконально изучаю каждый этап - не работает. Скачиваю Вашу лабу, сравниваю конфиги - у Вас работает, у меня нет. Изучаю трафик, который ходит, оказывается маршрутизатор зачем то изменяет мак хоста получателя. Меняю мак - всеравно не работает. Перезапустил Packet tracer - заработало... С*ки!!

Ого, уже 18 выпусков! По темам CCNP еще не собираешься пройтись? =)

хороший урок, но тяжеловатый если с нуля прям

Добрый день! У меня такой вопрос. У меня не загорается когда подключаю компьютеры на коммутатор? В новой версии 6.2 не получается. Как исправить? Смотрю у вас точно такая же версия. В старой версии работает? Можете помочь?

Алгоритм ДИффи-Хеллмана не ДЕфи -_- Не обзывайте больше так

Не досмотрел если честно, так как не понимаю, а просто "тупо" смотреть не хочется. Хотя если придется настраивать что-то подобное на реальном оборудование, то конечно же обращусь к данному видео, что бы от него уже отталкиваться.

Извиняюсь, конечно, что говорю это. Но конкретно этот выпуск помойный. Остальные просто отличные. Тема VPN и IPsec слишком обширная. Требует куда больше теории. Если остальные темы на практике можно было понять. То это не тот случай.