Router 'dan Router 'a VPN
CLI Guru - Cisco Eğitim ve Danışmanlık Merkezi |

2007 yılından bu yana aktif olan ciscotr.com, artık " www.bilisim.pro " olarak devam edecektir.  
Mevcut mesajlarınız ve kullanıcı bilgilerinizle sitemizde katılıma devam edebilirsiniz.

+ Konuyu Cevapla
Toplam 2 Sayfadan 1. Sayfa 12 SonuncuSonuncu
Toplam 17 sonuçtan 1 ile 10 arasındakiler gösteriliyor.
Like Tree1Likes
Router 'dan Router 'a VPN

Merhaba, Cisco cihazları ile ilk defa çalışıyorum. 1941 modeli cihaz aldık. ortak iş yaptığımız bir firmada kullanmamız gereken bir program var. bu program için vpn ile bağlanmamız gerekiyor. anladığım kadarıyla

  1. #1
    tunaozcan isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Aug 2012
    Mesajlar
    18

    Standart Router 'dan Router 'a VPN

    Merhaba,

    Cisco cihazları ile ilk defa çalışıyorum. 1941 modeli cihaz aldık. ortak iş yaptığımız bir firmada kullanmamız gereken bir program var. bu program için vpn ile bağlanmamız gerekiyor. anladığım kadarıyla nat yapmam gerekiyor. bunun için bir örnek verebilir misiniz?

    mesela : 100.200.100.200/24 ü 200.100.200.100/24

    teşekkürler

  2. #2
    turkavfatih isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Mar 2008
    Bulunduğu yer
    İstanbul
    Mesajlar
    590

    Standart

    Selam,

    Site-to-site yapmak istiyorsan aksine iç networklerin NAT'lanmadan tunele girmesi gerekiyor.
    Juniper Networks

    JNCIA-EX,JNCIS-ER,JNCIS-FWV,JNCIS-SSL

  3. #3
    5LoTh isimli Üye şimdilik offline konumundadır Administrator
    Üyelik tarihi
    Dec 2011
    Mesajlar
    392

    Standart

    ben NAT yaptığımı hatırlamıyorum
    WAN bacakları ile tunnel yapacaksın
    LAN taraflarını da mask la aynı network e dahil edeceksin yani çakışmayacak
    192.168.1.0 merkez,192.168.2.0 client gibi
    maskı da 255.255.0.0 vermiştim sanırım

    ben böyle yapmıştım bir tane şirkette sorunsuz çalıştı.

  4. #4
    cobanoglu isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Sep 2011
    Bulunduğu yer
    ABD, New York
    Mesajlar
    105

    Standart

    soru cok acik degil ama, su anda NAT mevcut ise her iki tarafata ( muhtemelen mevcuttur), VPN tarafigini NAT'e girmeden tunnel'a girmesi gerek.

    NAT yaparken yapilacak ACL'de VPN tarafigini ( source ve destination beraber belirterek) ilk ACE'de deny statement ile belirtirsin, ve NAT'a girmesini engellersin. Geri kalan trafik NAT'e girer.

    Ornek:

    Site1 LAN: 192.168.1.0/24
    Site2 LAN: 172.16.1.0/24

    Site1 ACL

    access-list 101 deny ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
    access-list 101 permit ip 192.168.1.0 0.0.0.255 any

    Site2 ACL

    access-list 101 deny ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255
    access-list 101 permit 172.16.1.0 0.0.0.255 any

    kolay gelsin

  5. #5
    tunaozcan isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Aug 2012
    Mesajlar
    18

    Standart

    Merhaba, yardımlarınız için teşekkürler. karşı taraftaki firmayla konuştuğumuzda IPSEC esp yapmamız gerektiğini söylediler. çok fazla yardımcı olmuyorlar açıkcası. Karşı tarafta kurulu bir sistem var. o sisteme IPSEC ile bağlanmak için hangi komutları kullanmam gerekir.

  6. #6
    tunaozcan isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Aug 2012
    Mesajlar
    18

    Standart

    ipsec ile ilgili komutları araştırırken config modda crypto isakmp policy xx komutuyla policy oluşturarak işe başlamam gerektiğini anladım.

    sorun :

    aaa(config)#crypto isakmp key policy 101
    ^
    % Invalid input detected at '^' marker.
    aaa(config)#

  7. #7
    turkavfatih isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Mar 2008
    Bulunduğu yer
    İstanbul
    Mesajlar
    590

    Standart

    (config)#crypto isakmp policy 100
    encr 3des
    hash md5
    authentication pre-share
    group 2
    lifetime 28800

    (config)#crypto isakmp key 1BaRm2eC address 213.x.x.x
    (config)#crypto ipsec transform-set TEST esp-3des esp-md5-hmac

    (config)#crypto map VPN 1 ipsec-isakmp
    set peer 213.x.x.x
    set transform-set TEST
    set pfs group2
    match address 120

    (config)#access-list 101 deny ip 172.16.150.0 0.0.0.255 172.20.0.0 0.0.3.255
    (config)#access-list 101 permit ip 172.16.150.0 0.0.0.255 any
    (config)#access-list 120 permit ip 172.16.150.0 0.0.0.255 172.20.0.0 0.0.3.255

    ACL'lerde belirtilenler 2 network arasındaki trafik NAT'lanmasın ve 2 network arası haberleşme vpn tunelinden geçsin demektir.Tabi yukarda kullanılan değerler opsiyoneldir.Karşı taraf hangi algoritmaları kullanıyorsa seninde aynı şekilde kullanman gerek.Daha sonra hangi interface'e uyguluyorsan vpn'i o interface altına gidip;

    (config)#interface dialer0
    crypto map VPN

    komutunu girmen gerek.

    Kolay gelsin,
    Juniper Networks

    JNCIA-EX,JNCIS-ER,JNCIS-FWV,JNCIS-SSL

  8. #8
    tunaozcan isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Aug 2012
    Mesajlar
    18

    Standart

    yazdıklarınızdan nasıl yapılacağını anladım sanırım. ama sıkıntım crypto isakmp policy 101 yazdığımda isakmp için invalid input diyor. crypto ? yazdığımda ise listede isakmp yi göremiyorum. fabrika ayarlarına dönersem bu sıkıntı gider mi ? ya da isakmp gelmesi için yapmam gereken birşey var mı ?

    yardımlarınız için tekrar teşekkürler.

  9. #9
    cobanoglu isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Sep 2011
    Bulunduğu yer
    ABD, New York
    Mesajlar
    105

    Standart

    cihazindaki lisans'da security olmadigi icin izin vermiyordur buyuk ihtimal.

    sh ver ve sh license komutlarinin ciktilarini kontol eder misin?

  10. #10
    tunaozcan isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Aug 2012
    Mesajlar
    18

    Standart

    evet lisans olmadığı için kabul etmiyormuş. Cisco türkiyede kafası çalışan bir tane eleman yok. hangi lisansı almam gerekiyor diye soruyorum ipsec için teknik desteğinden satışı öncesi desteğine kadar armada da çalışan teknik elemanından satışçısına kadar kimse hangi lisansı almam gerektiğini bilmiyor. en sonunda cisco amerikayı aradım ve lisansın adını öğrendim. bayiden bu lisansı istedim ama hala bu lisans için fiyat bile veremediler. cisco gibi bir firmanın seçtiği çalışanlarla dünden beri konuşuyorum ve gerçekten hiçbir şey bilmeyen insanlar ordusu gibi. ve 2 gündür cisco cihaıyla upraşan biri olarak onlardan daha fazla bilgiye sahip olduğumu düşünüyorum. tabi burdaki forumlarda okuduklarım ve sizlerin cevapları ile öğrendim çoğunu. cevaplarınız için gerçekten teşekkürler.

+ Konuyu Cevapla

Bu Konuyu Paylaşın !

Bu Konuyu Paylaşın !

Yetkileriniz

  • Konu Acma Yetkiniz Yok
  • Cevap Yazma Yetkiniz Yok
  • Eklenti Yükleme Yetkiniz Yok
  • Mesajınızı Değiştirme Yetkiniz Yok