Router 'dan Router 'a VPN
CLI Guru - Cisco Eğitim ve Danışmanlık Merkezi |

2007 yılından bu yana aktif olan ciscotr.com, artık " www.bilisim.pro " olarak devam edecektir.  
Mevcut mesajlarınız ve kullanıcı bilgilerinizle sitemizde katılıma devam edebilirsiniz.

+ Reply to Thread
Page 1 of 2 12 LastLast
Results 1 to 10 of 17
Like Tree1Likes
Router 'dan Router 'a VPN

Merhaba, Cisco cihazları ile ilk defa çalışıyorum. 1941 modeli cihaz aldık. ortak iş yaptığımız bir firmada kullanmamız gereken bir program var. bu program için vpn ile bağlanmamız gerekiyor. anladığım kadarıyla

  1. #1
    tunaozcan is offline Junior Member
    Join Date
    Aug 2012
    Posts
    18

    Default Router 'dan Router 'a VPN

    Merhaba,

    Cisco cihazları ile ilk defa çalışıyorum. 1941 modeli cihaz aldık. ortak iş yaptığımız bir firmada kullanmamız gereken bir program var. bu program için vpn ile bağlanmamız gerekiyor. anladığım kadarıyla nat yapmam gerekiyor. bunun için bir örnek verebilir misiniz?

    mesela : 100.200.100.200/24 ü 200.100.200.100/24

    teşekkürler

  2. #2
    turkavfatih is offline Senior Member
    Join Date
    Mar 2008
    Location
    İstanbul
    Posts
    590

    Default

    Selam,

    Site-to-site yapmak istiyorsan aksine iç networklerin NAT'lanmadan tunele girmesi gerekiyor.
    Juniper Networks

    JNCIA-EX,JNCIS-ER,JNCIS-FWV,JNCIS-SSL

  3. #3
    5LoTh is offline Administrator
    Join Date
    Dec 2011
    Posts
    392

    Default

    ben NAT yaptığımı hatırlamıyorum
    WAN bacakları ile tunnel yapacaksın
    LAN taraflarını da mask la aynı network e dahil edeceksin yani çakışmayacak
    192.168.1.0 merkez,192.168.2.0 client gibi
    maskı da 255.255.0.0 vermiştim sanırım

    ben böyle yapmıştım bir tane şirkette sorunsuz çalıştı.

  4. #4
    cobanoglu is offline Senior Member
    Join Date
    Sep 2011
    Location
    ABD, New York
    Posts
    105

    Default

    soru cok acik degil ama, su anda NAT mevcut ise her iki tarafata ( muhtemelen mevcuttur), VPN tarafigini NAT'e girmeden tunnel'a girmesi gerek.

    NAT yaparken yapilacak ACL'de VPN tarafigini ( source ve destination beraber belirterek) ilk ACE'de deny statement ile belirtirsin, ve NAT'a girmesini engellersin. Geri kalan trafik NAT'e girer.

    Ornek:

    Site1 LAN: 192.168.1.0/24
    Site2 LAN: 172.16.1.0/24

    Site1 ACL

    access-list 101 deny ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
    access-list 101 permit ip 192.168.1.0 0.0.0.255 any

    Site2 ACL

    access-list 101 deny ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255
    access-list 101 permit 172.16.1.0 0.0.0.255 any

    kolay gelsin

  5. #5
    tunaozcan is offline Junior Member
    Join Date
    Aug 2012
    Posts
    18

    Default

    Merhaba, yardımlarınız için teşekkürler. karşı taraftaki firmayla konuştuğumuzda IPSEC esp yapmamız gerektiğini söylediler. çok fazla yardımcı olmuyorlar açıkcası. Karşı tarafta kurulu bir sistem var. o sisteme IPSEC ile bağlanmak için hangi komutları kullanmam gerekir.

  6. #6
    tunaozcan is offline Junior Member
    Join Date
    Aug 2012
    Posts
    18

    Default

    ipsec ile ilgili komutları araştırırken config modda crypto isakmp policy xx komutuyla policy oluşturarak işe başlamam gerektiğini anladım.

    sorun :

    aaa(config)#crypto isakmp key policy 101
    ^
    % Invalid input detected at '^' marker.
    aaa(config)#

  7. #7
    turkavfatih is offline Senior Member
    Join Date
    Mar 2008
    Location
    İstanbul
    Posts
    590

    Default

    (config)#crypto isakmp policy 100
    encr 3des
    hash md5
    authentication pre-share
    group 2
    lifetime 28800

    (config)#crypto isakmp key 1BaRm2eC address 213.x.x.x
    (config)#crypto ipsec transform-set TEST esp-3des esp-md5-hmac

    (config)#crypto map VPN 1 ipsec-isakmp
    set peer 213.x.x.x
    set transform-set TEST
    set pfs group2
    match address 120

    (config)#access-list 101 deny ip 172.16.150.0 0.0.0.255 172.20.0.0 0.0.3.255
    (config)#access-list 101 permit ip 172.16.150.0 0.0.0.255 any
    (config)#access-list 120 permit ip 172.16.150.0 0.0.0.255 172.20.0.0 0.0.3.255

    ACL'lerde belirtilenler 2 network arasındaki trafik NAT'lanmasın ve 2 network arası haberleşme vpn tunelinden geçsin demektir.Tabi yukarda kullanılan değerler opsiyoneldir.Karşı taraf hangi algoritmaları kullanıyorsa seninde aynı şekilde kullanman gerek.Daha sonra hangi interface'e uyguluyorsan vpn'i o interface altına gidip;

    (config)#interface dialer0
    crypto map VPN

    komutunu girmen gerek.

    Kolay gelsin,
    Juniper Networks

    JNCIA-EX,JNCIS-ER,JNCIS-FWV,JNCIS-SSL

  8. #8
    tunaozcan is offline Junior Member
    Join Date
    Aug 2012
    Posts
    18

    Default

    yazdıklarınızdan nasıl yapılacağını anladım sanırım. ama sıkıntım crypto isakmp policy 101 yazdığımda isakmp için invalid input diyor. crypto ? yazdığımda ise listede isakmp yi göremiyorum. fabrika ayarlarına dönersem bu sıkıntı gider mi ? ya da isakmp gelmesi için yapmam gereken birşey var mı ?

    yardımlarınız için tekrar teşekkürler.

  9. #9
    cobanoglu is offline Senior Member
    Join Date
    Sep 2011
    Location
    ABD, New York
    Posts
    105

    Default

    cihazindaki lisans'da security olmadigi icin izin vermiyordur buyuk ihtimal.

    sh ver ve sh license komutlarinin ciktilarini kontol eder misin?

  10. #10
    tunaozcan is offline Junior Member
    Join Date
    Aug 2012
    Posts
    18

    Default

    evet lisans olmadığı için kabul etmiyormuş. Cisco türkiyede kafası çalışan bir tane eleman yok. hangi lisansı almam gerekiyor diye soruyorum ipsec için teknik desteğinden satışı öncesi desteğine kadar armada da çalışan teknik elemanından satışçısına kadar kimse hangi lisansı almam gerektiğini bilmiyor. en sonunda cisco amerikayı aradım ve lisansın adını öğrendim. bayiden bu lisansı istedim ama hala bu lisans için fiyat bile veremediler. cisco gibi bir firmanın seçtiği çalışanlarla dünden beri konuşuyorum ve gerçekten hiçbir şey bilmeyen insanlar ordusu gibi. ve 2 gündür cisco cihaıyla upraşan biri olarak onlardan daha fazla bilgiye sahip olduğumu düşünüyorum. tabi burdaki forumlarda okuduklarım ve sizlerin cevapları ile öğrendim çoğunu. cevaplarınız için gerçekten teşekkürler.

+ Reply to Thread
Page 1 of 2 12 LastLast

Bookmarks

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts