router to router ipsec wireshark transformset değişmiyor

[networkkampus]

Merhaba,
Gerçek ortamda 2 router'u switch aracılığıyla birbirine bağladım. GRE tünel de kullandım. Switch'de mirror port yaparak wireshark ile paketleri izledim.



ilk deneme cisco 881G router ile yaptım. İkinci denemeyi cisco 1921 router'lar ile yaptım fakat değişen bir şey olmadı. İki model routar da da;

1.Durum
Router_1#sh run | sec crypto
crypto pki token default removal timeout 0
crypto isakmp policy 1
hash sha512
authentication pre-share
crypto isakmp key nizamkey address 1.1.1.2
crypto ipsec transform-set nzm esp-aes esp-sha512-hmac
mode transport
crypto map mymap 1 ipsec-isakmp
set peer 1.1.1.2
set transform-set nzm
match address 100
crypto map mymap


Router_2#sh run | sec crypto
crypto pki token default removal timeout 0
crypto isakmp policy 1
hash sha512
authentication pre-share
crypto isakmp key nizamkey address 1.1.1.1
crypto ipsec transform-set nzm esp-aes esp-sha512-hmac
mode transport
crypto map mymap 1 ipsec-isakmp
set peer 1.1.1.1
set transform-set nzm
match address 100
crypto map mymap

2.Durum
Router_1#sh run | sec crypto
crypto pki token default removal timeout 0
crypto isakmp policy 1
hash sha512
authentication pre-share
crypto isakmp key nizamkey address 1.1.1.2
crypto ipsec transform-set nzm esp-3des esp-md5-hmac
mode transport
crypto map mymap 1 ipsec-isakmp
set peer 1.1.1.2
set transform-set nzm
match address 100
crypto map mymap

Router_2#sh run | sec crypto
crypto pki token default removal timeout 0
crypto isakmp policy 1
hash sha512
authentication pre-share
crypto isakmp key nizamkey address 1.1.1.1
crypto ipsec transform-set nzm esp-3des esp-md5-hmac
mode transport
crypto map mymap 1 ipsec-isakmp
set peer 1.1.1.1
set transform-set nzm
match address 100
crypto map mymap

Her iki durumda da wireshark da IPsec kurulumunda il el sıkışma paketlerinde SHA512 ve DES görünüyor. Bilgisi olan?



Hash algoritmayı zaten değiştirmediğim için aynı kalması normal;

crypto isakmp policy 1
hash sha512
authentication pre-share

Fakat encryption algoritma neden değişmiyor?

İlk hali: crypto ipsec transform-set nzm esp-aes esp-sha512-hmac
Sonraki hali: crypto ipsec transform-set nzm esp-3des esp-md5-hmac

[MCyagli]

Phase 1 ve Phase 2 farklı şeylerdir.

Wireshark da gördüğün Phase 1.
Ve Encryption yazmadıgın için DES default tur.
Zaten Phase 1 i eksik yapmışsın.

Transform-Set ile yazdıgın kısım ise Phase 2 dir.
Orda istesende bişi göremessin.
Isakmp Main Mode da 5-6 . mesajlardan sonrakiler şifrelidir.


Aklından geçen ve gördüklerin farklı şeyler.


Bu konu 13 video şeklinde şurda anlatılmış.


https://www.youtube.com/channel/UC-m...LD61Fi31GlBjlg

[networkkampus]

Tamamdır hocam. Faz 1 ile ilgili her şeyi gördüm.Son halini buraya da ekliyorum. Teşekkürler.

Router_1#sh run | sec crypto
crypto pki token default removal timeout 0
crypto isakmp policy 4
encr aes 256
hash sha256
authentication pre-share
group 16
crypto isakmp key nizamkey address 1.1.1.2
crypto ipsec transform-set nzm4 esp-3des esp-sha-hmac
mode transport
crypto map mymap4 4 ipsec-isakmp
set peer 1.1.1.2
set transform-set nzm4
match address 100
crypto map mymap4

Router_2#sh run | sec crypto
crypto pki token default removal timeout 0
crypto isakmp policy 4
encr aes 256
hash sha256
authentication pre-share
group 16
crypto isakmp key nizamkey address 1.1.1.1
crypto ipsec transform-set nzm4 esp-3des esp-sha-hmac
mode transport
crypto map mymap4 4 ipsec-isakmp
set peer 1.1.1.1
set transform-set nzm4
match address 100
crypto map mymap4