From: Roman Shramko <http://dormestmass.blogspot.com

Оригинал: http://dormestmass.blogspot.com/2007/11/ipsec-cisco-d-link.html

 Тема поднятия криптованного канала между D-Link и цисками конечно уже
 несколько избита. Хотя, до недавнего времени у меня были некоторые
 пробелы в этом направлении. Просто не доводилось использовать такую
 схему подключения.

 Как правило, в варианте подключения, который я использую, присутствует
 два маршрутизатора cisco, между которыми поднят GRE-туннель. Ну и в
 настройках IPSec интересным трафиком (ну который нам надо
 закриптовать) является именно этот GRE-трафик. Все логично, легко и
 просто.

 Вот сегодня столкнулся с ситуацией, когда надо закриптовать трафик
 между нашей сеткой и сетью, находящейся за D-Link-ом. В этих
 устройствах отсутствует возможность построения GRE-туннелей, поэтому в
 начале этот вариант показался тупиковым.
 Но, всё оказалось не так плохо. Явный туннель строить не пришлось :)
 Итак, есть две сети, которые нужно объединить посредством IPSec,
 скажем 132.132.132.0/30 со стороны циски и 192.192.192.0/30 со стороны
 длинка. Внешний интерфейс на cisco имеет адрес xxx.xxx.xxx.xxx, а на
 d-link -- yyy.yyy.yyy.yyy.

 Ну и схема:

 +==============+---- cisco --------------------- d-link ---+==============+
 132.132.132/30 xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy 192.192.192/30


 Настройки на D-Link-e:

 Local subnet: 192.192.192.0
 Local netmask: 255.255.255.252
 Remote subnet: 132.132.132.0
 Remote netmask: 255.255.255.252
 Remote gateway: xxx.xxx.xxx.xxx
 Preshared key: mycryptokey


 Настройки IKE proposal:

 DH group: Group2
 Encryption algorithm: 3DES
 Auth algorithm: md5


 Настройки IPSec proposal:

 DH group: Group2
 Encap protocol: ESP
 Encryption algorithm: 3DES
 Auth algorithm: sha
 Life time: 28800


 Маршрут на удаленную сеть, как оказалось прописывать не надо, ДЛинк
 берет его из настроек (как не удивительно :)).

 Настройки циски с другой стороны. Политика для фазы 1 (которая в
 длинке описана в параметрах IKE proposal):

 !
 crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
 !


 Собственно, сам pre-shared ключик:

 crypto isakmp key mycryptokey address yyy.yyy.yyy.yyy


 Настройки для фазы 2:

 !
 crypto ipsec transform-set unodostres esp-3des esp-sha-hmac
 ! 
 crypto map remotenet 10 ipsec-isakmp
 set peer yyy.yyy.yyy.yyy
 set security-association lifetime seconds 28800
 set transform-set unodostres
 set pfs group2
 match address 110
 !


 Параметры transform-set + map естессно должны соответствовать
 длинковским IPSec proposal. Интересный трафик, который нужно
 закриптовать, описан через АЦЛ (а в длинке это выглядит как Local
 Network - Remote Network):

 !
 access-list 110 permit ip 192.192.192.0 0.0.0.3 132.132.132.0 0.0.0.3
 access-list 110 permit ip 132.132.132.0 0.0.0.3 192.192.192.0 0.0.0.3
 !


 Ну и необходимо применить наш crypto map на интерфейсе с внешним IP:

 interface Serial4/0.41 point-to-point
 ...
 ip address xxx.xxx.xxx.xxx 255.255.255.252
 crypto map remotenet
 ...
 !


 Для того, чтобы это все работало, на cisco необходимо явно указать
 маршрут на удаленную сеть.

 ip route 192.192.192.0 255.255.255.252 Serial 4/0.41


 Основная сложность заключалась в подборе соответствующих друг-другу
 параметров IKE, IPSec и интересного трафика в ACL. При правильных
 настройках IPSec поднимается практически моментально.
 Для проверки работоспособности схемы проще всего всунуть какой-нить
 промежуточный маршрутизатор между cisco и d-link и запустить на нем
 tcpdump. Особо желающие могут поиграться с debug ip packets на циске
 :))).

 Особо хочу поблагодарить господина Е.А. Ефремова из Запорожского ООО
 "Сiiч-IIнфоком" за его неоценимую помощь в настройке данной схемы.