URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 14560
[ Назад ]
Исходное сообщение
"IPSEC: Cisco 2821 Static IP -> DLink DI-804HV Dynamic IP"
Отправлено dmitriy_rsl , 01-Окт-07 11:34 
У нас сейчас имеется корпоративная сеть, созданная на базе DLink DI-804HV со стороны филиалов и FreeBSD с isakmpd в на центральном узле. Филиалы имеют динамические ИПы, а центральный офис - статические. Сейчас стоит цель мигрировать на Cisco 2821.
Я хочу написать на циске такое:

crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
!
crypto isakmp client configuration group fse-regions
key <ключ>
!
crypto isakmp profile fse-profile
   match identity group fse-regions
!
crypto ipsec transform-set trans-esp-3des esp-3des
!
crypto dynamic-map bel 20
set security-association lifetime seconds 28800
set transform-set trans-esp-3des
set pfs group1
set isakmp-profile fse-profile
match address 102
!
crypto dynamic-map glu 30
set security-association lifetime seconds 28800
set transform-set trans-esp-3des
set pfs group1
set isakmp-profile fse-profile
match address 103
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
no ip mroute-cache
dialer pool 1
dialer-group 1
ppp authentication pap
ppp pap sent-username <login> password 0 <password>
crypto map bel
crypto map glu
!
access-list 102 permit ip 10.119.0.0 0.0.3.255 10.119.8.0 0.0.3.255
access-list 103 permit ip 10.119.0.0 0.0.3.255 10.119.12.0 0.0.3.255

насколько это будет правильным? И будет-ли вообще работать?

Содержание
Сообщения в этом обсуждении
"IPSEC: Cisco 2821 Static IP -> DLink DI-804HV Dynamic IP"
Отправлено Alan_2004 , 02-Окт-07 22:45 
>[оверквотинг удален]
> dialer-group 1
> ppp authentication pap
> ppp pap sent-username <login> password 0 <password>
> crypto map bel
> crypto map glu
>!
>access-list 102 permit ip 10.119.0.0 0.0.3.255 10.119.8.0 0.0.3.255
>access-list 103 permit ip 10.119.0.0 0.0.3.255 10.119.12.0 0.0.3.255
>
>насколько это будет правильным? И будет-ли вообще работать?

Не будет работать. Во-первых, dynamic crypto map - это еще не crypto map, а только шаблон для него. Нужно создать из него crypto map, типа вот так:
crypto map mymap 10 ipsec-isakmp dynamic dynmap

Во-вторых, к интерфейсу можно прицепить только 1 crypto map. В ACL для этого crypto map указываешь весь трафик, который должен шифроваться при отправке через этот интерфейс, т.е.
permit ip 10.119.0.0 0.0.3.255 10.119.8.0 0.0.7.255

Скорее всего, этот список ошибок в конфиге не полный.

"IPSEC: Cisco 2821 Static IP -> DLink DI-804HV Dynamic IP"
Отправлено dmitriy_rsl , 03-Окт-07 12:27 
>[оверквотинг удален]
>crypto map, а только шаблон для него. Нужно создать из него
>crypto map, типа вот так:
>crypto map mymap 10 ipsec-isakmp dynamic dynmap
>
> Во-вторых, к интерфейсу можно прицепить только 1 crypto map. В ACL
>для этого crypto map указываешь весь трафик, который должен шифроваться при
>отправке через этот интерфейс, т.е.
>permit ip 10.119.0.0 0.0.3.255 10.119.8.0 0.0.7.255
>
>Скорее всего, этот список ошибок в конфиге не полный.

Что-то я не понял... Почему только 1 crypto map? А как быть, если нужно сделать несколько IPSEC туннелей? Если ИПы у друго стороны туннеля динамические - то я так понял надо именно dynamic crypto map использовать?

"IPSEC: Cisco 2821 Static IP -> DLink DI-804HV Dynamic IP"
Отправлено www.bc.ru , 03-Окт-07 13:44 
> Если ИПы у друго стороны
>туннеля динамические - то я так понял надо именно dynamic crypto
>map использовать?

Копайте в сторону Dynamic Multipoint VPN

"IPSEC: Cisco 2821 Static IP -> DLink DI-804HV Dynamic IP"
Отправлено dmitriy_rsl , 03-Окт-07 14:50 
>> Если ИПы у друго стороны
>>туннеля динамические - то я так понял надо именно dynamic crypto
>>map использовать?
>
>Копайте в сторону Dynamic Multipoint VPN

Насколько я знаю, там уже другой метод используется, с использованием протокола GRE... А на DLink-ах такого нету.

"IPSEC: Cisco 2821 Static IP -> DLink DI-804HV Dynamic IP"
Отправлено Alan_2004 , 03-Окт-07 20:03 
>>> Если ИПы у друго стороны
>>>туннеля динамические - то я так понял надо именно dynamic crypto
>>>map использовать?
>>
>>Копайте в сторону Dynamic Multipoint VPN

Не надо DMVPN. Dynamic crypto map будет нормально работать. По поводу нескольких туннелей на одном мапе - у crypto map есть sequence numbers, как у route-map. Так что в один crypto map можо загнать несколько правил. Попробуйте для начала с одним.
Все это хорошо расписано в Cisco IOS Security Configuration Guide.

"IPSEC: Cisco 2821 Static IP <-> Dynamic IP (IKE authenticati..."
Отправлено Incubus , 08-Окт-07 13:12 
>[оверквотинг удален]
>>>>туннеля динамические - то я так понял надо именно dynamic crypto
>>>>map использовать?
>Не надо DMVPN. Dynamic crypto map будет нормально работать. По поводу нескольких
>туннелей на одном мапе - у crypto map есть sequence numbers,
>как у route-map. Так что в один crypto map можо загнать
>несколько правил. Попробуйте для начала с одним.
>Все это хорошо расписано в Cisco IOS Security Configuration Guide.

У кого-нибудь получилось настроить IKE на использование ID типа FQDN?
Аналогичная ситуация, только клиенты ZyXEL P662.
С IP-адресами всё работает прекрасно, но они динамические.
А с crypto isakmp identity hostname заставить работать никак не удаётся.
Здорово бы было посмотреть на кусочек рабочего конфига...


"IPSEC: Cisco 2821 Static IP <-> Dynamic IP (IKE authenticati..."
Отправлено Incubus , 09-Окт-07 11:18 
>С IP-адресами всё работает прекрасно, но они динамические.
>А с crypto isakmp identity hostname заставить работать никак не удаётся.

Проблема решилась включением агрессивного режима на зухеле.
Как выяснилось, cisco не работает в main mode с fqdn ID.
В main mode независимо от crypto isakmp identity в качестве ID используется ip-адрес.