URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16129
[ Назад ]

Исходное сообщение
"опять про изи-впн"
Отправлено bmonk , 25-Апр-08 08:49

crypto ipsec transform-set vpn1 esp-3des esp-sha-hmac
crypto map to_corporate 1 ipsec-isakmp
set peer хх.хх.хх.хх
set transform-set vpn1
match address 130
crypto map to_corporate 10 ipsec-isakmp
set peer ху.ху.ху.ху
set transform-set vpn1
match address 140
interface Tunnel1
bandwidth 512
ip address 192.168.254.9 255.255.255.252
no ip proxy-arp
ip tcp adjust-mss 1436
ip policy route-map Internet
tunnel source хх.хх.хх.хх
tunnel destination ху.ху.ху.ху
interface Tunnel2
bandwidth 256
ip address 192.168.254.18 255.255.255.252
ip mtu 1378
ip tcp adjust-mss 1378
tunnel source FastEthernet0.863
tunnel destination хх.хх.хх.хх
tunnel key qqqqqqq
tunnel checksum
crypto map to_corporate
и все в том же духе, всего 10 тоннелей
вот динамикмап
crypto dynamic-map dynmap 10
set transform-set vpn1
reverse-route
как только начинаю писать такие строки
crypto map to_corporate client authentication list userauthen
crypto map to_corporate isakmp authorization list groupauthor
crypto map to_corporate client configuration address respond
crypto map to_corporate 80 ipsec-isakmp dynamic dynmap
все тоннели отваливаются причем не моментально а с каким-то интервалом, каждый по разному, и потом уже сами не восстанавливаются пока я не удалю последние строки
помогите кто может :-)

Содержание

опять про изи-впн,shurick, 12:46 , 25-Апр-08
- опять про изи-впн,bmonk, 10:13 , 28-Апр-08
  - опять про изи-впн,shurick, 13:28 , 28-Апр-08
    - опять про изи-впн,bmonk, 08:04 , 29-Апр-08
      - опять про изи-впн,shurick, 10:03 , 29-Апр-08
        
        опять про изи-впн,bmonk, 11:53 , 29-Апр-08
опять про изи-впн,bmonk, 13:21 , 04-Май-08

Сообщения в этом обсуждении

"опять про изи-впн"
Отправлено shurick , 25-Апр-08 12:46

>[оверквотинг удален]
>как только начинаю писать такие строки
>crypto map to_corporate client authentication list userauthen
>crypto map to_corporate isakmp authorization list groupauthor
>crypto map to_corporate client configuration address respond
>crypto map to_corporate 80 ipsec-isakmp dynamic dynmap
>
>все тоннели отваливаются причем не моментально а с каким-то интервалом, каждый по
>разному, и потом уже сами не восстанавливаются пока я не удалю
>последние строки
>помогите кто может :-)
crypto isakmp key xxx address yy.zz.vv.ww no-xauth

"опять про изи-впн"
Отправлено bmonk , 28-Апр-08 10:13

>[оверквотинг удален]
>>crypto map to_corporate isakmp authorization list groupauthor
>>crypto map to_corporate client configuration address respond
>>crypto map to_corporate 80 ipsec-isakmp dynamic dynmap
>>
>>все тоннели отваливаются причем не моментально а с каким-то интервалом, каждый по
>>разному, и потом уже сами не восстанавливаются пока я не удалю
>>последние строки
>>помогите кто может :-)
>
>crypto isakmp key xxx address yy.zz.vv.ww no-xauth
спасибо за ответ,
а объяснить можно что мне это даст?
и в чем здесь фишка?

"опять про изи-впн"
Отправлено shurick , 28-Апр-08 13:28

>
>спасибо за ответ,
>а объяснить можно что мне это даст?
>и в чем здесь фишка?
http://www.cisco.com/en/US/docs/ios/12_2t/12_2t4/feature/gui...

"опять про изи-впн"
Отправлено bmonk , 29-Апр-08 08:04

>>
>>спасибо за ответ,
>>а объяснить можно что мне это даст?
>>и в чем здесь фишка?
>
>http://www.cisco.com/en/US/docs/ios/12_2t/12_2t4/feature/gui...
написал я эту строчку адрес\маску указал 0.0.0.0 0.0.0.0
туннели действительно не обвалились, но при этом впн-клиент не коннеткился, как только убрал no-xauth сразу отвалились тоннели, зато впн-клиент законнектился

"опять про изи-впн"
Отправлено shurick , 29-Апр-08 10:03

>написал я эту строчку адрес\маску указал 0.0.0.0 0.0.0.0
>туннели действительно не обвалились, но при этом впн-клиент не коннеткился, как только
>убрал no-xauth сразу отвалились тоннели, зато впн-клиент законнектился
Читайте внимательно статью. Таких строчек нужно написать по одной на каждый peer-to-peer туннель. Указывайте реальные адреса peer-ов, маски не нужны.
Если правильно настроить - все отлично работает. Неоднократно проверено :)

"опять про изи-впн"
Отправлено bmonk , 29-Апр-08 11:53

>>написал я эту строчку адрес\маску указал 0.0.0.0 0.0.0.0
>>туннели действительно не обвалились, но при этом впн-клиент не коннеткился, как только
>>убрал no-xauth сразу отвалились тоннели, зато впн-клиент законнектился
>
>Читайте внимательно статью. Таких строчек нужно написать по одной на каждый peer-to-peer
>туннель. Указывайте реальные адреса peer-ов, маски не нужны.
>
>Если правильно настроить - все отлично работает. Неоднократно проверено :)
пришлось доходить до этого своим умом, невнимательность враг мой
спасибо за посыл в правильном направлении ))
все сделал - тоннели не отваливаются, на удаленных цисках оставил все как есть, но потом тоже поменяю, осталось разобраться с аксесс листами )

"опять про изи-впн"
Отправлено bmonk , 04-Май-08 13:21

Люди!! я опять к вам за советом
помогите разобраться с аксесс листами. клиент коннектиться, из локальной сети пингуется, а сам кроме внутреннего интерфейса ничего не пингует.
кроме того, необходимо дать доступ клиенту к другим подсетям

client--->cisco1<---->cisco2
             |          |
             |          |
         network1   network2
client - 192.168.12.0/24
cisco1 - 192.168.13.0/24
cisco2 - 192.168.14.0/24
но пока основная задача, пусть клиента в network1