URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 17850
[ Назад ]

Исходное сообщение
"Разрешение DynDNS имен - в IP"
Отправлено cucumber , 16-Дек-08 13:50

Уважаемые знатоки,
прошу подсказать, как заставить Cisco-роутер автоматически разрешать DynDNS-имя в IP.
Есть задача - коннектить друг с другом два маршрутизатора по VPN. Все было бы банально, но внешние IP-адреса устройств динамические (константны только их DynDNS-имена).
Есть ли механизмы, позволяющие это делать?
Может как-то можно заставить роутер по kron'у по истечении заданного интервала обращаться к DNS-серверу и проверять, каков текущий адрес VPN-peer'а? И, например, выяснив, писать его в конфиг в формате , типа ip host....?
Заранее благодарю ответивших!

Содержание

Разрешение DynDNS имен - в IP,nm, 14:20 , 16-Дек-08
- Разрешение DynDNS имен - в IP,cucumber, 17:05 , 16-Дек-08
  - Разрешение DynDNS имен - в IP,cucumber, 17:14 , 16-Дек-08
    - Разрешение DynDNS имен - в IP,nm, 18:01 , 16-Дек-08

Сообщения в этом обсуждении

"Разрешение DynDNS имен - в IP"
Отправлено nm , 16-Дек-08 14:20

хм. если рутера уже обновляют свои динамические fqdn, пропишите на них ip name-server из инета и стройте vpn на хостнеймах, типа:
!
cry isa key 0 CISCO hostname fqdn
!
crypto map xyz 10 ipsec-isakmp
set peer fqdn dynamic
!
>[оверквотинг удален]
>было бы банально, но внешние IP-адреса устройств динамические (константны только их
>DynDNS-имена).
>
>Есть ли механизмы, позволяющие это делать?
>
>Может как-то можно заставить роутер по kron'у по истечении заданного интервала обращаться
>к DNS-серверу и проверять, каков текущий адрес VPN-peer'а? И, например, выяснив,
>писать его в конфиг в формате , типа ip host....?
>
>Заранее благодарю ответивших!

"Разрешение DynDNS имен - в IP"
Отправлено cucumber , 16-Дек-08 17:05

>хм. если рутера уже обновляют свои динамические fqdn, пропишите на них ip
>name-server из инета и стройте vpn на хостнеймах, типа:
>!
>cry isa key 0 CISCO hostname fqdn
>!
>crypto map xyz 10 ipsec-isakmp
> set peer fqdn dynamic
Да, именно это я и проделал
crypto-map работает нормально, с разрешением адреса.
К сожалению, команда crypto isakmp key 6 [password] hostname [fqdn] не работает, как хотелось бы.
040504: Dec 16 16:57:05: %CRYPTO-6-IKMP_NOT_ENCRYPTED: IKE packet from x.x.x.x was not encrypted and it should've been.
Вот такие сообщения показывает debug.
В чем причина - не ясно. Но стоит только прописать static-IP, и аутентификация проходит сразу.

"Разрешение DynDNS имен - в IP"
Отправлено cucumber , 16-Дек-08 17:14

Смотрим легенду:
Error Message
%CRYPTO-6-IKMP_NOT_ENCRYPTED : IKE packet from %15i was not encrypted and it should've been
Explanation    A portion of the Internet Key Exchange (IKE) is unencrypted and a portion is encrypted. This message should have been encrypted but was not.
Recommended Action    Contact the remote peer.
:)
Такое сообщение появляется также, когда ключа просто нет, его забыли указать.
Вывод - ключ с указанным FQDN что он есть, что его нет, результат один.

"Разрешение DynDNS имен - в IP"
Отправлено nm , 16-Дек-08 18:01

может тогда на обоих концах :)
crypto isakmp key 0 CISCO address 0.0.0.0 0.0.0.0
>[оверквотинг удален]
>is unencrypted and a portion is encrypted. This message should have
>been encrypted but was not.
>
>Recommended Action Contact the remote peer.
>
>:)
>
>Такое сообщение появляется также, когда ключа просто нет, его забыли указать.
>Вывод - ключ с указанным FQDN что он есть, что его нет,
>результат один.