Есть следующая проблема: имеется несколько роутеров(часть принадлежит одному доменну часть другому) соединёных GRE тунелями и защищеных профилем IPSec. Решили сделать аутентификацию туннелей на сертификатах полученых с Microsoft Server 2003. Роутеры из первого домена получают получают сертификаты от сервера в своем домене, а те соответственно от другого. Так вот как соеденить тунелями роутеры разных доменнов? Получается такая ситуация что роутеры на стыке доменов пытаются использовать каждый свой сертификат и соответственно туннель не поднимается. Есть вариант использовать pre-shared auth policy, но как указать каким тунелям использовать определенную isakmp policy ума не приложу.
Вот вырезки из конфига:
crypto isakmp policy 50
encr aes 256
!
crypto isakmp policy 100
encr aes 256
authentication pre-share
crypto isakmp key supper_secret_key address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 30 10 periodic
!
crypto ipsec security-association lifetime seconds 86400
crypto ipsec security-association replay window-size 256
!
crypto ipsec transform-set SEC esp-aes 256 esp-sha-hmac
!
crypto ipsec profile Tunnel_crypt
set transform-set SECcrypto pki trustpoint domain1-cert
enrollment mode ra
enrollment url http://SRV-1.domain1.com:80/certsrv/mscep/mscep.dll
usage ike
password 7 154C9E2E567D8F727A126C0145514E5129
revocation-check crl
Ответ дать не могу, так как сертификаты не пользовал на маршрутизаторах.
Хочу только спросить: зачем такие сложности и использовать сторонние сертификаты?
У вас корпоративная политика такая?Ведь если секретные данные на какой-нибудь стороне и будут скомпрометированы, то уже ничего не поможет.
>Ответ дать не могу, так как сертификаты не пользовал на маршрутизаторах.
>Хочу только спросить: зачем такие сложности и использовать сторонние сертификаты?
>У вас корпоративная политика такая?
>
>Ведь если секретные данные на какой-нибудь стороне и будут скомпрометированы, то уже
>ничего не поможет.ну вообщем, да - политика партии
>[оверквотинг удален]
> crypto ipsec transform-set SEC esp-aes 256 esp-sha-hmac
> !
> crypto ipsec profile Tunnel_crypt
> set transform-set SEC
> crypto pki trustpoint domain1-cert
> enrollment mode ra
> enrollment url http://SRV-1.domain1.com:80/certsrv/mscep/mscep.dll
> usage ike
> password 7 154C9E2E567D8F727A126C0145514E5129
> revocation-check crlВроде как перебирать должен все полиси...
http://www.cisco.com/en/US/docs/security/pix/pix52/ipsec/con...