Добрый день Уважаемые Специалисты! можете помочь в след вопросе. настроен IPSec тунель между филиалом и офисом, он поднимается только в том случае если происходит запрос из филиала в офис, а требуется доступ из офиса в филиал. все бы было просто но задача осложняется тем что у филиала динамический ip. можете направить в правильное русло где рыть?
оборудование cisco 851 и 857

• IPSec туннель, помогите,pavlon, 10:35 , 29-Окт-09
  • IPSec туннель, помогите,sergios, 10:41 , 29-Окт-09
    • IPSec туннель, помогите,pavlon, 11:03 , 29-Окт-09
• IPSec туннель, помогите,Myxa, 11:37 , 29-Окт-09
  • IPSec туннель, помогите,sergios, 11:49 , 29-Окт-09
    • IPSec туннель, помогите,sergios, 11:51 , 29-Окт-09
  • IPSec туннель, помогите,Николай, 12:03 , 29-Окт-09
    • IPSec туннель, помогите,Myxa, 12:25 , 29-Окт-09
      • IPSec туннель, помогите,Николай, 12:57 , 29-Окт-09
        • IPSec туннель, помогите,sergios, 13:59 , 29-Окт-09
          • IPSec туннель, помогите,j_vw, 21:26 , 29-Окт-09
            • IPSec туннель, помогите,Myxa, 23:35 , 29-Окт-09
• IPSec туннель, помогите,Кирилл, 14:46 , 30-Окт-09

>у филиала динамический ip.

купить статический ip, или переодически слать запросы чтоб тунель не ложился.

статический ip не предоставляется провайдером, сама циска может слать запросы с опред переодичностью?

>статический ip не предоставляется провайдером, сама циска может слать запросы с опред
>переодичностью?

погугли по cisco kron

>Добрый день Уважаемые Специалисты! можете помочь в след вопросе. настроен IPSec тунель
>между филиалом и офисом, он поднимается только в том случае если
>происходит запрос из филиала в офис, а требуется доступ из офиса
>в филиал. все бы было просто но задача осложняется тем что
>у филиала динамический ip. можете направить в правильное русло где рыть?
>оборудование cisco 851 и 857

imho как вариант: хотя вы и не указали, каким именно способом реализовано ваше подключение, но походу вы используете один из вариантов динамического VPN. В данном случае сессия устанавливается по требованию. В вашем же случае просто необходимо использовать site-to-site ipsec, где подключение постоянное и не разрывается в случае отсутствия трафика.

извините что не указал,использовался следующий мануал: Configuring Router−to−Router Dynamic−to−Static IPSec with NAT
на сколько я правильно понимаю динамический VPN не поддерживается роутерами 851-857

при просмотре через SDM он отображается как Site-to-site VPN.

>imho как вариант: хотя вы и не указали, каким именно способом реализовано
>ваше подключение, но походу вы используете один из вариантов динамического VPN.
>В данном случае сессия устанавливается по требованию. В вашем же случае
>просто необходимо использовать site-to-site ipsec, где подключение постоянное и не разрывается
>в случае отсутствия трафика.

Конгениельно Киса - разорвется тогда при истечении лизинга ИП.
Тебе надо поднять L2TP или Easy VPN server на циске на статическим внешним ИП, а на филиале с динамическим ИП настроит 2TP или Easy VPN в качестве клиента.

Тема битая уже неоднократно

>Конгениельно Киса - разорвется тогда при истечении лизинга ИП.
>Тебе надо поднять L2TP или Easy VPN server на циске на статическим внешним ИП, а на филиале с динамическим ИП настроит 2TP или Easy VPN в качестве клиента.

От Вас ничего не скроешь ;) А если сеанс нужно инициировать со стороны сервера?

>>Конгениельно Киса - разорвется тогда при истечении лизинга ИП.
>>Тебе надо поднять L2TP или Easy VPN server на циске на статическим внешним ИП, а на филиале с динамическим ИП настроит 2TP или Easy VPN в качестве клиента.
>
>От Вас ничего не скроешь ;) А если сеанс нужно инициировать со
>стороны сервера?

тогда это не сервер а клиент ;)

crypto ipsec client ezvpn EZVPN
connect auto            - как только циско (филиал) в Up автоматом поднимается ВПН
group VPN-branch key ne-skazhu
mode network-extension - сетка филиала пробрасываеться через установленое ВПН-соединение
peer <Белый ИП>
username vasia password pupkin
xauth userid mode local

извиняюсь, совсем теперь запутался, требуется постоянный доступ из офиса в филиал, при том что офис не может быть инициатором поднятия vpn, т.к. у филиала динамический ip

>извиняюсь, совсем теперь запутался, требуется постоянный доступ из офиса в филиал, при
>том что офис не может быть инициатором поднятия vpn, т.к. у
>филиала динамический ip

В качестве варианта:

1.Сервак в филиале есть? Или постоянная включенная машина?
Настройте по at(назначенные задания) ping куда нибудь в сторону сетки офиса.
Что бы филиал, принудительно инициировал соединение...

2. Уже не знаю, что 85X кошки могут.....
Если есть "любимый" sla, то можно его использовать для этой же задачи...

>>извиняюсь, совсем теперь запутался, требуется постоянный доступ из офиса в филиал, при
>>том что офис не может быть инициатором поднятия vpn, т.к. у
>>филиала динамический ip
>
>В качестве варианта:
>
>1.Сервак в филиале есть? Или постоянная включенная машина?
>Настройте по at(назначенные задания) ping куда нибудь в сторону сетки офиса.
>Что бы филиал, принудительно инициировал соединение...

Да Николай всё правильно описал:
crypto ipsec client ezvpn EZVPN
connect auto            - как только циско (филиал) в Up автоматом поднимается ВПН
group VPN-branch key ne-skazhu
mode network-extension - сетка филиала пробрасываеться через установленое ВПН-соединение
peer <Белый ИП>
username vasia password pupkin
xauth userid mode local
т.е. инициатор всегда branch и он же поддерживает соединение

>Добрый день Уважаемые Специалисты! можете помочь в след вопросе. настроен IPSec тунель
>между филиалом и офисом, он поднимается только в том случае если
>происходит запрос из филиала в офис, а требуется доступ из офиса
>в филиал. все бы было просто но задача осложняется тем что
>у филиала динамический ip. можете направить в правильное русло где рыть?
>
>оборудование cisco 851 и 857

Есть такой протокол nhrp. И используйте его и будет вам ipsec site to site. Если есть вопросы - задавайте.