URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 20651
[ Назад ]

Исходное сообщение
"Несколько криптомапов."
Отправлено burban , 11-Мрт-10 21:17

Добрый день, господа.
Имею:
crypto isakmp policy 121
encr 3des
hash md5
authentication pre-share
group 2
lifetime 1800
!
crypto isakmp policy 125
encr 3des
hash md5
authentication pre-share
group 2
lifetime 1800
!
crypto ipsec transform-set Link1 esp-3des esp-md5-hmac
crypto ipsec transform-set Link2 esp-3des esp-md5-hmac
!
crypto map mymap1 local-address Ethernet1
crypto map mymap1 121 ipsec-isakmp
set peer xxx.xxx.xxx.xxx
set transform-set Link1
set pfs group2
match address 121
!
crypto map mymap2 local-address Ethernet2
crypto map mymap2 125 ipsec-isakmp
set peer yyy.yyy.yyy.yyy
set transform-set Link2
set pfs group2
match address 125
!
Ethernet1
crypto map mymap1
!
Ethernet2
crypto map mymap2
Крипта через mymap1 работает нормально.
Через mymap2 нет. На удаленной в debug crypto isakmp никаких движений.
Подскажите пожалуйста что еще забыл?

Содержание

Несколько криптомапов.,j_vw, 00:22 , 12-Мрт-10
- Несколько криптомапов.,burban, 21:15 , 12-Мрт-10
  - Несколько криптомапов.,j_vw, 21:44 , 12-Мрт-10
    - Несколько криптомапов.,burban, 04:09 , 13-Мрт-10
      - Несколько криптомапов.,j_vw, 16:13 , 13-Мрт-10

Сообщения в этом обсуждении

"Несколько криптомапов."
Отправлено j_vw , 12-Мрт-10 00:22

Ну, начнем с того, что crypto isakmp policy 125 можно спокойно удалить.
У вас, все равно будет отрабатывать crypto isakmp policy 121.
То же самое crypto ipsec transform-set Link2 esp-3des esp-md5-hmac
Применяйте set transform-set Link1 на обеих интерфейсах.
И эти строки:
crypto map mymap1 local-address Ethernet1
crypto map mymap2 local-address Ethernet2
удалите.
А вот дальше опубликуйте топологию....
Дефолтный роут, часом, не в сторону Ethernet1 смотрит?
P.S. Если уж хотите делить, то смотрите в сторону isakmp(ipsec ) profile-keyring

"Несколько криптомапов."
Отправлено burban , 12-Мрт-10 21:15

>Ну, начнем с того, что crypto isakmp policy 125 можно спокойно удалить.
>
Можно, но не нужно.
На crypto isakmp policy 125 и на crypto isakmp policy 121 повешены разные ACL.
>У вас, все равно будет отрабатывать crypto isakmp policy 121.
>То же самое crypto ipsec transform-set Link2 esp-3des esp-md5-hmac
>Применяйте set transform-set Link1 на обеих интерфейсах.
>И эти строки:
>crypto map mymap1 local-address Ethernet1
>crypto map mymap2 local-address Ethernet2
>удалите.
А если удалю и посажу все на один криптомап, тогда будет:
Все что на Ethernet1 будет работать, а то что Ethernet2 - нет.
Debug crypto isakmp на удаленной точке показывает следующее:
Отправляем пакет на IP имени Ethernet2.
Получаем обратно с IP имени Ethernet1.
Eth2 с циской соединен патчкордом.
Ну и бесусловно ругань и все такое.
Именно для этого и возник второй криптомап.
>А вот дальше опубликуйте топологию....
>Дефолтный роут, часом, не в сторону Ethernet1 смотрит?
Нет.

"Несколько криптомапов."
Отправлено j_vw , 12-Мрт-10 21:44

>>Ну, начнем с того, что crypto isakmp policy 125 можно спокойно удалить.
>>
>
>Можно, но не нужно.
>На crypto isakmp policy 125 и на crypto isakmp policy 121 повешены
>разные ACL.
В смысле? Они одинаковые....
>[оверквотинг удален]
>>То же самое crypto ipsec transform-set Link2 esp-3des esp-md5-hmac
>>Применяйте set transform-set Link1 на обеих интерфейсах.
>>И эти строки:
>>crypto map mymap1 local-address Ethernet1
>>crypto map mymap2 local-address Ethernet2
>>удалите.
>
>А если удалю и посажу все на один криптомап, тогда будет:
>Все что на Ethernet1 будет работать, а то что Ethernet2 - нет.
>
Не так...
Кодовая фраза:
set peer xxx.xxx.xxx.xxx
Трансформ-сеты и политика IKE у вас одинаковая. Не нужно ее дублировать (Ну, или писать правильно)...

>Debug crypto isakmp на удаленной точке показывает следующее:
>Отправляем пакет на IP имени Ethernet2.
>Получаем обратно с IP имени Ethernet1.
>Eth2 с циской соединен патчкордом.
"Дефолтный роут, часом, не в сторону Ethernet1 смотрит?"
Вот. Тогда, именно такое поведение... ;)

>>А вот дальше опубликуйте топологию....
>>Дефолтный роут, часом, не в сторону Ethernet1 смотрит?
>
>Нет.
Публикуйте топологию и весь нужный конфиг... С вашими ACL....

"Несколько криптомапов."
Отправлено burban , 13-Мрт-10 04:09

>>>Ну, начнем с того, что crypto isakmp policy 125 можно спокойно удалить.
>>>
>>
>>Можно, но не нужно.
>>На crypto isakmp policy 125 и на crypto isakmp policy 121 повешены
>>разные ACL.
>
>В смысле? Они одинаковые....
Это вопрос не решает.
>[оверквотинг удален]
>>А если удалю и посажу все на один криптомап, тогда будет:
>>Все что на Ethernet1 будет работать, а то что Ethernet2 - нет.
>>
>
>Не так...
>Кодовая фраза:
>set peer xxx.xxx.xxx.xxx
>
>Трансформ-сеты и политика IKE у вас одинаковая. Не нужно ее дублировать (Ну,
>или писать правильно)...
Это вопрос не решает.
>
>
>>Debug crypto isakmp на удаленной точке показывает следующее:
>>Отправляем пакет на IP имени Ethernet2.
>>Получаем обратно с IP имени Ethernet1.
>>Eth2 с циской соединен патчкордом.
>
>"Дефолтный роут, часом, не в сторону Ethernet1 смотрит?"
>Вот. Тогда, именно такое поведение... ;)
Глупость.
>>>А вот дальше опубликуйте топологию....
>>>Дефолтный роут, часом, не в сторону Ethernet1 смотрит?
>>
>>Нет.
>
>Публикуйте топологию и весь нужный конфиг... С вашими ACL....
Причем тут ACL?
Написал выше:
Крипта через mymap1 работает нормально.
Через mymap2 нет. На удаленной в debug crypto isakmp никаких движений.
А если удалю и посажу все на один криптомап, тогда будет:
Все что на Ethernet1 будет работать, а то что Ethernet2 - нет.
Debug crypto isakmp на удаленной точке показывает следующее:
Отправляем пакет на IP имени Ethernet2.
Получаем обратно с IP имени Ethernet1.

"Несколько криптомапов."
Отправлено j_vw , 13-Мрт-10 16:13

Дело ваше....
Не мне же ЭТО надо....
Могу сказать, что у меня есть "боевые" конфиги, которые работают....
И мепы на десяток сайтов с каждого интерфейса... С разной авторизацией....
И Одинаковые карты на разных интерфейсах, но с разными условиями....
Удачи...
P.S. А про "глупость".... Ну-ну....Дерзайте ;)