URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 20651
[ Назад ]

Исходное сообщение
"Несколько криптомапов."

Отправлено burban , 11-Мрт-10 21:17 
Добрый день, господа.
Имею:

crypto isakmp policy 121
encr 3des
hash md5
authentication pre-share
group 2
lifetime 1800
!
crypto isakmp policy 125
encr 3des
hash md5
authentication pre-share
group 2
lifetime 1800
!
crypto ipsec transform-set Link1 esp-3des esp-md5-hmac
crypto ipsec transform-set Link2 esp-3des esp-md5-hmac
!
crypto map mymap1 local-address Ethernet1
crypto map mymap1 121 ipsec-isakmp
set peer xxx.xxx.xxx.xxx
set transform-set Link1
set pfs group2
match address 121
!
crypto map mymap2 local-address Ethernet2
crypto map mymap2 125 ipsec-isakmp
set peer yyy.yyy.yyy.yyy
set transform-set Link2
set pfs group2
match address 125
!
Ethernet1
crypto map mymap1
!
Ethernet2
crypto map mymap2

Крипта через mymap1 работает нормально.
Через mymap2 нет. На удаленной в debug crypto isakmp никаких движений.

Подскажите пожалуйста что еще забыл?


Содержание

Сообщения в этом обсуждении
"Несколько криптомапов."
Отправлено j_vw , 12-Мрт-10 00:22 
Ну, начнем с того, что crypto isakmp policy 125 можно спокойно удалить.
У вас, все равно будет отрабатывать crypto isakmp policy 121.
То же самое crypto ipsec transform-set Link2 esp-3des esp-md5-hmac
Применяйте set transform-set Link1 на обеих интерфейсах.
И эти строки:
crypto map mymap1 local-address Ethernet1
crypto map mymap2 local-address Ethernet2
удалите.

А вот дальше опубликуйте топологию....
Дефолтный роут, часом, не в сторону Ethernet1 смотрит?

P.S. Если уж хотите делить, то смотрите в сторону isakmp(ipsec ) profile-keyring



"Несколько криптомапов."
Отправлено burban , 12-Мрт-10 21:15 
>Ну, начнем с того, что crypto isakmp policy 125 можно спокойно удалить.
>

Можно, но не нужно.
На crypto isakmp policy 125 и на crypto isakmp policy 121 повешены разные ACL.

>У вас, все равно будет отрабатывать crypto isakmp policy 121.
>То же самое crypto ipsec transform-set Link2 esp-3des esp-md5-hmac
>Применяйте set transform-set Link1 на обеих интерфейсах.
>И эти строки:
>crypto map mymap1 local-address Ethernet1
>crypto map mymap2 local-address Ethernet2
>удалите.

А если удалю и посажу все на один криптомап, тогда будет:
Все что на Ethernet1 будет работать, а то что Ethernet2 - нет.
Debug crypto isakmp на удаленной точке показывает следующее:
Отправляем пакет на IP имени Ethernet2.
Получаем обратно с  IP имени Ethernet1.
Eth2 с циской соединен патчкордом.

Ну и бесусловно ругань и все такое.

Именно для этого и возник второй криптомап.

>А вот дальше опубликуйте топологию....
>Дефолтный роут, часом, не в сторону Ethernet1 смотрит?

Нет.



"Несколько криптомапов."
Отправлено j_vw , 12-Мрт-10 21:44 
>>Ну, начнем с того, что crypto isakmp policy 125 можно спокойно удалить.
>>
>
>Можно, но не нужно.
>На crypto isakmp policy 125 и на crypto isakmp policy 121 повешены
>разные ACL.

В смысле? Они одинаковые....

>[оверквотинг удален]
>>То же самое crypto ipsec transform-set Link2 esp-3des esp-md5-hmac
>>Применяйте set transform-set Link1 на обеих интерфейсах.
>>И эти строки:
>>crypto map mymap1 local-address Ethernet1
>>crypto map mymap2 local-address Ethernet2
>>удалите.
>
>А если удалю и посажу все на один криптомап, тогда будет:
>Все что на Ethernet1 будет работать, а то что Ethernet2 - нет.
>

Не так...
Кодовая фраза:
set peer xxx.xxx.xxx.xxx

Трансформ-сеты и политика IKE у вас одинаковая. Не нужно ее дублировать (Ну, или писать правильно)...


>Debug crypto isakmp на удаленной точке показывает следующее:
>Отправляем пакет на IP имени Ethernet2.
>Получаем обратно с  IP имени Ethernet1.
>Eth2 с циской соединен патчкордом.

"Дефолтный роут, часом, не в сторону Ethernet1 смотрит?"
Вот. Тогда, именно такое поведение... ;)


>>А вот дальше опубликуйте топологию....
>>Дефолтный роут, часом, не в сторону Ethernet1 смотрит?
>
>Нет.

Публикуйте топологию и весь нужный конфиг... С вашими ACL....


"Несколько криптомапов."
Отправлено burban , 13-Мрт-10 04:09 
>>>Ну, начнем с того, что crypto isakmp policy 125 можно спокойно удалить.
>>>
>>
>>Можно, но не нужно.
>>На crypto isakmp policy 125 и на crypto isakmp policy 121 повешены
>>разные ACL.
>
>В смысле? Они одинаковые....

Это вопрос не решает.

>[оверквотинг удален]
>>А если удалю и посажу все на один криптомап, тогда будет:
>>Все что на Ethernet1 будет работать, а то что Ethernet2 - нет.
>>
>
>Не так...
>Кодовая фраза:
>set peer xxx.xxx.xxx.xxx
>
>Трансформ-сеты и политика IKE у вас одинаковая. Не нужно ее дублировать (Ну,
>или писать правильно)...

Это вопрос не решает.

>
>
>>Debug crypto isakmp на удаленной точке показывает следующее:
>>Отправляем пакет на IP имени Ethernet2.
>>Получаем обратно с  IP имени Ethernet1.
>>Eth2 с циской соединен патчкордом.
>
>"Дефолтный роут, часом, не в сторону Ethernet1 смотрит?"
>Вот. Тогда, именно такое поведение... ;)

Глупость.

>>>А вот дальше опубликуйте топологию....
>>>Дефолтный роут, часом, не в сторону Ethernet1 смотрит?
>>
>>Нет.
>
>Публикуйте топологию и весь нужный конфиг... С вашими ACL....

Причем тут ACL?

Написал выше:

Крипта через mymap1 работает нормально.
Через mymap2 нет. На удаленной в debug crypto isakmp никаких движений.

А если удалю и посажу все на один криптомап, тогда будет:
Все что на Ethernet1 будет работать, а то что Ethernet2 - нет.
Debug crypto isakmp на удаленной точке показывает следующее:
Отправляем пакет на IP имени Ethernet2.
Получаем обратно с  IP имени Ethernet1.


"Несколько криптомапов."
Отправлено j_vw , 13-Мрт-10 16:13 
Дело ваше....
Не мне же ЭТО надо....
Могу сказать, что у меня есть "боевые" конфиги, которые работают....
И мепы на десяток сайтов с каждого интерфейса... С разной авторизацией....
И Одинаковые карты на разных интерфейсах, но с разными условиями....

Удачи...
P.S. А про "глупость".... Ну-ну....Дерзайте ;)