Добрый день, господа.
Имею:crypto isakmp policy 121
encr 3des
hash md5
authentication pre-share
group 2
lifetime 1800
!
crypto isakmp policy 125
encr 3des
hash md5
authentication pre-share
group 2
lifetime 1800
!
crypto ipsec transform-set Link1 esp-3des esp-md5-hmac
crypto ipsec transform-set Link2 esp-3des esp-md5-hmac
!
crypto map mymap1 local-address Ethernet1
crypto map mymap1 121 ipsec-isakmp
set peer xxx.xxx.xxx.xxx
set transform-set Link1
set pfs group2
match address 121
!
crypto map mymap2 local-address Ethernet2
crypto map mymap2 125 ipsec-isakmp
set peer yyy.yyy.yyy.yyy
set transform-set Link2
set pfs group2
match address 125
!
Ethernet1
crypto map mymap1
!
Ethernet2
crypto map mymap2Крипта через mymap1 работает нормально.
Через mymap2 нет. На удаленной в debug crypto isakmp никаких движений.Подскажите пожалуйста что еще забыл?
Ну, начнем с того, что crypto isakmp policy 125 можно спокойно удалить.
У вас, все равно будет отрабатывать crypto isakmp policy 121.
То же самое crypto ipsec transform-set Link2 esp-3des esp-md5-hmac
Применяйте set transform-set Link1 на обеих интерфейсах.
И эти строки:
crypto map mymap1 local-address Ethernet1
crypto map mymap2 local-address Ethernet2
удалите.А вот дальше опубликуйте топологию....
Дефолтный роут, часом, не в сторону Ethernet1 смотрит?P.S. Если уж хотите делить, то смотрите в сторону isakmp(ipsec ) profile-keyring
>Ну, начнем с того, что crypto isakmp policy 125 можно спокойно удалить.
>Можно, но не нужно.
На crypto isakmp policy 125 и на crypto isakmp policy 121 повешены разные ACL.>У вас, все равно будет отрабатывать crypto isakmp policy 121.
>То же самое crypto ipsec transform-set Link2 esp-3des esp-md5-hmac
>Применяйте set transform-set Link1 на обеих интерфейсах.
>И эти строки:
>crypto map mymap1 local-address Ethernet1
>crypto map mymap2 local-address Ethernet2
>удалите.А если удалю и посажу все на один криптомап, тогда будет:
Все что на Ethernet1 будет работать, а то что Ethernet2 - нет.
Debug crypto isakmp на удаленной точке показывает следующее:
Отправляем пакет на IP имени Ethernet2.
Получаем обратно с IP имени Ethernet1.
Eth2 с циской соединен патчкордом.Ну и бесусловно ругань и все такое.
Именно для этого и возник второй криптомап.
>А вот дальше опубликуйте топологию....
>Дефолтный роут, часом, не в сторону Ethernet1 смотрит?Нет.
>>Ну, начнем с того, что crypto isakmp policy 125 можно спокойно удалить.
>>
>
>Можно, но не нужно.
>На crypto isakmp policy 125 и на crypto isakmp policy 121 повешены
>разные ACL.В смысле? Они одинаковые....
>[оверквотинг удален]
>>То же самое crypto ipsec transform-set Link2 esp-3des esp-md5-hmac
>>Применяйте set transform-set Link1 на обеих интерфейсах.
>>И эти строки:
>>crypto map mymap1 local-address Ethernet1
>>crypto map mymap2 local-address Ethernet2
>>удалите.
>
>А если удалю и посажу все на один криптомап, тогда будет:
>Все что на Ethernet1 будет работать, а то что Ethernet2 - нет.
>Не так...
Кодовая фраза:
set peer xxx.xxx.xxx.xxxТрансформ-сеты и политика IKE у вас одинаковая. Не нужно ее дублировать (Ну, или писать правильно)...
>Debug crypto isakmp на удаленной точке показывает следующее:
>Отправляем пакет на IP имени Ethernet2.
>Получаем обратно с IP имени Ethernet1.
>Eth2 с циской соединен патчкордом."Дефолтный роут, часом, не в сторону Ethernet1 смотрит?"
Вот. Тогда, именно такое поведение... ;)
>>А вот дальше опубликуйте топологию....
>>Дефолтный роут, часом, не в сторону Ethernet1 смотрит?
>
>Нет.Публикуйте топологию и весь нужный конфиг... С вашими ACL....
>>>Ну, начнем с того, что crypto isakmp policy 125 можно спокойно удалить.
>>>
>>
>>Можно, но не нужно.
>>На crypto isakmp policy 125 и на crypto isakmp policy 121 повешены
>>разные ACL.
>
>В смысле? Они одинаковые....Это вопрос не решает.
>[оверквотинг удален]
>>А если удалю и посажу все на один криптомап, тогда будет:
>>Все что на Ethernet1 будет работать, а то что Ethernet2 - нет.
>>
>
>Не так...
>Кодовая фраза:
>set peer xxx.xxx.xxx.xxx
>
>Трансформ-сеты и политика IKE у вас одинаковая. Не нужно ее дублировать (Ну,
>или писать правильно)...Это вопрос не решает.
>
>
>>Debug crypto isakmp на удаленной точке показывает следующее:
>>Отправляем пакет на IP имени Ethernet2.
>>Получаем обратно с IP имени Ethernet1.
>>Eth2 с циской соединен патчкордом.
>
>"Дефолтный роут, часом, не в сторону Ethernet1 смотрит?"
>Вот. Тогда, именно такое поведение... ;)Глупость.
>>>А вот дальше опубликуйте топологию....
>>>Дефолтный роут, часом, не в сторону Ethernet1 смотрит?
>>
>>Нет.
>
>Публикуйте топологию и весь нужный конфиг... С вашими ACL....Причем тут ACL?
Написал выше:
Крипта через mymap1 работает нормально.
Через mymap2 нет. На удаленной в debug crypto isakmp никаких движений.А если удалю и посажу все на один криптомап, тогда будет:
Все что на Ethernet1 будет работать, а то что Ethernet2 - нет.
Debug crypto isakmp на удаленной точке показывает следующее:
Отправляем пакет на IP имени Ethernet2.
Получаем обратно с IP имени Ethernet1.
Дело ваше....
Не мне же ЭТО надо....
Могу сказать, что у меня есть "боевые" конфиги, которые работают....
И мепы на десяток сайтов с каждого интерфейса... С разной авторизацией....
И Одинаковые карты на разных интерфейсах, но с разными условиями....Удачи...
P.S. А про "глупость".... Ну-ну....Дерзайте ;)