Всем дорого времени суток!
Имеем роутер cisco 1841.
Есть канал к провайдеру. Через этот канал нужно организовать доступ мобильных клиентов через Cisco Vpn Client, а также связать с партнерской сетью через gre туннель. Соотв. нужно сделать две крипто-карты, создать для них профили, объединить их в одной динамической крипто-карте, а уже потом сделать полноценную и назначить ее на интерфейс. Крипто-карты уже есть, одна динамическая для моб.клиентов, вторая статическая с явным указанием пиров.
Раньше было два независимых канала до провайдера и я прекрасно раскидывал два разных впн по двум каналам, назначая каждому из них по крипто-карте.
Я пробовал старый метод, в котором можно подцепить к статической крипто-карте динамическую. При этом имя карты сохраняется, просто указываются разные числа приоритета.
Пример:
crypto map vpn 10 ipsec-isakmp
crypto map vpn 20 ipsec-isakmp dynamic MyVPN
Я делал что-то подобное:
сrypto map pgp-to-skm-map 10 ipsec-isakmp
сrypto map pgp-to-skm-map 20 ipsec-isakmp ipsec-isakmp dynamic pgp-vpn-mapи потом назначал pgp-to-skm-map к интерфейсу, но эта затея не увенчалась успехом.
Далее я узнал что сейчас нужно делать профили isakmp, объединять их в динамической крипто-карте и затем делать статичную крипо-карту.
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con... но и тут ничего не получилось.
Ниже привожу конфиг роутера касаемо впн.
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 2
encr aes 256
authentication pre-share
group 5
lifetime 3600
crypto isakmp key BLABLABLA address 0.0.0.0 0.0.0.0
!
crypto isakmp client configuration group pgp-vpn-group
key BLABLA
dns 192.168.1.1
wins 192.168.1.1
domain local.ru
pool pgp-vpn-pool
acl 150
netmask 255.255.255.0
!
crypto isakmp client configuration group pgp-vpn-pool
netmask 255.255.255.0
!
crypto ipsec security-association lifetime seconds 1800
!
crypto ipsec transform-set mytrans esp-3des esp-sha-hmac
crypto ipsec transform-set mytrans2 esp-aes 256 esp-sha-hmac
mode transport
!
crypto dynamic-map pgp-vpn-map 10
set transform-set mytrans
reverse-route
!
!
crypto map pgp-to-skm-map local-address FastEthernet0/1.44
crypto map pgp-to-skm-map 10 ipsec-isakmp
set peer ХХ.ХХ.ХХ.ХХ
set security-association lifetime seconds 900
set transform-set mytrans2
set pfs group5
match address 111
!
crypto map pgp-vpn-map client authentication list default
crypto map pgp-vpn-map isakmp authorization list default
crypto map pgp-vpn-map client configuration address respond
crypto map pgp-vpn-map 10 ipsec-isakmp dynamic pgp-vpn-map
!
!
!
interface Tunnel1
description VPN to MAINCOMP
bandwidth 10000
ip address 172.16.11.1 255.255.255.252
tunnel source YY.YY.YY.YY
tunnel destination XX.XX.XX.XX
Ну и соответственно назначение крипто-карты внешнему интерфейсу.
Прошу у Вас помощи в настройке связки двух крипто-карт для одновременного доступа к впн.
Заранее благодарен.
>[оверквотинг удален]
> interface Tunnel1
> description VPN to MAINCOMP
> bandwidth 10000
> ip address 172.16.11.1 255.255.255.252
> tunnel source YY.YY.YY.YY
> tunnel destination XX.XX.XX.XX
> Ну и соответственно назначение крипто-карты внешнему интерфейсу.
> Прошу у Вас помощи в настройке связки двух крипто-карт для одновременного доступа
> к впн.
> Заранее благодарен.Посмотрите тут
http://www.certification.ru/cgi-bin/forum.cgi?action=thread&...
>[оверквотинг удален]
>> bandwidth 10000
>> ip address 172.16.11.1 255.255.255.252
>> tunnel source YY.YY.YY.YY
>> tunnel destination XX.XX.XX.XX
>> Ну и соответственно назначение крипто-карты внешнему интерфейсу.
>> Прошу у Вас помощи в настройке связки двух крипто-карт для одновременного доступа
>> к впн.
>> Заранее благодарен.
> Посмотрите тут
> http://www.certification.ru/cgi-bin/forum.cgi?action=thread&...Спасибо огромное. Нашел ответ. Сейчас все работает. Нужно было сделать профиль только на туннель для мобильных пользователей.
Привожу рабочий конфиг двух крипто-карт для разных видов туннелей.
crypto isakmp key ХХХХХХХХ address 0.0.0.0 0.0.0.0
!
crypto isakmp client configuration group pgp-vpn-group
key XXXXXXXXXXX
dns 192.168.1.1
wins 192.168.1.1
domain local.ru
pool pgp-vpn-pool
acl 150
netmask 255.255.255.0
!
crypto isakmp client configuration group pgp-vpn-pool
netmask 255.255.255.0
crypto isakmp profile vpn
match identity group pgp-vpn-group
client authentication list default
isakmp authorization list default
client configuration address respond
!
crypto ipsec security-association lifetime seconds 1800
!
crypto ipsec transform-set mytrans esp-3des esp-sha-hmac
crypto ipsec transform-set mytrans2 esp-aes 256 esp-sha-hmac
mode transport
!
crypto dynamic-map vpn-map 10
set transform-set mytrans
set isakmp-profile vpn
reverse-route
!
!
crypto map supermap local-address FastEthernet0/1.22
crypto map supermap 10 ipsec-isakmp
set peer XX.XX.XX.XX
set security-association lifetime seconds 900
set transform-set mytrans2
set pfs group5
match address 111
crypto map supermap 100 ipsec-isakmp dynamic vpn-map
Большое спасибо за ценную и нужную информацию!