URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23907
[ Назад ]

Исходное сообщение
"Настройка site-to-site и remote access vpn на маршрутизаторе"
Отправлено CTV , 27-Июн-12 19:39

Добрый день
Помогите решить проблему
Есть два офиса которые надо перевязать и также организовать доступ сотрудников в один из офисов через интернет.
Схема вот http://i009.radikal.ru/1206/40/e050d2cf7d3f.jpg
На ASA в офисе 2 настраиваю IPSEC Site-to-Site VPN, в офисе 1 на маршрутизаторе настраиваю Remote Acces VPN для сотрудников и Site-to-Site для второго офиса.
Сотрудники цепляются нормально, vpn живет без проблем. А вот с l2l туннелем проблема. Если первым инициирует туннель офис 2 то он подымается, а если первым инициирует офис 1 то туннель ни в какую не хочет подыматься.
Debug почему-то ничего не показывает
debug crypto isakmp ha
debug crypto ipsec ha
debug crypto engine
конфиг ASA
interface Ethernet0/1
  description ISP1
  speed 100
  duplex full
  nameif backup
  security-level 0
  ip address 62.183.1.1 255.255.255.240
!
interface Ethernet0/0
  description Inside
  speed 100
  nameif inside
  security-level 100
  ip address 192.168.0.1 255.255.254.0
!
!
object-group network Office1
  network-object 172.16.0.0 255.255.255.0
  network-object host 10.10.0.1
object-group network Office2
  network-object host 10.30.30.1
  network-object host 10.30.30.2
  network-object 192.168.0.0 255.255.254.0
!
access-list inside_nat0_outbound extended permit ip object-group Office2 object-group Office1
access-list backup_cryptomap extended permit ip object-group Office2 object-group Office1
!
global (backup) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
!
route backup 172.16.0.0 255.255.255.0 91.237.1.1 1
route backup 10.10.0.1 255.255.255.255 91.237.1.1 1
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto map backup_map0 1 match address backup_cryptomap
crypto map backup_map0 1 set peer 91.237.1.1
crypto map backup_map0 1 set transform-set ESP-3DES-SHA
crypto map backup_map0 interface backup
crypto isakmp enable backup
crypto isakmp policy 1
  authentication pre-share
  encryption 3des
  hash sha
  group 2
  lifetime none
crypto isakmp policy 10
  authentication pre-share
  encryption des
  hash md5
  group 2
  lifetime none
crypto isakmp policy 30
  authentication pre-share
  encryption 3des
  hash md5
  group 2
  lifetime 86400
!
tunnel-group 91.237.1.1 type ipsec-l2l
tunnel-group 91.237.1.1 ipsec-attributes
  pre-shared-key *

конфиг маршрутизатора
object-group network Office1
  network-object 172.16.0.0 255.255.255.0
  network-object host 10.10.0.1
object-group network Office2
  network-object host 10.30.30.1
  network-object host 10.30.30.2
  network-object 192.168.0.0 255.255.254.0
!
crypto isakmp policy 1
  encr 3des
  authentication pre-share
  group 2
crypto isakmp key cisco address 62.183.1.1 no-xauth
!
crypto isakmp client configuration group vpn
  key cisco
  dns 8.8.8.8
  domain contoso.com
  pool vpnpool
  acl 101
  save-password
!
!
crypto ipsec transform-set vpnclient esp-3des esp-sha-hmac
!
crypto dynamic-map vpnclient 10
  set transform-set vpnclient
  reverse-route
!
!
crypto map Office2 10 ipsec-isakmp
  set peer 62.183.1.1
  set transform-set vpnclient
  match address Office2
!
crypto map mymap client authentication list userauthen
crypto map mymap isakmp authorization list groupauthor
crypto map mymap client configuration address respond
crypto map mymap 10 ipsec-isakmp dynamic vpnclient
!
interface FastEthernet0/0
  ip address 91.237.1.1 255.255.255.252
  ip nat outside
  ip virtual-reassembly
  duplex auto
  speed auto
  crypto map mymap
!
interface FastEthernet0/1
  encapsulation dot1Q 122
  ip address 172.16.0.1 255.255.255.0
  ip nat inside
  no ip virtual-reassembly
!
ip local pool vpnpool 172.30.10.2 172.30.10.20
ip route 10.10.0.1 255.255.255.255 172.16.0.100
!
ip access-list extended Office2
  permit ip object-group Office1 object-group Office2
!
access-list 101 permit ip 172.16.0.0 0.0.0.255 any

Содержание

Настройка site-to-site и remote access vpn на маршрутизаторе,Алексей, 10:02 , 29-Июн-12
- Настройка site-to-site и remote access vpn на маршрутизаторе,CTV, 13:54 , 01-Июл-12
  - Настройка site-to-site и remote access vpn на маршрутизаторе,CTV, 19:29 , 07-Июл-12

Сообщения в этом обсуждении

"Настройка site-to-site и remote access vpn на маршрутизаторе"
Отправлено Алексей , 29-Июн-12 10:02

> Добрый день
> Помогите решить проблему
> Есть два офиса которые надо перевязать и также организовать доступ сотрудников в
> один из офисов через интернет.
> Схема вот http://i009.radikal.ru/1206/40/e050d2cf7d3f.jpg
С настройками ASA не помогу, т. к. ни разу не работал с ними.
Когда то у меня подобная схема была.
1 маршрутизатор работал по 2-м схемам одновременно - EasyVPN (удаленный доступ) и site-ti-site:
crypto map filials 10 ipsec-isakmp ......
и т. д. под схему EasyVPN
crypto map filials 20 isakmp client configuration group ......
и т. д. под схему site-ti-site
и на внешний интерфейс
crypto-map filials

2 маршрутизатор работал по схеме site-ti-site с 1 маршрутизатором
Все работало без проблем.

"Настройка site-to-site и remote access vpn на маршрутизаторе"
Отправлено CTV , 01-Июл-12 13:54

Нашел прям мой случай
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
но как только я вешаю crypto map на интерфейс, так сразу весь трафик с/на этот интерфейс прекращается. Интерфейс в апе, с интрефейсом который смотрит в локалку все нормально, трафик бегает.
Куда копать?

"Настройка site-to-site и remote access vpn на маршрутизаторе"
Отправлено CTV , 07-Июл-12 19:29

Проблему помогли решить на другом форуме
Решение проблемы:
Маршрутизатор:
aaa new-model
!
aaa authentication login XAUTH local
aaa authorization network AUTHOR local
!
username admin password 0 admin
!
crypto keyring ASA
    pre-shared-key address 172.16.1.2 key password
!
crypto isakmp policy 5
  encr aes 256
  authentication pre-share
  group 5
  hash sha
!
crypto isakmp policy 10
  encr aes 256
  authentication pre-share
  group 2
  hash sha
!
crypto isakmp client configuration group REMOTE
  key password
  pool POOL
  save-password
crypto isakmp profile S2S
      keyring ASA
      match identity address 172.16.1.2 255.255.255.255
crypto isakmp profile remote_users
      match identity group REMOTE
      client authentication list XAUTH
      isakmp authorization list AUTHOR
      client configuration address respond
!
crypto ipsec transform-set TRANS esp-aes esp-sha-hmac
!
crypto dynamic-map DMAP 10
  set transform-set TRANS
  set isakmp-profile remote_users
  reverse-route
!
crypto map CMAP 10 ipsec-isakmp
  set peer 172.16.1.2
  set transform-set TRANS
  match address VPN
crypto map CMAP 100 ipsec-isakmp dynamic DMAP
!
!
interface Loopback0
  ip address 1.1.1.1 255.255.255.0
!
interface FastEthernet0/0
  ip address 172.16.1.100 255.255.255.0
  crypto map CMAP
!
!
ip local pool POOL 1.1.1.10 1.1.1.100
ip route 2.2.2.2 255.255.255.255 172.16.1.2
!
!
ip access-list extended SPLIT_ACL
  permit ip 1.1.1.0 0.0.0.255 any
ip access-list extended VPN
  permit ip host 1.1.1.1 host 2.2.2.2

Момент тут:
crypto map CMAP 10 ipsec-isakmp
crypto map CMAP 100 ipsec-isakmp dynamic DMAP
статическая крипто карта должна иметь больший приоритет, чем динамическая

ASA:
interface Ethernet0/0
  nameif outside
  security-level 0
  ip address 172.16.1.2 255.255.255.0
!
interface Ethernet0/1
  nameif inside
  security-level 100
  ip address 2.2.2.1 255.255.255.0
!
access-list ACL extended permit ip host 2.2.2.2 host 1.1.1.1
route outside 1.1.1.1 255.255.255.255 172.16.1.100 1
crypto ipsec transform-set TRANS esp-aes esp-sha-hmac
crypto map CMAP 10 match address ACL
crypto map CMAP 10 set peer 172.16.1.100
crypto map CMAP 10 set transform-set TRANS
crypto map CMAP interface outside
crypto isakmp enable outside
crypto isakmp policy 5
  authentication pre-share
  encryption aes-256
  hash sha
  group 2
  lifetime 86400
!
tunnel-group 172.16.1.100 type ipsec-l2l
tunnel-group 172.16.1.100 ipsec-attributes
  pre-shared-key *