URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 8410
[ Назад ]

Исходное сообщение
"Проблемы с ISAKMP и VPN Client"

Отправлено Sergjack , 01-Авг-05 15:26 
Есть две киски, между ними настроен шифрованный туннель:
interface Tunnel1
ip address 1.1.1.1 255.255.255.240
tunnel source 172.16.13.1
tunnel destination 172.16.12.1
tunnel protection ipsec profile house

Есть по две политики ISAKMP:
crypto isakmp policy 1
encr 3des
hash md5
group 2
!
crypto isakmp policy 2
encr 3des
hash md5
authentication pre-share
group 2
!

Циски друг друга аутентифицируют по RSA.
И все это замечательно работает, ISAKMP - устанавливает соединения
При этом на Ethernet интерфейсе никаких crypto map не прописано, они создаются автоматом туннелем.
Встала задача настроить на одной из цисок сервер для Cisco VPN Client, для этого создали динамическую crypto map, и другие параметры:

crypto dynamic-map dynmap 10
set transform-set puta
reverse-route
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap

прописали crypto map clientmap на реальном интерфейсе, и тут начались проблемы.
т.е. работает либо подключения клиентов, либо туннели.
Для туннелей ISAKMP пытается провести конфигурацию предназначенную для клиентов, SA для ISAKMP перестают устанавливаться.
Стоит снять crypto map с ethernet интерфейса - все ок.
Как я понимаю, туннели тоже попадают под динамическую криптомапу, и проблема в этом.
Как можно разделить ISAKMP для туннелей и ISAKMP для Cisco VPN Client?


Содержание

Сообщения в этом обсуждении
"Проблемы с ISAKMP и VPN Client"
Отправлено Eduard_k , 01-Авг-05 16:14 
>Есть две киски, между ними настроен шифрованный туннель:
>interface Tunnel1
> ip address 1.1.1.1 255.255.255.240
> tunnel source 172.16.13.1
> tunnel destination 172.16.12.1
> tunnel protection ipsec profile house
>
>Есть по две политики ISAKMP:
>crypto isakmp policy 1
> encr 3des
> hash md5
> group 2
>!
>crypto isakmp policy 2
> encr 3des
> hash md5
> authentication pre-share
> group 2
>!
>
>Циски друг друга аутентифицируют по RSA.
>И все это замечательно работает, ISAKMP - устанавливает соединения
>При этом на Ethernet интерфейсе никаких crypto map не прописано, они создаются
>автоматом туннелем.
>Встала задача настроить на одной из цисок сервер для Cisco VPN Client,
>для этого создали динамическую crypto map, и другие параметры:
>
>crypto dynamic-map dynmap 10
> set transform-set puta
> reverse-route
>!
>!
>crypto map clientmap client authentication list userauthen
>crypto map clientmap isakmp authorization list groupauthor
>crypto map clientmap client configuration address respond
>crypto map clientmap 10 ipsec-isakmp dynamic dynmap
>
>прописали crypto map clientmap на реальном интерфейсе, и тут начались проблемы.
>т.е. работает либо подключения клиентов, либо туннели.
>Для туннелей ISAKMP пытается провести конфигурацию предназначенную для клиентов, SA для ISAKMP
>перестают устанавливаться.
>Стоит снять crypto map с ethernet интерфейса - все ок.
>Как я понимаю, туннели тоже попадают под динамическую криптомапу, и проблема в
>этом.
>Как можно разделить ISAKMP для туннелей и ISAKMP для Cisco VPN Client?
>


Было нечто подобное, crypto map на Ethernrt0 терменировал на себе свой туннель, и тот , который находился за ним, на loopback0.
При этом переодически матерился, что мол получен пакет от неизвестного peer-а. Пришлось пожертвовать еще одним адресом и перевесить crypto map с eth0 на loop1


"Проблемы с ISAKMP и VPN Client"
Отправлено Sergjack , 01-Авг-05 17:11 
>
>Было нечто подобное, crypto map на Ethernrt0 терменировал на себе свой туннель,
>и тот , который находился за ним, на loopback0.
>При этом переодически матерился, что мол получен пакет от неизвестного peer-а. Пришлось
>пожертвовать еще одним адресом и перевесить crypto map с eth0 на
>loop1

Так а каким образом назначить loop0 адрес, пересекающийся с адресом eth0 по подсети?


"Проблемы с ISAKMP и VPN Client"
Отправлено Eduard_k , 01-Авг-05 17:37 
>>
>>Было нечто подобное, crypto map на Ethernrt0 терменировал на себе свой туннель,
>>и тот , который находился за ним, на loopback0.
>>При этом переодически матерился, что мол получен пакет от неизвестного peer-а. Пришлось
>>пожертвовать еще одним адресом и перевесить crypto map с eth0 на
>>loop1
>
>Так а каким образом назначить loop0 адрес, пересекающийся с адресом eth0 по
>подсети?

Из той же подсети не выйдет - overlap.
надо побить маской на подсети помельче, если возможно, либо просить у провайдера еще одну подсеть.


"Проблемы с ISAKMP и VPN Client"
Отправлено Sergjack , 05-Авг-05 14:36 
>
>Из той же подсети не выйдет - overlap.
>надо побить маской на подсети помельче, если возможно, либо просить у провайдера
>еще одну подсеть.

Побили на две подсети. Лупбак - пингуется, сессии на него открываются, но ISAKMP не устанавливается.
Прописываешь crypto map на реальный интерфейс - работает в лёт, а прописываешь на лупбак - не вырабатывают они SA. Такое ощущение что политиками не договариваются...


"Проблемы с ISAKMP и VPN Client"
Отправлено ВОЛКА , 05-Авг-05 16:05 
а дебаги на что?