https://www.opennet.ru/openforum/vsluhforumID6/117.html Здравствуйте, <br><br>Cisco 3925, IOS c3900-universalk9-mz.SPA.151-2.T2.bin<br><br>Возникла необходимость реализовать две пачки IPSEC c Crypto-Map на одном маршрутизаторе.<br>Для одной пачки Crypto-Map один IP peer, для другой пачки новый IP Peer. <br><br>На выходящем интерфейсе уже висит одна скиптокарта.<br>Необходимо куда то еще повесить новую криптокарту.<br>Нашел описания варианта Crypto-Map на Loopback, и потом с помощью ip policy route-map REROUTE завернуть трафик <br><br>через этот Loopback.<br><br>Попытался реализовать - не работает.<br><br>конфиг такой <br>http://blog.rackrental.eu/2010/05/07/ipsec-site-to-site-vpn-using-loopback-interfaces/<br>crypto isakmp policy 10<br> encr 3des<br> authentication pre-share<br> group 2<br> lifetime 3600<br> crypto isakmp key XXXXX address 1.1.1.1<br> !<br> !<br> crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac<br> !<br> crypto map VPN_MAP 10 ipsec-isakmp<br> set peer 1.1.1.1<br> set transform-set ESP-3DES-SHA<br> match address INT_TRAFF<br> !<br> interface Loopback0<br> ip address 2.2.2.2 255.255.255.255<br> crypto https://www.opennet.ru/openforum/vsluhforumID6/117.html#5 Thu, 12 Sep 2013 13:51:34 GMT Павел, а с каким фиче-сетом был ваш иос? И нужен-ли ip policy route-map REROUTE на Loopback3<br> https://www.opennet.ru/openforum/vsluhforumID6/117.html#4 Thu, 27 Sep 2012 07:53:49 GMT Здравствуйте.<br>Спасибо всем за советы! Разобрался. Тему можно закрыть.<br><br>Еще раз повторюсь, нужно было реализовать второй Cryptomap, и чтоб в нем использовался (YY.YY.YY.YY) - отличный от первого Cryptomap IP-адрес источника.<br><br>После более внимательного тестирования, оказалось, что самая первая схема, описанная в начале РАБОТАЕТ, и даже если NAT на этом же маршрутизаторе.<br>"вариант Crypto-Map на Loopback, и потом с помощью ip policy route-map REROUTE завернуть трафик через этот Loopback."<br><br>http://blog.rackrental.eu/2010/05/07/ipsec-site-to-site-vpn-using-loopback-interfaces/ <br><br>Только пару замечаний: <br>1) вместо "set interface Loopback3" использовать "set default interface Loopback3"<br>2) Если на этом же маршрутизаторе настроен еще и NAT (ip nat inside source), то заворачивать на Loopback3 нужно трафик до NAT. <br>А в IPSEC уже указывать NAT-IP. У меня с этим были сложности.<br><br>Вот такой конфиг, может быть кому пригодится..<br><br>[code]crypto isakmp key TEST-IPSEC address XX.XX.XX.XX<br><br>crypto isakmp policy 2 https://www.opennet.ru/openforum/vsluhforumID6/117.html#3 Sun, 09 Sep 2012 12:11:50 GMT Поэксперементируйте с isakmp profile. <br><br> https://www.opennet.ru/openforum/vsluhforumID6/117.html#2 Fri, 07 Sep 2012 13:06:48 GMT Извините, если неясно выразился.<br>Необходимо, чтобы наш пир для новой (второй) криптокарты имел наш новый IP, IP источника, а не назначения. <br>Смысл - получили PI адреса, и нужно постепенно переехать с адресов провайдера на новые PI адреса, перевести IPSEC-и (которых штук 50) <br> https://www.opennet.ru/openforum/vsluhforumID6/117.html#1 Fri, 07 Sep 2012 12:45:11 GMT Циферки после названия мапы для этого сделаны:<br><br>crypto map MAP 10 ipsec-isakmp<br>set peer 1.1.1.1<br><br>crypto map MAP 20 ipsec-isakmp<br>set peer 2.2.2.2<br>