https://www.opennet.me/openforum/vsluhforumID6/14560.html У нас сейчас имеется корпоративная сеть, созданная на базе DLink DI-804HV со стороны филиалов и FreeBSD с isakmpd в на центральном узле. Филиалы имеют динамические ИПы, а центральный офис - статические. Сейчас стоит цель мигрировать на Cisco 2821.<br>Я хочу написать на циске такое:<br><br>crypto isakmp policy 1<br> encr 3des<br> hash md5<br> authentication pre-share<br>!<br>crypto isakmp client configuration group fse-regions<br> key &lt;ключ&gt;<br>!<br>crypto isakmp profile fse-profile<br> match identity group fse-regions<br>!<br>crypto ipsec transform-set trans-esp-3des esp-3des<br>!<br>crypto dynamic-map bel 20<br> set security-association lifetime seconds 28800<br> set transform-set trans-esp-3des<br> set pfs group1<br> set isakmp-profile fse-profile<br> match address 102<br>!<br>crypto dynamic-map glu 30<br> set security-association lifetime seconds 28800<br> set transform-set trans-esp-3des<br> set pfs group1<br> set isakmp-profile fse-profile<br> match address 103<br>!<br>interface Dialer1<br> ip address negotiated<br> ip mtu 1492<br> ip nat outside<br> ip virtual-reassem https://www.opennet.me/openforum/vsluhforumID6/14560.html#7 Tue, 09 Oct 2007 07:18:58 GMT &gt;С IP-адресами всё работает прекрасно, но они динамические. <br>&gt;А с crypto isakmp identity hostname заставить работать никак не удаётся. <br><br>Проблема решилась включением агрессивного режима на зухеле.<br>Как выяснилось, cisco не работает в main mode с fqdn ID.<br>В main mode независимо от crypto isakmp identity в качестве ID используется ip-адрес.<br><br> https://www.opennet.me/openforum/vsluhforumID6/14560.html#6 Mon, 08 Oct 2007 09:12:04 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;туннеля динамические - то я так понял надо именно dynamic crypto <br>&gt;&gt;&gt;&gt;map использовать? <br>&gt;Не надо DMVPN. Dynamic crypto map будет нормально работать. По поводу нескольких <br>&gt;туннелей на одном мапе - у crypto map есть sequence numbers, <br>&gt;как у route-map. Так что в один crypto map можо загнать <br>&gt;несколько правил. Попробуйте для начала с одним. <br>&gt;Все это хорошо расписано в Cisco IOS Security Configuration Guide. <br><br>У кого-нибудь получилось настроить IKE на использование ID типа FQDN?<br>Аналогичная ситуация, только клиенты ZyXEL P662.<br>С IP-адресами всё работает прекрасно, но они динамические.<br>А с crypto isakmp identity hostname заставить работать никак не удаётся.<br>Здорово бы было посмотреть на кусочек рабочего конфига...<br><br><br> https://www.opennet.me/openforum/vsluhforumID6/14560.html#5 Wed, 03 Oct 2007 16:03:21 GMT &gt;&gt;&gt; Если ИПы у друго стороны <br>&gt;&gt;&gt;туннеля динамические - то я так понял надо именно dynamic crypto <br>&gt;&gt;&gt;map использовать? <br>&gt;&gt;<br>&gt;&gt;Копайте в сторону Dynamic Multipoint VPN <br><br>Не надо DMVPN. Dynamic crypto map будет нормально работать. По поводу нескольких туннелей на одном мапе - у crypto map есть sequence numbers, как у route-map. Так что в один crypto map можо загнать несколько правил. Попробуйте для начала с одним. <br>Все это хорошо расписано в Cisco IOS Security Configuration Guide.<br> https://www.opennet.me/openforum/vsluhforumID6/14560.html#4 Wed, 03 Oct 2007 10:50:54 GMT &gt;&gt; Если ИПы у друго стороны <br>&gt;&gt;туннеля динамические - то я так понял надо именно dynamic crypto <br>&gt;&gt;map использовать? <br>&gt;<br>&gt;Копайте в сторону Dynamic Multipoint VPN <br><br>Насколько я знаю, там уже другой метод используется, с использованием протокола GRE... А на DLink-ах такого нету.<br> https://www.opennet.me/openforum/vsluhforumID6/14560.html#3 Wed, 03 Oct 2007 09:44:32 GMT &gt; Если ИПы у друго стороны <br>&gt;туннеля динамические - то я так понял надо именно dynamic crypto <br>&gt;map использовать? <br><br>Копайте в сторону Dynamic Multipoint VPN <br> https://www.opennet.me/openforum/vsluhforumID6/14560.html#2 Wed, 03 Oct 2007 08:27:18 GMT &gt;[оверквотинг удален]<br>&gt;crypto map, а только шаблон для него. Нужно создать из него <br>&gt;crypto map, типа вот так: <br>&gt;crypto map mymap 10 ipsec-isakmp dynamic dynmap <br>&gt;<br>&gt; Во-вторых, к интерфейсу можно прицепить только 1 crypto map. В ACL <br>&gt;для этого crypto map указываешь весь трафик, который должен шифроваться при <br>&gt;отправке через этот интерфейс, т.е. <br>&gt;permit ip 10.119.0.0 0.0.3.255 10.119.8.0 0.0.7.255 <br>&gt;<br>&gt;Скорее всего, этот список ошибок в конфиге не полный. <br><br>Что-то я не понял... Почему только 1 crypto map? А как быть, если нужно сделать несколько IPSEC туннелей? Если ИПы у друго стороны туннеля динамические - то я так понял надо именно dynamic crypto map использовать?<br><br> https://www.opennet.me/openforum/vsluhforumID6/14560.html#1 Tue, 02 Oct 2007 18:45:34 GMT &gt;[оверквотинг удален]<br>&gt; dialer-group 1 <br>&gt; ppp authentication pap <br>&gt; ppp pap sent-username &lt;login&gt; password 0 &lt;password&gt;<br>&gt; crypto map bel <br>&gt; crypto map glu <br>&gt;! <br>&gt;access-list 102 permit ip 10.119.0.0 0.0.3.255 10.119.8.0 0.0.3.255 <br>&gt;access-list 103 permit ip 10.119.0.0 0.0.3.255 10.119.12.0 0.0.3.255 <br>&gt;<br>&gt;насколько это будет правильным? И будет-ли вообще работать? <br><br> Не будет работать. Во-первых, dynamic crypto map - это еще не crypto map, а только шаблон для него. Нужно создать из него crypto map, типа вот так:<br>crypto map mymap 10 ipsec-isakmp dynamic dynmap<br><br> Во-вторых, к интерфейсу можно прицепить только 1 crypto map. В ACL для этого crypto map указываешь весь трафик, который должен шифроваться при отправке через этот интерфейс, т.е. <br>permit ip 10.119.0.0 0.0.3.255 10.119.8.0 0.0.7.255<br><br>Скорее всего, этот список ошибок в конфиге не полный.<br>