https://www.opennet.dev/openforum/vsluhforumID6/17850.html Уважаемые знатоки,<br><br>прошу подсказать, как заставить Cisco-роутер автоматически разрешать DynDNS-имя в IP.<br><br>Есть задача - коннектить друг с другом два маршрутизатора по VPN. Все было бы банально, но внешние IP-адреса устройств динамические (константны только их DynDNS-имена). <br><br>Есть ли механизмы, позволяющие это делать?<br><br>Может как-то можно заставить роутер по kron'у по истечении заданного интервала обращаться к DNS-серверу и проверять, каков текущий адрес VPN-peer'а? И, например, выяснив, писать его в конфиг в формате , типа ip host....?<br><br>Заранее благодарю ответивших!<br><br> https://www.opennet.dev/openforum/vsluhforumID6/17850.html#4 Tue, 16 Dec 2008 15:01:51 GMT может тогда на обоих концах :)<br>crypto isakmp key 0 CISCO address 0.0.0.0 0.0.0.0<br>&gt;[оверквотинг удален]<br>&gt;is unencrypted and a portion is encrypted. This message should have <br>&gt;been encrypted but was not. <br>&gt;<br>&gt;Recommended Action Contact the remote peer. <br>&gt;<br>&gt;:) <br>&gt;<br>&gt;Такое сообщение появляется также, когда ключа просто нет, его забыли указать. <br>&gt;Вывод - ключ с указанным FQDN что он есть, что его нет, <br>&gt;результат один. <br><br> https://www.opennet.dev/openforum/vsluhforumID6/17850.html#3 Tue, 16 Dec 2008 14:14:47 GMT Смотрим легенду:<br><br>Error Message <br>%CRYPTO-6-IKMP_NOT_ENCRYPTED : IKE packet from %15i was not encrypted and it should've been<br><br>Explanation A portion of the Internet Key Exchange (IKE) is unencrypted and a portion is encrypted. This message should have been encrypted but was not.<br><br>Recommended Action Contact the remote peer. <br><br>:)<br><br>Такое сообщение появляется также, когда ключа просто нет, его забыли указать. <br>Вывод - ключ с указанным FQDN что он есть, что его нет, результат один.<br><br><br><br><br> https://www.opennet.dev/openforum/vsluhforumID6/17850.html#2 Tue, 16 Dec 2008 14:05:55 GMT &gt;хм. если рутера уже обновляют свои динамические fqdn, пропишите на них ip <br>&gt;name-server из инета и стройте vpn на хостнеймах, типа: <br>&gt;! <br>&gt;cry isa key 0 CISCO hostname fqdn <br>&gt;! <br>&gt;crypto map xyz 10 ipsec-isakmp <br>&gt; set peer fqdn dynamic <br><br>Да, именно это я и проделал<br><br>crypto-map работает нормально, с разрешением адреса.<br><br>К сожалению, команда crypto isakmp key 6 [password] hostname [fqdn] не работает, как хотелось бы.<br><br>040504: Dec 16 16:57:05: %CRYPTO-6-IKMP_NOT_ENCRYPTED: IKE packet from x.x.x.x was not encrypted and it should've been.<br><br>Вот такие сообщения показывает debug.<br><br>В чем причина - не ясно. Но стоит только прописать static-IP, и аутентификация проходит сразу.<br><br><br><br><br><br> https://www.opennet.dev/openforum/vsluhforumID6/17850.html#1 Tue, 16 Dec 2008 11:20:02 GMT хм. если рутера уже обновляют свои динамические fqdn, пропишите на них ip name-server из инета и стройте vpn на хостнеймах, типа:<br>!<br>cry isa key 0 CISCO hostname fqdn<br>!<br>crypto map xyz 10 ipsec-isakmp <br> set peer fqdn dynamic<br>!<br>&gt;[оверквотинг удален]<br>&gt;было бы банально, но внешние IP-адреса устройств динамические (константны только их <br>&gt;DynDNS-имена). <br>&gt;<br>&gt;Есть ли механизмы, позволяющие это делать? <br>&gt;<br>&gt;Может как-то можно заставить роутер по kron'у по истечении заданного интервала обращаться <br>&gt;к DNS-серверу и проверять, каков текущий адрес VPN-peer'а? И, например, выяснив, <br>&gt;писать его в конфиг в формате , типа ip host....? <br>&gt;<br>&gt;Заранее благодарю ответивших! <br><br>