https://www.opennet.ru/openforum/vsluhforumID6/1880.html Добрый день, дали задачу настроить впн. В сетях я не очень разбираюь, по этому делал аналогично тому как настроены другие тунели.<br><br>Железка к которой нужно подключится находится далеко и доступа туда нету, там дугие админы сетапят<br><br>Задача от них<br><br>Device IP 109.202.112.DD<br>VPN Network's 10.5.30.0/26<br><br><br>ISAKMP (Phase1)<br>Authentication MethodPre-Shared Key (To be exchanged over text message or over the phone)<br>Encryption AlgorithmAes256<br>Hashing AlgorithmSHA2<br>Diffie-Hellman GroupGroup 2<br>Lifetime86400 seconds<br><br><br>IPSec (Phase 2)<br>Encryption AlgorithmAES256<br>Authentication AlgorithmSHA2<br>Perfect Forward Secrecyno pfs<br>Lifetime3600 seconds<br>IPSec GranularityESP<br><br><br><br>Настроил у себя<br><br>crypto isakmp policy 5<br> encr aes 256<br> hash sha256<br> authentication pre-share<br> group 2<br><br>crypto isakmp key g4L4cor4lt0k4ndc address 109.202.112.DD<br><br><br>crypto ipsec transform-set telebet esp-aes 256 esp-sha256-hmac <br> mode tunnel<br><br><br>crypto map MAP_TO_tunnels 11 ipsec-isakmp <br> description Tele https://www.opennet.ru/openforum/vsluhforumID6/1880.html#4 Wed, 16 Dec 2015 20:26:20 GMT &gt;[оверквотинг удален]<br>&gt; Давайте с начала.<br>&gt; Криптомап это то, что вешается на интерфейс и определяется в конфигурации как <br>&gt; "crypto map &lt;NAME&gt;". В той-же строке идет порядковый номер обработки. При <br>&gt; наличии нескольких порядковых номеров криптомап с одним и тем-же &lt;NAME&gt; все <br>&gt; равно остается только один.<br>&gt; На один исходящий интерфейс можно повесить только один криптомап.<br>&gt; Вы говорите что у вас 5 криптомапов. Это значит что у вас <br>&gt; должно быть 5 внешних интерфейсов и на каждом свой криптомап.<br>&gt; Далее... ТЗ: секция ISAKMP encryption - aes256; hash - sha2. У вас <br>&gt; hash почему-то стал sha256. Почему вдруг?<br><br>Все криптомапы имеют одно название <br>crypto map MAP_TO_tunnels 1 ipsec-isakmp<br> description Tunnel to Israel<br> set peer 178.255<br> set transform-set PlayTech_trans_set<br> match address Israel<br><br>.....................<br><br>crypto map MAP_TO_tunnels 11 ipsec-isakmp<br> description telbet<br> set peer 109.202.<br> set transform-set telebet<br> match address Telebet<br><br>interface GigabitEthernet0/1<br>.....<br> https://www.opennet.ru/openforum/vsluhforumID6/1880.html#3 Wed, 16 Dec 2015 19:11:13 GMT &gt;[оверквотинг удален]<br>&gt;&gt; или это должен быть туннель (GRE or IPIP)с IPSec? Из вашего <br>&gt;&gt; объяснения складывается впечатление про необходимость криптомапа, но что скажут удаленные <br>&gt;&gt; админы?<br>&gt; Тут настроено уже около 5 криптомапов в другую компанию по такому типу <br>&gt;&gt; 3. Из вашего объяснения не ясно, вы создали новый криптомап или добавили <br>&gt;&gt; конфигурацию к существующему?<br>&gt; Создавал новый криптомап, так как нужен еще один тунель <br>&gt;&gt; 4. Скрипач... ,пардон, дополнительный маршрут не нужен, если только у вас не <br>&gt;&gt; несколько каналов и вас ждут с определенного IP.<br>&gt; У нас два палинка и именно с этого айпи и юудут ждать <br><br>Давайте с начала. <br>Криптомап это то, что вешается на интерфейс и определяется в конфигурации как "crypto map &lt;NAME&gt;". В той-же строке идет порядковый номер обработки. При наличии нескольких порядковых номеров криптомап с одним и тем-же &lt;NAME&gt; все равно остается только один. <br>На один исходящий интерфейс можно повесить только один криптомап.<br>Вы говорите что у вас 5 криптомапов. Это https://www.opennet.ru/openforum/vsluhforumID6/1880.html#2 Wed, 16 Dec 2015 09:47:45 GMT &gt;[оверквотинг удален]<br>&gt;&gt; dst <br>&gt;&gt; src <br>&gt;&gt; state <br>&gt;&gt; conn-id status <br>&gt;&gt; 82.146.CC.DD 95.67.CC.DD QM_IDLE <br>&gt;&gt; 7573 ACTIVE <br>&gt;&gt; 213.160.CC.DD 148.251.CC.DD <br>&gt;&gt; Может я что то упустил, подскажите что не так <br>&gt; 1. Сначала снимаете криптомап с интерфейса, потом настраиваете, потом вешаете криптомап <br>&gt; на интерфейс обратно.<br><br>Снял настроил и обратно повесил результату ноль.<br>Поправка, так сделал, на интерфейсе появился:<br><br>Crypto Map IPv4 "MAP_tunnels" 11 ipsec-isakmp<br>Description: telbet_coral_test<br>Peer = 109.202.112.DD<br>Extended IP access list Telebet<br> access-list Telebet permit ip 10.5.30.64 0.0.0.63 10.5.30.0 0.0.0.63<br> access-list Telebet permit ip 10.5.30.0 0.0.0.63 10.5.30.64 0.0.0.63<br>Current peer: 109.202.112.DD<br>Security association lifetime: 4608000 kilobytes/3600 seconds<br>Responder-Only (Y/N): N<br>PFS (Y/N): N<br>Transform sets={ <br>Playtech_coral_telebet: { esp-256-aes esp-sha256-hmac } , <br> } <br>Interfaces using crypto map MAP_TO_Playtech_tunnels:<br> https://www.opennet.ru/openforum/vsluhforumID6/1880.html#1 Tue, 15 Dec 2015 19:39:54 GMT &gt;[оверквотинг удален]<br>&gt; #show crypto isakmp sa <br>&gt; IPv4 Crypto ISAKMP SA <br>&gt; dst <br>&gt; src <br>&gt; state <br>&gt; conn-id status <br>&gt; 82.146.CC.DD 95.67.CC.DD QM_IDLE <br>&gt; 7573 ACTIVE <br>&gt; 213.160.CC.DD 148.251.CC.DD <br>&gt; Может я что то упустил, подскажите что не так <br><br>1. Сначала снимаете криптомап с интерфейса, потом настраиваете, потом вешаете криптомап на интерфейс обратно. <br>2. Из объяснения не понятно: это должен быть именно криптомап на интерфейсе или это должен быть туннель (GRE or IPIP)с IPSec? Из вашего объяснения складывается впечатление про необходимость криптомапа, но что скажут удаленные админы? <br>3. Из вашего объяснения не ясно, вы создали новый криптомап или добавили конфигурацию к существующему? <br>4. Скрипач... ,пардон, дополнительный маршрут не нужен, если только у вас не несколько каналов и вас ждут с определенного IP.<br>