https://www.opennet.ru/openforum/vsluhforumID6/20651.html Добрый день, господа.<br>Имею:<br><br>crypto isakmp policy 121<br> encr 3des<br> hash md5<br> authentication pre-share<br> group 2<br> lifetime 1800<br>!<br>crypto isakmp policy 125<br> encr 3des<br> hash md5<br> authentication pre-share<br> group 2<br> lifetime 1800<br>!<br>crypto ipsec transform-set Link1 esp-3des esp-md5-hmac<br>crypto ipsec transform-set Link2 esp-3des esp-md5-hmac<br>!<br>crypto map mymap1 local-address Ethernet1<br>crypto map mymap1 121 ipsec-isakmp<br> set peer xxx.xxx.xxx.xxx<br> set transform-set Link1<br> set pfs group2<br> match address 121<br>!<br>crypto map mymap2 local-address Ethernet2<br>crypto map mymap2 125 ipsec-isakmp<br> set peer yyy.yyy.yyy.yyy<br> set transform-set Link2<br> set pfs group2<br> match address 125<br>!<br>Ethernet1<br>crypto map mymap1<br>!<br>Ethernet2<br>crypto map mymap2<br><br>Крипта через mymap1 работает нормально.<br>Через mymap2 нет. На удаленной в debug crypto isakmp никаких движений.<br><br>Подскажите пожалуйста что еще забыл?<br> https://www.opennet.ru/openforum/vsluhforumID6/20651.html#5 Sat, 13 Mar 2010 13:13:44 GMT Дело ваше....<br>Не мне же ЭТО надо....<br>Могу сказать, что у меня есть "боевые" конфиги, которые работают....<br>И мепы на десяток сайтов с каждого интерфейса... С разной авторизацией....<br>И Одинаковые карты на разных интерфейсах, но с разными условиями....<br><br>Удачи...<br>P.S. А про "глупость".... Ну-ну....Дерзайте ;) <br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/20651.html#4 Sat, 13 Mar 2010 01:09:08 GMT &gt;&gt;&gt;Ну, начнем с того, что crypto isakmp policy 125 можно спокойно удалить. <br>&gt;&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;Можно, но не нужно. <br>&gt;&gt;На crypto isakmp policy 125 и на crypto isakmp policy 121 повешены <br>&gt;&gt;разные ACL. <br>&gt;<br>&gt;В смысле? Они одинаковые.... <br><br>Это вопрос не решает.<br><br>&gt;[оверквотинг удален]<br>&gt;&gt;А если удалю и посажу все на один криптомап, тогда будет: <br>&gt;&gt;Все что на Ethernet1 будет работать, а то что Ethernet2 - нет. <br>&gt;&gt;<br>&gt;<br>&gt;Не так... <br>&gt;Кодовая фраза: <br>&gt;set peer xxx.xxx.xxx.xxx <br>&gt;<br>&gt;Трансформ-сеты и политика IKE у вас одинаковая. Не нужно ее дублировать (Ну, <br>&gt;или писать правильно)... <br><br>Это вопрос не решает.<br><br>&gt;<br>&gt;<br>&gt;&gt;Debug crypto isakmp на удаленной точке показывает следующее: <br>&gt;&gt;Отправляем пакет на IP имени Ethernet2. <br>&gt;&gt;Получаем обратно с IP имени Ethernet1. <br>&gt;&gt;Eth2 с циской соединен патчкордом. <br>&gt;<br>&gt;"Дефолтный роут, часом, не в сторону Ethernet1 смотрит?" <br>&gt;Вот. Тогда, именно такое поведение... ;) <br><br>Глупость.<br><br>&gt;&gt;&gt;А вот дальше опубликуйте топологию.... <br>&gt;&gt;&gt;Дефолтный роут, часом, не в сторону Etherne https://www.opennet.ru/openforum/vsluhforumID6/20651.html#3 Fri, 12 Mar 2010 18:44:48 GMT &gt;&gt;Ну, начнем с того, что crypto isakmp policy 125 можно спокойно удалить. <br>&gt;&gt;<br>&gt;<br>&gt;Можно, но не нужно. <br>&gt;На crypto isakmp policy 125 и на crypto isakmp policy 121 повешены <br>&gt;разные ACL. <br><br>В смысле? Они одинаковые....<br><br>&gt;[оверквотинг удален]<br>&gt;&gt;То же самое crypto ipsec transform-set Link2 esp-3des esp-md5-hmac <br>&gt;&gt;Применяйте set transform-set Link1 на обеих интерфейсах. <br>&gt;&gt;И эти строки: <br>&gt;&gt;crypto map mymap1 local-address Ethernet1 <br>&gt;&gt;crypto map mymap2 local-address Ethernet2 <br>&gt;&gt;удалите. <br>&gt;<br>&gt;А если удалю и посажу все на один криптомап, тогда будет: <br>&gt;Все что на Ethernet1 будет работать, а то что Ethernet2 - нет. <br>&gt;<br><br>Не так...<br>Кодовая фраза:<br>set peer xxx.xxx.xxx.xxx<br><br>Трансформ-сеты и политика IKE у вас одинаковая. Не нужно ее дублировать (Ну, или писать правильно)...<br><br><br>&gt;Debug crypto isakmp на удаленной точке показывает следующее: <br>&gt;Отправляем пакет на IP имени Ethernet2. <br>&gt;Получаем обратно с IP имени Ethernet1. <br>&gt;Eth2 с циской соединен патчкордом. <br><br>"Дефолтный роут, часом, не в сторон https://www.opennet.ru/openforum/vsluhforumID6/20651.html#2 Fri, 12 Mar 2010 18:15:12 GMT &gt;Ну, начнем с того, что crypto isakmp policy 125 можно спокойно удалить. <br>&gt;<br><br>Можно, но не нужно. <br>На crypto isakmp policy 125 и на crypto isakmp policy 121 повешены разные ACL.<br><br>&gt;У вас, все равно будет отрабатывать crypto isakmp policy 121.<br>&gt;То же самое crypto ipsec transform-set Link2 esp-3des esp-md5-hmac <br>&gt;Применяйте set transform-set Link1 на обеих интерфейсах. <br>&gt;И эти строки: <br>&gt;crypto map mymap1 local-address Ethernet1 <br>&gt;crypto map mymap2 local-address Ethernet2 <br>&gt;удалите. <br><br>А если удалю и посажу все на один криптомап, тогда будет:<br>Все что на Ethernet1 будет работать, а то что Ethernet2 - нет.<br>Debug crypto isakmp на удаленной точке показывает следующее:<br>Отправляем пакет на IP имени Ethernet2.<br>Получаем обратно с IP имени Ethernet1.<br>Eth2 с циской соединен патчкордом.<br><br>Ну и бесусловно ругань и все такое. <br><br>Именно для этого и возник второй криптомап.<br><br>&gt;А вот дальше опубликуйте топологию.... <br>&gt;Дефолтный роут, часом, не в сторону Ethernet1 смотрит? <br><br>Нет.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/20651.html#1 Thu, 11 Mar 2010 21:22:00 GMT Ну, начнем с того, что crypto isakmp policy 125 можно спокойно удалить.<br>У вас, все равно будет отрабатывать crypto isakmp policy 121.<br>То же самое crypto ipsec transform-set Link2 esp-3des esp-md5-hmac<br>Применяйте set transform-set Link1 на обеих интерфейсах.<br>И эти строки:<br>crypto map mymap1 local-address Ethernet1<br>crypto map mymap2 local-address Ethernet2<br>удалите.<br><br>А вот дальше опубликуйте топологию....<br>Дефолтный роут, часом, не в сторону Ethernet1 смотрит?<br><br>P.S. Если уж хотите делить, то смотрите в сторону isakmp(ipsec ) profile-keyring<br><br><br>