forum.opennet.ru - "Cisco ASA VPN на несколько офисов." (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Cisco ASA VPN на несколько офисов."

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Cisco ASA VPN на несколько офисов."	+/–
Сообщение от fomik2 (ok) on 06-Сен-12, 19:13
Возникла проблема с построением двух независимых друг от друга VPN каналов на одной Cisco ASA 5505. Конфиг: crypto ipsec transform-set myset esp-des esp-md5-hmac crypto ipsec security-association lifetexitime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 crypto map outside_map 20 match address 100 crypto map outside_map 20 set peer хххх crypto map outside_map 20 set transform-set myset crypto map outside_map interface outside Как сделать - непонятно. Ещё один crypto map? Но он мне не дает поствить crypto map outside_map interface outside к этому новому крипто-мапу. Вернее дает, но убирает с предыдущего. Как реализовать задачу?
Ответить \| Правка \| Cообщить модератору

Оглавление

Cisco ASA VPN на несколько офисов., fomik2, 19:28 , 06-Сен-12, (1)

Cisco ASA VPN на несколько офисов., crash, 06:43 , 07-Сен-12, (2)

Cisco ASA VPN на несколько офисов., fomik2, 10:06 , 07-Сен-12, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "Cisco ASA VPN на несколько офисов." +/–

Сообщение от fomik2 (ok) on 06-Сен-12, 19:28

>[оверквотинг удален]
> crypto ipsec security-association lifetexitime seconds 28800
> crypto ipsec security-association lifetime kilobytes 4608000
> crypto map outside_map 20 match address 100
> crypto map outside_map 20 set peer хххх
> crypto map outside_map 20 set transform-set myset
> crypto map outside_map interface outside
> Как сделать - непонятно. Ещё один crypto map? Но он мне не
> дает поствить crypto map outside_map interface outside к этому новому крипто-мапу.
> Вернее дает, но убирает с предыдущего.
> Как реализовать задачу?
Вариант
crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map outside_map 20 match address 100
crypto map outside_map 20 set peer a.a.a.a b.b.b.b
crypto map outside_map 20 set transform-set myset
crypto map outside_map 20 set nat-t-disable
crypto map outside_map 21 match address 101
crypto map outside_map 21 set peer c.c.c.c
crypto map outside_map 21 set transform-set myset
crypto map outside_map interface outside
не проходит.
access-list и статический NAT, который не НАТирует адреса из нужного диапазона, настроены.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Cisco ASA VPN на несколько офисов." +/–

Сообщение от crash (ok) on 07-Сен-12, 06:43

>[оверквотинг удален]
> crypto map outside_map 20 match address 100
> crypto map outside_map 20 set peer a.a.a.a b.b.b.b
> crypto map outside_map 20 set transform-set myset
> crypto map outside_map 20 set nat-t-disable
> crypto map outside_map 21 match address 101
> crypto map outside_map 21 set peer c.c.c.c
> crypto map outside_map 21 set transform-set myset
> crypto map outside_map interface outside
> не проходит.
> access-list и статический NAT, который не НАТирует адреса из нужного диапазона, настроены.
с другой стороны тоже все настроено? И вот эти слова, что листы, нат настроены ни к чему не приведут. Показывайте конфиг и лучше с двух сторон

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Cisco ASA VPN на несколько офисов." +/–

Сообщение от fomik2 (ok) on 07-Сен-12, 10:06

>[оверквотинг удален]
>> crypto map outside_map 20 set nat-t-disable
>> crypto map outside_map 21 match address 101
>> crypto map outside_map 21 set peer c.c.c.c
>> crypto map outside_map 21 set transform-set myset
>> crypto map outside_map interface outside
>> не проходит.
>> access-list и статический NAT, который не НАТирует адреса из нужного диапазона, настроены.
> с другой стороны тоже все настроено? И вот эти слова, что листы,
> нат настроены ни к чему не приведут. Показывайте конфиг и
> лучше с двух сторон
с другой стороны СтоунГейт стоит. Там всё правильно - Уже отработан конфиг. А на циске даже в sh crypto isakmp sa пусто.
вот подробнее:
object network 172.16.0.0-16
subnet 172.16.0.0 255.255.0.0
object network 172.17.0.0-16
subnet 172.17.0.0 255.255.0.0
object network 192.168.2.0-24
subnet 192.168.2.0 255.255.255.0
object network 192.168.3.0-24
subnet 192.168.3.0 255.255.255.0
object network 192.168.32.0-23
subnet 192.168.32.0 255.255.254.0
object network 192.168.1.0-24
subnet 192.168.1.0 255.255.255.0
------------- добавляем подсеть для нового ВПН
object network 192.168.38.0-23
subnet 192.168.38.0 255.255.254.0
-------------

object-group network GO-nets
network-object object 192.168.2.0-24
network-object object 192.168.3.0-24
network-object object 172.16.0.0-16
network-object object 172.17.0.0-16
network-object object 192.168.32.0-23
network-object object 192.168.1.0-24
------------- загоняем в группу обьъектов для обхода НАТ-а
network-object object 192.168.38.0-23
-------------
object network inside-net
subnet 192.168.233.0 255.255.255.240
nat (inside,outside) source static inside-net inside-net destination static GO-nets GO-nets description NoNAT
access-list 100 extended permit ip 192.168.233.0 255.255.255.240 172.16.0.0 255.255.0.0
access-list 100 extended permit ip 192.168.233.0 255.255.255.240 192.168.2.0 255.255.255.0
access-list 100 extended permit ip 192.168.233.0 255.255.255.240 192.168.3.0 255.255.255.0
access-list 100 extended permit ip 192.168.233.0 255.255.255.240 172.17.0.0 255.255.0.0
access-list 100 extended permit ip 192.168.233.0 255.255.255.240 192.168.32.0 255.255.254.0
access-list 100 extended permit ip 192.168.233.0 255.255.255.240 192.168.1.0 255.255.255.0
--------- еще один аксес-лист для crypto-map
access-list 101 extended permit ip 192.168.233.0 255.255.255.240 192.168.38.0 255.255.254.0
------------

crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption des
hash sha
group 2
lifetime 86400
crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto ipsec security-association lifetexitime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map outside_map 20 match address 100
crypto map outside_map 20 set peer a.a.a.a b.b.b.b
crypto map outside_map 20 set transform-set myset
crypto map outside_map interface outside
-------------- добавляю крипто-мап
crypto map outside_map 21 match address 101
crypto map outside_map 21 set peer c.c.c.c
crypto map outside_map 21 set transform-set myset
-------------
tunnel-group a.a.a.a type ipsec-l2l
tunnel-group a.a.a.a ipsec-attributes
pre-shared-key ччччччччччччччччччччччччччччч
tunnel-group b.b.b.b type ipsec-l2l
tunnel-group b.b.b.b ipsec-attributes
pre-shared-key ччччччччччччччччччччччччч
-------------- добавил туннель-групп
tunnel-group b.b.b.b type ipsec-l2l
tunnel-group b.b.b.b ipsec-attributes
pre-shared-key чччччччччччччччччччччччч
----------------

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Cisco ASA VPN на несколько офисов."	+/–
Сообщение от fomik2 (ok) on 06-Сен-12, 19:28
>[оверквотинг удален] > crypto ipsec security-association lifetexitime seconds 28800 > crypto ipsec security-association lifetime kilobytes 4608000 > crypto map outside_map 20 match address 100 > crypto map outside_map 20 set peer хххх > crypto map outside_map 20 set transform-set myset > crypto map outside_map interface outside > Как сделать - непонятно. Ещё один crypto map? Но он мне не > дает поствить crypto map outside_map interface outside к этому новому крипто-мапу. > Вернее дает, но убирает с предыдущего. > Как реализовать задачу? Вариант crypto ipsec transform-set myset esp-des esp-md5-hmac crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 crypto map outside_map 20 match address 100 crypto map outside_map 20 set peer a.a.a.a b.b.b.b crypto map outside_map 20 set transform-set myset crypto map outside_map 20 set nat-t-disable crypto map outside_map 21 match address 101 crypto map outside_map 21 set peer c.c.c.c crypto map outside_map 21 set transform-set myset crypto map outside_map interface outside не проходит. access-list и статический NAT, который не НАТирует адреса из нужного диапазона, настроены.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Cisco ASA VPN на несколько офисов."	+/–
	Сообщение от crash (ok) on 07-Сен-12, 06:43
	>[оверквотинг удален] > crypto map outside_map 20 match address 100 > crypto map outside_map 20 set peer a.a.a.a b.b.b.b > crypto map outside_map 20 set transform-set myset > crypto map outside_map 20 set nat-t-disable > crypto map outside_map 21 match address 101 > crypto map outside_map 21 set peer c.c.c.c > crypto map outside_map 21 set transform-set myset > crypto map outside_map interface outside > не проходит. > access-list и статический NAT, который не НАТирует адреса из нужного диапазона, настроены. с другой стороны тоже все настроено? И вот эти слова, что листы, нат настроены ни к чему не приведут. Показывайте конфиг и лучше с двух сторон
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Cisco ASA VPN на несколько офисов."	+/–
	Сообщение от fomik2 (ok) on 07-Сен-12, 10:06
	>[оверквотинг удален] >> crypto map outside_map 20 set nat-t-disable >> crypto map outside_map 21 match address 101 >> crypto map outside_map 21 set peer c.c.c.c >> crypto map outside_map 21 set transform-set myset >> crypto map outside_map interface outside >> не проходит. >> access-list и статический NAT, который не НАТирует адреса из нужного диапазона, настроены. > с другой стороны тоже все настроено? И вот эти слова, что листы, > нат настроены ни к чему не приведут. Показывайте конфиг и > лучше с двух сторон с другой стороны СтоунГейт стоит. Там всё правильно - Уже отработан конфиг. А на циске даже в sh crypto isakmp sa пусто. вот подробнее: object network 172.16.0.0-16 subnet 172.16.0.0 255.255.0.0 object network 172.17.0.0-16 subnet 172.17.0.0 255.255.0.0 object network 192.168.2.0-24 subnet 192.168.2.0 255.255.255.0 object network 192.168.3.0-24 subnet 192.168.3.0 255.255.255.0 object network 192.168.32.0-23 subnet 192.168.32.0 255.255.254.0 object network 192.168.1.0-24 subnet 192.168.1.0 255.255.255.0 ------------- добавляем подсеть для нового ВПН object network 192.168.38.0-23 subnet 192.168.38.0 255.255.254.0 ------------- object-group network GO-nets network-object object 192.168.2.0-24 network-object object 192.168.3.0-24 network-object object 172.16.0.0-16 network-object object 172.17.0.0-16 network-object object 192.168.32.0-23 network-object object 192.168.1.0-24 ------------- загоняем в группу обьъектов для обхода НАТ-а network-object object 192.168.38.0-23 ------------- object network inside-net subnet 192.168.233.0 255.255.255.240 nat (inside,outside) source static inside-net inside-net destination static GO-nets GO-nets description NoNAT access-list 100 extended permit ip 192.168.233.0 255.255.255.240 172.16.0.0 255.255.0.0 access-list 100 extended permit ip 192.168.233.0 255.255.255.240 192.168.2.0 255.255.255.0 access-list 100 extended permit ip 192.168.233.0 255.255.255.240 192.168.3.0 255.255.255.0 access-list 100 extended permit ip 192.168.233.0 255.255.255.240 172.17.0.0 255.255.0.0 access-list 100 extended permit ip 192.168.233.0 255.255.255.240 192.168.32.0 255.255.254.0 access-list 100 extended permit ip 192.168.233.0 255.255.255.240 192.168.1.0 255.255.255.0 --------- еще один аксес-лист для crypto-map access-list 101 extended permit ip 192.168.233.0 255.255.255.240 192.168.38.0 255.255.254.0 ------------ crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption des hash sha group 2 lifetime 86400 crypto ipsec transform-set myset esp-des esp-md5-hmac crypto ipsec security-association lifetexitime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 crypto map outside_map 20 match address 100 crypto map outside_map 20 set peer a.a.a.a b.b.b.b crypto map outside_map 20 set transform-set myset crypto map outside_map interface outside -------------- добавляю крипто-мап crypto map outside_map 21 match address 101 crypto map outside_map 21 set peer c.c.c.c crypto map outside_map 21 set transform-set myset ------------- tunnel-group a.a.a.a type ipsec-l2l tunnel-group a.a.a.a ipsec-attributes pre-shared-key ччччччччччччччччччччччччччччч tunnel-group b.b.b.b type ipsec-l2l tunnel-group b.b.b.b ipsec-attributes pre-shared-key ччччччччччччччччччччччччч -------------- добавил туннель-групп tunnel-group b.b.b.b type ipsec-l2l tunnel-group b.b.b.b ipsec-attributes pre-shared-key чччччччччччччччччччччччч ----------------
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору