forum.opennet.ru - "Несколько криптомапов." (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Несколько криптомапов."

Форумы Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Несколько криптомапов."		+/–
Сообщение от burban (ok) on 11-Мрт-10, 21:17
Добрый день, господа. Имею: crypto isakmp policy 121 encr 3des hash md5 authentication pre-share group 2 lifetime 1800 ! crypto isakmp policy 125 encr 3des hash md5 authentication pre-share group 2 lifetime 1800 ! crypto ipsec transform-set Link1 esp-3des esp-md5-hmac crypto ipsec transform-set Link2 esp-3des esp-md5-hmac ! crypto map mymap1 local-address Ethernet1 crypto map mymap1 121 ipsec-isakmp set peer xxx.xxx.xxx.xxx set transform-set Link1 set pfs group2 match address 121 ! crypto map mymap2 local-address Ethernet2 crypto map mymap2 125 ipsec-isakmp set peer yyy.yyy.yyy.yyy set transform-set Link2 set pfs group2 match address 125 ! Ethernet1 crypto map mymap1 ! Ethernet2 crypto map mymap2 Крипта через mymap1 работает нормально. Через mymap2 нет. На удаленной в debug crypto isakmp никаких движений. Подскажите пожалуйста что еще забыл?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Несколько криптомапов., j_vw, 00:22 , 12-Мрт-10, (1)

Несколько криптомапов., burban, 21:15 , 12-Мрт-10, (2)

Несколько криптомапов., j_vw, 21:44 , 12-Мрт-10, (3)

Несколько криптомапов., burban, 04:09 , 13-Мрт-10, (4)

Несколько криптомапов., j_vw, 16:13 , 13-Мрт-10, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "Несколько криптомапов." +/–

Сообщение от j_vw on 12-Мрт-10, 00:22

Ну, начнем с того, что crypto isakmp policy 125 можно спокойно удалить.
У вас, все равно будет отрабатывать crypto isakmp policy 121.
То же самое crypto ipsec transform-set Link2 esp-3des esp-md5-hmac
Применяйте set transform-set Link1 на обеих интерфейсах.
И эти строки:
crypto map mymap1 local-address Ethernet1
crypto map mymap2 local-address Ethernet2
удалите.
А вот дальше опубликуйте топологию....
Дефолтный роут, часом, не в сторону Ethernet1 смотрит?
P.S. Если уж хотите делить, то смотрите в сторону isakmp(ipsec ) profile-keyring

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Несколько криптомапов." +/–

Сообщение от burban (ok) on 12-Мрт-10, 21:15

>Ну, начнем с того, что crypto isakmp policy 125 можно спокойно удалить.
>
Можно, но не нужно.
На crypto isakmp policy 125 и на crypto isakmp policy 121 повешены разные ACL.
>У вас, все равно будет отрабатывать crypto isakmp policy 121.
>То же самое crypto ipsec transform-set Link2 esp-3des esp-md5-hmac
>Применяйте set transform-set Link1 на обеих интерфейсах.
>И эти строки:
>crypto map mymap1 local-address Ethernet1
>crypto map mymap2 local-address Ethernet2
>удалите.
А если удалю и посажу все на один криптомап, тогда будет:
Все что на Ethernet1 будет работать, а то что Ethernet2 - нет.
Debug crypto isakmp на удаленной точке показывает следующее:
Отправляем пакет на IP имени Ethernet2.
Получаем обратно с  IP имени Ethernet1.
Eth2 с циской соединен патчкордом.
Ну и бесусловно ругань и все такое.
Именно для этого и возник второй криптомап.
>А вот дальше опубликуйте топологию....
>Дефолтный роут, часом, не в сторону Ethernet1 смотрит?
Нет.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Несколько криптомапов." +/–

Сообщение от j_vw on 12-Мрт-10, 21:44

>>Ну, начнем с того, что crypto isakmp policy 125 можно спокойно удалить.
>>
>
>Можно, но не нужно.
>На crypto isakmp policy 125 и на crypto isakmp policy 121 повешены
>разные ACL.
В смысле? Они одинаковые....
>[оверквотинг удален]
>>То же самое crypto ipsec transform-set Link2 esp-3des esp-md5-hmac
>>Применяйте set transform-set Link1 на обеих интерфейсах.
>>И эти строки:
>>crypto map mymap1 local-address Ethernet1
>>crypto map mymap2 local-address Ethernet2
>>удалите.
>
>А если удалю и посажу все на один криптомап, тогда будет:
>Все что на Ethernet1 будет работать, а то что Ethernet2 - нет.
>
Не так...
Кодовая фраза:
set peer xxx.xxx.xxx.xxx
Трансформ-сеты и политика IKE у вас одинаковая. Не нужно ее дублировать (Ну, или писать правильно)...

>Debug crypto isakmp на удаленной точке показывает следующее:
>Отправляем пакет на IP имени Ethernet2.
>Получаем обратно с  IP имени Ethernet1.
>Eth2 с циской соединен патчкордом.
"Дефолтный роут, часом, не в сторону Ethernet1 смотрит?"
Вот. Тогда, именно такое поведение... ;)

>>А вот дальше опубликуйте топологию....
>>Дефолтный роут, часом, не в сторону Ethernet1 смотрит?
>
>Нет.
Публикуйте топологию и весь нужный конфиг... С вашими ACL....

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Несколько криптомапов." +/–

Сообщение от burban (??) on 13-Мрт-10, 04:09

>>>Ну, начнем с того, что crypto isakmp policy 125 можно спокойно удалить.
>>>
>>
>>Можно, но не нужно.
>>На crypto isakmp policy 125 и на crypto isakmp policy 121 повешены
>>разные ACL.
>
>В смысле? Они одинаковые....
Это вопрос не решает.
>[оверквотинг удален]
>>А если удалю и посажу все на один криптомап, тогда будет:
>>Все что на Ethernet1 будет работать, а то что Ethernet2 - нет.
>>
>
>Не так...
>Кодовая фраза:
>set peer xxx.xxx.xxx.xxx
>
>Трансформ-сеты и политика IKE у вас одинаковая. Не нужно ее дублировать (Ну,
>или писать правильно)...
Это вопрос не решает.
>
>
>>Debug crypto isakmp на удаленной точке показывает следующее:
>>Отправляем пакет на IP имени Ethernet2.
>>Получаем обратно с  IP имени Ethernet1.
>>Eth2 с циской соединен патчкордом.
>
>"Дефолтный роут, часом, не в сторону Ethernet1 смотрит?"
>Вот. Тогда, именно такое поведение... ;)
Глупость.
>>>А вот дальше опубликуйте топологию....
>>>Дефолтный роут, часом, не в сторону Ethernet1 смотрит?
>>
>>Нет.
>
>Публикуйте топологию и весь нужный конфиг... С вашими ACL....
Причем тут ACL?
Написал выше:
Крипта через mymap1 работает нормально.
Через mymap2 нет. На удаленной в debug crypto isakmp никаких движений.
А если удалю и посажу все на один криптомап, тогда будет:
Все что на Ethernet1 будет работать, а то что Ethernet2 - нет.
Debug crypto isakmp на удаленной точке показывает следующее:
Отправляем пакет на IP имени Ethernet2.
Получаем обратно с  IP имени Ethernet1.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Несколько криптомапов." +/–

Сообщение от j_vw on 13-Мрт-10, 16:13

Дело ваше....
Не мне же ЭТО надо....
Могу сказать, что у меня есть "боевые" конфиги, которые работают....
И мепы на десяток сайтов с каждого интерфейса... С разной авторизацией....
И Одинаковые карты на разных интерфейсах, но с разными условиями....
Удачи...
P.S. А про "глупость".... Ну-ну....Дерзайте ;)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Несколько криптомапов."		+/–
Сообщение от j_vw on 12-Мрт-10, 00:22
Ну, начнем с того, что crypto isakmp policy 125 можно спокойно удалить. У вас, все равно будет отрабатывать crypto isakmp policy 121. То же самое crypto ipsec transform-set Link2 esp-3des esp-md5-hmac Применяйте set transform-set Link1 на обеих интерфейсах. И эти строки: crypto map mymap1 local-address Ethernet1 crypto map mymap2 local-address Ethernet2 удалите. А вот дальше опубликуйте топологию.... Дефолтный роут, часом, не в сторону Ethernet1 смотрит? P.S. Если уж хотите делить, то смотрите в сторону isakmp(ipsec ) profile-keyring
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "Несколько криптомапов."		+/–
	Сообщение от burban (ok) on 12-Мрт-10, 21:15
	>Ну, начнем с того, что crypto isakmp policy 125 можно спокойно удалить. > Можно, но не нужно. На crypto isakmp policy 125 и на crypto isakmp policy 121 повешены разные ACL. >У вас, все равно будет отрабатывать crypto isakmp policy 121. >То же самое crypto ipsec transform-set Link2 esp-3des esp-md5-hmac >Применяйте set transform-set Link1 на обеих интерфейсах. >И эти строки: >crypto map mymap1 local-address Ethernet1 >crypto map mymap2 local-address Ethernet2 >удалите. А если удалю и посажу все на один криптомап, тогда будет: Все что на Ethernet1 будет работать, а то что Ethernet2 - нет. Debug crypto isakmp на удаленной точке показывает следующее: Отправляем пакет на IP имени Ethernet2. Получаем обратно с IP имени Ethernet1. Eth2 с циской соединен патчкордом. Ну и бесусловно ругань и все такое. Именно для этого и возник второй криптомап. >А вот дальше опубликуйте топологию.... >Дефолтный роут, часом, не в сторону Ethernet1 смотрит? Нет.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "Несколько криптомапов."		+/–
	Сообщение от j_vw on 12-Мрт-10, 21:44
	>>Ну, начнем с того, что crypto isakmp policy 125 можно спокойно удалить. >> > >Можно, но не нужно. >На crypto isakmp policy 125 и на crypto isakmp policy 121 повешены >разные ACL. В смысле? Они одинаковые.... >[оверквотинг удален] >>То же самое crypto ipsec transform-set Link2 esp-3des esp-md5-hmac >>Применяйте set transform-set Link1 на обеих интерфейсах. >>И эти строки: >>crypto map mymap1 local-address Ethernet1 >>crypto map mymap2 local-address Ethernet2 >>удалите. > >А если удалю и посажу все на один криптомап, тогда будет: >Все что на Ethernet1 будет работать, а то что Ethernet2 - нет. > Не так... Кодовая фраза: set peer xxx.xxx.xxx.xxx Трансформ-сеты и политика IKE у вас одинаковая. Не нужно ее дублировать (Ну, или писать правильно)... >Debug crypto isakmp на удаленной точке показывает следующее: >Отправляем пакет на IP имени Ethernet2. >Получаем обратно с IP имени Ethernet1. >Eth2 с циской соединен патчкордом. "Дефолтный роут, часом, не в сторону Ethernet1 смотрит?" Вот. Тогда, именно такое поведение... ;) >>А вот дальше опубликуйте топологию.... >>Дефолтный роут, часом, не в сторону Ethernet1 смотрит? > >Нет. Публикуйте топологию и весь нужный конфиг... С вашими ACL....
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "Несколько криптомапов."		+/–
	Сообщение от burban (??) on 13-Мрт-10, 04:09
	>>>Ну, начнем с того, что crypto isakmp policy 125 можно спокойно удалить. >>> >> >>Можно, но не нужно. >>На crypto isakmp policy 125 и на crypto isakmp policy 121 повешены >>разные ACL. > >В смысле? Они одинаковые.... Это вопрос не решает. >[оверквотинг удален] >>А если удалю и посажу все на один криптомап, тогда будет: >>Все что на Ethernet1 будет работать, а то что Ethernet2 - нет. >> > >Не так... >Кодовая фраза: >set peer xxx.xxx.xxx.xxx > >Трансформ-сеты и политика IKE у вас одинаковая. Не нужно ее дублировать (Ну, >или писать правильно)... Это вопрос не решает. > > >>Debug crypto isakmp на удаленной точке показывает следующее: >>Отправляем пакет на IP имени Ethernet2. >>Получаем обратно с IP имени Ethernet1. >>Eth2 с циской соединен патчкордом. > >"Дефолтный роут, часом, не в сторону Ethernet1 смотрит?" >Вот. Тогда, именно такое поведение... ;) Глупость. >>>А вот дальше опубликуйте топологию.... >>>Дефолтный роут, часом, не в сторону Ethernet1 смотрит? >> >>Нет. > >Публикуйте топологию и весь нужный конфиг... С вашими ACL.... Причем тут ACL? Написал выше: Крипта через mymap1 работает нормально. Через mymap2 нет. На удаленной в debug crypto isakmp никаких движений. А если удалю и посажу все на один криптомап, тогда будет: Все что на Ethernet1 будет работать, а то что Ethernet2 - нет. Debug crypto isakmp на удаленной точке показывает следующее: Отправляем пакет на IP имени Ethernet2. Получаем обратно с IP имени Ethernet1.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	5. "Несколько криптомапов."		+/–
	Сообщение от j_vw on 13-Мрт-10, 16:13
	Дело ваше.... Не мне же ЭТО надо.... Могу сказать, что у меня есть "боевые" конфиги, которые работают.... И мепы на десяток сайтов с каждого интерфейса... С разной авторизацией.... И Одинаковые карты на разных интерфейсах, но с разными условиями.... Удачи... P.S. А про "глупость".... Ну-ну....Дерзайте ;)
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору