The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Несколько криптомапов."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"Несколько криптомапов."  +/
Сообщение от burban (ok) on 11-Мрт-10, 21:17 
Добрый день, господа.
Имею:

crypto isakmp policy 121
encr 3des
hash md5
authentication pre-share
group 2
lifetime 1800
!
crypto isakmp policy 125
encr 3des
hash md5
authentication pre-share
group 2
lifetime 1800
!
crypto ipsec transform-set Link1 esp-3des esp-md5-hmac
crypto ipsec transform-set Link2 esp-3des esp-md5-hmac
!
crypto map mymap1 local-address Ethernet1
crypto map mymap1 121 ipsec-isakmp
set peer xxx.xxx.xxx.xxx
set transform-set Link1
set pfs group2
match address 121
!
crypto map mymap2 local-address Ethernet2
crypto map mymap2 125 ipsec-isakmp
set peer yyy.yyy.yyy.yyy
set transform-set Link2
set pfs group2
match address 125
!
Ethernet1
crypto map mymap1
!
Ethernet2
crypto map mymap2

Крипта через mymap1 работает нормально.
Через mymap2 нет. На удаленной в debug crypto isakmp никаких движений.

Подскажите пожалуйста что еще забыл?

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Несколько криптомапов."  +/
Сообщение от j_vw on 12-Мрт-10, 00:22 
Ну, начнем с того, что crypto isakmp policy 125 можно спокойно удалить.
У вас, все равно будет отрабатывать crypto isakmp policy 121.
То же самое crypto ipsec transform-set Link2 esp-3des esp-md5-hmac
Применяйте set transform-set Link1 на обеих интерфейсах.
И эти строки:
crypto map mymap1 local-address Ethernet1
crypto map mymap2 local-address Ethernet2
удалите.

А вот дальше опубликуйте топологию....
Дефолтный роут, часом, не в сторону Ethernet1 смотрит?

P.S. Если уж хотите делить, то смотрите в сторону isakmp(ipsec ) profile-keyring


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Несколько криптомапов."  +/
Сообщение от burban (ok) on 12-Мрт-10, 21:15 
>Ну, начнем с того, что crypto isakmp policy 125 можно спокойно удалить.
>

Можно, но не нужно.
На crypto isakmp policy 125 и на crypto isakmp policy 121 повешены разные ACL.

>У вас, все равно будет отрабатывать crypto isakmp policy 121.
>То же самое crypto ipsec transform-set Link2 esp-3des esp-md5-hmac
>Применяйте set transform-set Link1 на обеих интерфейсах.
>И эти строки:
>crypto map mymap1 local-address Ethernet1
>crypto map mymap2 local-address Ethernet2
>удалите.

А если удалю и посажу все на один криптомап, тогда будет:
Все что на Ethernet1 будет работать, а то что Ethernet2 - нет.
Debug crypto isakmp на удаленной точке показывает следующее:
Отправляем пакет на IP имени Ethernet2.
Получаем обратно с  IP имени Ethernet1.
Eth2 с циской соединен патчкордом.

Ну и бесусловно ругань и все такое.

Именно для этого и возник второй криптомап.

>А вот дальше опубликуйте топологию....
>Дефолтный роут, часом, не в сторону Ethernet1 смотрит?

Нет.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Несколько криптомапов."  +/
Сообщение от j_vw on 12-Мрт-10, 21:44 
>>Ну, начнем с того, что crypto isakmp policy 125 можно спокойно удалить.
>>
>
>Можно, но не нужно.
>На crypto isakmp policy 125 и на crypto isakmp policy 121 повешены
>разные ACL.

В смысле? Они одинаковые....

>[оверквотинг удален]
>>То же самое crypto ipsec transform-set Link2 esp-3des esp-md5-hmac
>>Применяйте set transform-set Link1 на обеих интерфейсах.
>>И эти строки:
>>crypto map mymap1 local-address Ethernet1
>>crypto map mymap2 local-address Ethernet2
>>удалите.
>
>А если удалю и посажу все на один криптомап, тогда будет:
>Все что на Ethernet1 будет работать, а то что Ethernet2 - нет.
>

Не так...
Кодовая фраза:
set peer xxx.xxx.xxx.xxx

Трансформ-сеты и политика IKE у вас одинаковая. Не нужно ее дублировать (Ну, или писать правильно)...


>Debug crypto isakmp на удаленной точке показывает следующее:
>Отправляем пакет на IP имени Ethernet2.
>Получаем обратно с  IP имени Ethernet1.
>Eth2 с циской соединен патчкордом.

"Дефолтный роут, часом, не в сторону Ethernet1 смотрит?"
Вот. Тогда, именно такое поведение... ;)


>>А вот дальше опубликуйте топологию....
>>Дефолтный роут, часом, не в сторону Ethernet1 смотрит?
>
>Нет.

Публикуйте топологию и весь нужный конфиг... С вашими ACL....

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Несколько криптомапов."  +/
Сообщение от burban (??) on 13-Мрт-10, 04:09 
>>>Ну, начнем с того, что crypto isakmp policy 125 можно спокойно удалить.
>>>
>>
>>Можно, но не нужно.
>>На crypto isakmp policy 125 и на crypto isakmp policy 121 повешены
>>разные ACL.
>
>В смысле? Они одинаковые....

Это вопрос не решает.

>[оверквотинг удален]
>>А если удалю и посажу все на один криптомап, тогда будет:
>>Все что на Ethernet1 будет работать, а то что Ethernet2 - нет.
>>
>
>Не так...
>Кодовая фраза:
>set peer xxx.xxx.xxx.xxx
>
>Трансформ-сеты и политика IKE у вас одинаковая. Не нужно ее дублировать (Ну,
>или писать правильно)...

Это вопрос не решает.

>
>
>>Debug crypto isakmp на удаленной точке показывает следующее:
>>Отправляем пакет на IP имени Ethernet2.
>>Получаем обратно с  IP имени Ethernet1.
>>Eth2 с циской соединен патчкордом.
>
>"Дефолтный роут, часом, не в сторону Ethernet1 смотрит?"
>Вот. Тогда, именно такое поведение... ;)

Глупость.

>>>А вот дальше опубликуйте топологию....
>>>Дефолтный роут, часом, не в сторону Ethernet1 смотрит?
>>
>>Нет.
>
>Публикуйте топологию и весь нужный конфиг... С вашими ACL....

Причем тут ACL?

Написал выше:

Крипта через mymap1 работает нормально.
Через mymap2 нет. На удаленной в debug crypto isakmp никаких движений.

А если удалю и посажу все на один криптомап, тогда будет:
Все что на Ethernet1 будет работать, а то что Ethernet2 - нет.
Debug crypto isakmp на удаленной точке показывает следующее:
Отправляем пакет на IP имени Ethernet2.
Получаем обратно с  IP имени Ethernet1.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Несколько криптомапов."  +/
Сообщение от j_vw on 13-Мрт-10, 16:13 
Дело ваше....
Не мне же ЭТО надо....
Могу сказать, что у меня есть "боевые" конфиги, которые работают....
И мепы на десяток сайтов с каждого интерфейса... С разной авторизацией....
И Одинаковые карты на разных интерфейсах, но с разными условиями....

Удачи...
P.S. А про "глупость".... Ну-ну....Дерзайте ;)


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру