forum.opennet.ru - "Настройка Easy VPN Server" (9)

"Настройка Easy VPN Server"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Настройка Easy VPN Server"	+/–
Сообщение от motok (ok) on 27-Фев-18, 17:05
Cisco 881 PCI k9 Пытаюсь настроить Easy VPN Server. На маршрутизаторе уже настроен VPN туннель Site-to-Site. На WAN интерфейсе включен crypto map. Если пытаюсь подключить второй crypto map созданный для Easy VPN Server, то первый отключается. Подскажите, можно ли использовать две крипто карты на интерфейсе?
Ответить \| Правка \| Cообщить модератору

Оглавление

Настройка Easy VPN Server, shadow_alone, 21:49 , 27-Фев-18, (1)

Настройка Easy VPN Server, motok, 22:07 , 27-Фев-18, (2)

Настройка Easy VPN Server, motok, 12:48 , 28-Фев-18, (3)

Настройка Easy VPN Server, AlexDv, 13:43 , 28-Фев-18, (4)

Настройка Easy VPN Server, motok, 13:48 , 28-Фев-18, (5)

Настройка Easy VPN Server, AlexDv, 14:09 , 28-Фев-18, (6)

Настройка Easy VPN Server, motok, 14:22 , 28-Фев-18, (7)

Настройка Easy VPN Server, motok, 15:29 , 28-Фев-18, (8)

Настройка Easy VPN Server, motok, 17:40 , 28-Фев-18, (9)

Сообщения по теме [Сортировка по времени | RSS]

1. "Настройка Easy VPN Server" +/–

Сообщение от shadow_alone (ok) on 27-Фев-18, 21:49

Используй одно и тоже имя для криптомяпы, только с разным весом, и всё.
-------
crypto map sheepnet 19 ipsec-isakmp
crypto map sheepnet 19 match address TORANCH1
crypto map sheepnet 19 set peer 191.105.128.241
crypto map sheepnet 19 set transform-set ranch
crypto map sheepnet 20 ipsec-isakmp
crypto map sheepnet 20 match address TORANCH2
crypto map sheepnet 20 set peer <ranch2 ip>
crypto map sheepnet 20 set transform-set ranch
crypto map sheepnet 21 ipsec-isakmp
crypto map sheepnet 21 match address TORANCH3
crypto map sheepnet 21 set peer <ranch3 ip> <-- "peer" is remote router IP
crypto map sheepnet 21 set transform-set ranch2 <-- if you want different transform-set
--------

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Настройка Easy VPN Server" +/–

Сообщение от motok (ok) on 27-Фев-18, 22:07

> Используй одно и тоже имя для криптомяпы, только с разным весом, и
> всё.
В Easy VPN Server динамическая карта, ее нужно подключить к статичной. У меня есть статичная карта которая подключена к WAN интерфейсу с именем crypto map SDM_CMAP_2. Правильно ли я ввел команду crypto map SDM_CMAP_2 2 ipsec-isakmp dynamic DYNVPN (при имени динамической карты DYNVPN)? Я сделал так. Пробую теперь подключится через Cisco VPN Client. Авторизация группы проходит, а вот после авторизации пользователя появляется строка в нижней части: negotiation secure policy и сразу Not connected. Show crypto session показывает:
Interface: FastEthernet4
Username: USER-EVPN
Profile: VPN-CLIENT
Group: GROUP-EVPN
Assigned address: 192.168.3.49
Session status: UP-IDLE
Peer: 109.*.*.* port 55979
IKEv1 SA: local 84.*.*.*/4500 remote 109.*.*.*/55979 Active
Т.е. попытку подключения видит. В чем может быть проблема?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Настройка Easy VPN Server" +/–

Сообщение от motok (ok) on 28-Фев-18, 12:48

Конфиг чуть ниже... В циске не силен, поэтому полез искать ошибки через ccp. Динамическую карту нашел в разделе edit site to site со статусом Down. Там же запустил тест динамического туннеля. Выскочило предупреждение и возможное решение:
There are IKE policies configured with Pre-shared key authentication method but there is no global Pre-shared key configured.
If the other end VPN device is configured with a Pre-shared key then configure a global Pre-shared key with wild card mask (0.0.0.0 0.0.0.0). To configure the Pre-shared key go to 'Configure->VPN->VPN Components->IKE->Pre-shared Keys'.
Я немного не понял, он хочет чтоб я ввел какой то общий ключ? В общем прошу помощи.
enable secret 4 WIt8jvB9k8OmgaoqfrYwU//PXImqYGmcAxH9SvUrP.Q
!
aaa new-model
aaa authentication login EVPN local
aaa authorization network GROUP-EVPN local
aaa session-id common
!
crypto pki trustpoint TP-self-signed-3162
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3162
revocation-check none
rsakeypair TP-self-signed-31627
!
multilink bundle-name authenticated
license udi pid CISCO881-PCI-K9 sn FCZ
license boot module c880-data level advipservices
!
!
username 88888 privilege 15 view root secret 4 WIt8jvB9k8OmgaoqfrYwU//PXImq
username USER-EVPN password 0 88888888
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
crypto isakmp key 111111111 address 84.*.*.*
!
crypto isakmp client configuration group GROUP-EVPN
key 999999999
dns 192.168.3.1
wins 192.168.3.1
domain domain.metiz.ru
pool VPN-POOL
acl 110
crypto isakmp profile VPN-CLIENT
match identity group GROUP-EVPN
client authentication list EVPN
isakmp authorization list GROUP-EVPN
client configuration address respond
!
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac
!
crypto dynamic-map DYNMAP 10
set transform-set 3DES-MD5
set isakmp-profile VPN-CLIENT
reverse-route
!
crypto map SDM_CMAP_2 1 ipsec-isakmp
description Tunnel to84.*****
set peer 84.******
set transform-set ESP-3DES-SHA1
match address 103
crypto map SDM_CMAP_2 64000 ipsec-isakmp dynamic DYNMAP
!
interface FastEthernet4
description Internet$ETH-WAN$
ip address 84.*.*.* 255.255.255.248
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
crypto map SDM_CMAP_2
!
ip local pool VPN-POOL 192.168.3.40 192.168.3.50
!
ip flow-export version 5
ip flow-export destination 169.254.0.7 9996
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 84.47.*.*
!
access-list 23 permit
access-list 23 permit
access-list 103
access-list 104
!
route-map SDM_RMAP_1 permit 1
match ip address 104
match interface FastEthernet4

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Настройка Easy VPN Server" +/–

Сообщение от AlexDv (??) on 28-Фев-18, 13:43

> Конфиг чуть ниже... В циске не силен, поэтому полез искать ошибки через
> ccp. Динамическую карту нашел в разделе edit site to site со
> статусом Down. Там же запустил тест динамического туннеля. Выскочило предупреждение и
> возможное решение:
> There are IKE policies configured with Pre-shared key authentication method but there
> is no global Pre-shared key configured.
> If the other end VPN device is configured with a Pre-shared key
> then configure a global Pre-shared key with wild card mask (0.0.0.0
> 0.0.0.0). To configure the Pre-shared key go to 'Configure->VPN->VPN Components->IKE->Pre-shared
> Keys'.
Предупреждает, что нужен ключ для любого IP.
crypto isakmp key 2222222 address 0.0.0.0 0.0.0.0

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Настройка Easy VPN Server" +/–

Сообщение от motok (ok) on 28-Фев-18, 13:48

>[оверквотинг удален]
>> статусом Down. Там же запустил тест динамического туннеля. Выскочило предупреждение и
>> возможное решение:
>> There are IKE policies configured with Pre-shared key authentication method but there
>> is no global Pre-shared key configured.
>> If the other end VPN device is configured with a Pre-shared key
>> then configure a global Pre-shared key with wild card mask (0.0.0.0
>> 0.0.0.0). To configure the Pre-shared key go to 'Configure->VPN->VPN Components->IKE->Pre-shared
>> Keys'.
> Предупреждает, что нужен ключ для любого IP.
> crypto isakmp key 2222222 address 0.0.0.0 0.0.0.0
т.е. не только для 84.*.*.*? Этот ключ для чего будет применяться? Для имеющего vpn site to site или для всех VPN соединений?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Настройка Easy VPN Server" +/–

Сообщение от AlexDv (??) on 28-Фев-18, 14:09

>[оверквотинг удален]
>>> There are IKE policies configured with Pre-shared key authentication method but there
>>> is no global Pre-shared key configured.
>>> If the other end VPN device is configured with a Pre-shared key
>>> then configure a global Pre-shared key with wild card mask (0.0.0.0
>>> 0.0.0.0). To configure the Pre-shared key go to 'Configure->VPN->VPN Components->IKE->Pre-shared
>>> Keys'.
>> Предупреждает, что нужен ключ для любого IP.
>> crypto isakmp key 2222222 address 0.0.0.0 0.0.0.0
> т.е. не только для 84.*.*.*? Этот ключ для чего будет применяться? Для
> имеющего vpn site to site или для всех VPN соединений?
Если у вас есть ключ для конкретного ип - будет применяться он, для всех остальных ключ 0.0.0.0 0.0.0.0

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Настройка Easy VPN Server" +/–

Сообщение от motok (ok) on 28-Фев-18, 14:22

>[оверквотинг удален]
>>>> If the other end VPN device is configured with a Pre-shared key
>>>> then configure a global Pre-shared key with wild card mask (0.0.0.0
>>>> 0.0.0.0). To configure the Pre-shared key go to 'Configure->VPN->VPN Components->IKE->Pre-shared
>>>> Keys'.
>>> Предупреждает, что нужен ключ для любого IP.
>>> crypto isakmp key 2222222 address 0.0.0.0 0.0.0.0
>> т.е. не только для 84.*.*.*? Этот ключ для чего будет применяться? Для
>> имеющего vpn site to site или для всех VPN соединений?
> Если у вас есть ключ для конкретного ип - будет применяться он,
> для всех остальных ключ 0.0.0.0 0.0.0.0
Сеичас у меня есть ключ для удаленного ip (site to site vpn). Получается, мне нужно создать еще один ключ для всех остальных (0.0.0.0 0.0.0.0). А как его тогда вводить клиентам в cisco vpn client? Я имею ввиду вообще для чего он? cisco vpn client насколько я понял делает авторизацию по созданной политике. А там указана авторизация группе и пользователю, что и указывается в vpn client.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Настройка Easy VPN Server" +/–

Сообщение от motok (ok) on 28-Фев-18, 15:29

> Сеичас у меня есть ключ для удаленного ip (site to site vpn).
> Получается, мне нужно создать еще один ключ для всех остальных (0.0.0.0
> 0.0.0.0). А как его тогда вводить клиентам в cisco vpn client?
> Я имею ввиду вообще для чего он? cisco vpn client насколько
> я понял делает авторизацию по созданной политике. А там указана авторизация
> группе и пользователю, что и указывается в vpn client.
Сделал для "всех остальных ip" ключ. Теперь динамическая карта тест проходит. Но статус у карты - Down остался. И соединениться так же не дает. У клиента та же ошибка.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Настройка Easy VPN Server" +/–

Сообщение от motok (ok) on 28-Фев-18, 17:40

Т.е. у меня сеичас вопрос, почему у динамического туннеля статус Down. Хотя тест сеичас проходит без ошибок.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Настройка Easy VPN Server"	+/–
Сообщение от shadow_alone (ok) on 27-Фев-18, 21:49
Используй одно и тоже имя для криптомяпы, только с разным весом, и всё. ------- crypto map sheepnet 19 ipsec-isakmp crypto map sheepnet 19 match address TORANCH1 crypto map sheepnet 19 set peer 191.105.128.241 crypto map sheepnet 19 set transform-set ranch crypto map sheepnet 20 ipsec-isakmp crypto map sheepnet 20 match address TORANCH2 crypto map sheepnet 20 set peer <ranch2 ip> crypto map sheepnet 20 set transform-set ranch crypto map sheepnet 21 ipsec-isakmp crypto map sheepnet 21 match address TORANCH3 crypto map sheepnet 21 set peer <ranch3 ip> <-- "peer" is remote router IP crypto map sheepnet 21 set transform-set ranch2 <-- if you want different transform-set --------
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Настройка Easy VPN Server"	+/–
	Сообщение от motok (ok) on 27-Фев-18, 22:07
	> Используй одно и тоже имя для криптомяпы, только с разным весом, и > всё. В Easy VPN Server динамическая карта, ее нужно подключить к статичной. У меня есть статичная карта которая подключена к WAN интерфейсу с именем crypto map SDM_CMAP_2. Правильно ли я ввел команду crypto map SDM_CMAP_2 2 ipsec-isakmp dynamic DYNVPN (при имени динамической карты DYNVPN)? Я сделал так. Пробую теперь подключится через Cisco VPN Client. Авторизация группы проходит, а вот после авторизации пользователя появляется строка в нижней части: negotiation secure policy и сразу Not connected. Show crypto session показывает: Interface: FastEthernet4 Username: USER-EVPN Profile: VPN-CLIENT Group: GROUP-EVPN Assigned address: 192.168.3.49 Session status: UP-IDLE Peer: 109...* port 55979 IKEv1 SA: local 84.../4500 remote 109.../55979 Active Т.е. попытку подключения видит. В чем может быть проблема?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Настройка Easy VPN Server"	+/–
	Сообщение от motok (ok) on 28-Фев-18, 12:48
	Конфиг чуть ниже... В циске не силен, поэтому полез искать ошибки через ccp. Динамическую карту нашел в разделе edit site to site со статусом Down. Там же запустил тест динамического туннеля. Выскочило предупреждение и возможное решение: There are IKE policies configured with Pre-shared key authentication method but there is no global Pre-shared key configured. If the other end VPN device is configured with a Pre-shared key then configure a global Pre-shared key with wild card mask (0.0.0.0 0.0.0.0). To configure the Pre-shared key go to 'Configure->VPN->VPN Components->IKE->Pre-shared Keys'. Я немного не понял, он хочет чтоб я ввел какой то общий ключ? В общем прошу помощи. enable secret 4 WIt8jvB9k8OmgaoqfrYwU//PXImqYGmcAxH9SvUrP.Q ! aaa new-model aaa authentication login EVPN local aaa authorization network GROUP-EVPN local aaa session-id common ! crypto pki trustpoint TP-self-signed-3162 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-3162 revocation-check none rsakeypair TP-self-signed-31627 ! multilink bundle-name authenticated license udi pid CISCO881-PCI-K9 sn FCZ license boot module c880-data level advipservices ! ! username 88888 privilege 15 view root secret 4 WIt8jvB9k8OmgaoqfrYwU//PXImq username USER-EVPN password 0 88888888 ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 ! crypto isakmp policy 10 hash md5 authentication pre-share group 2 crypto isakmp key 111111111 address 84...* ! crypto isakmp client configuration group GROUP-EVPN key 999999999 dns 192.168.3.1 wins 192.168.3.1 domain domain.metiz.ru pool VPN-POOL acl 110 crypto isakmp profile VPN-CLIENT match identity group GROUP-EVPN client authentication list EVPN isakmp authorization list GROUP-EVPN client configuration address respond ! crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac ! crypto dynamic-map DYNMAP 10 set transform-set 3DES-MD5 set isakmp-profile VPN-CLIENT reverse-route ! crypto map SDM_CMAP_2 1 ipsec-isakmp description Tunnel to84.*** set peer 84.**** set transform-set ESP-3DES-SHA1 match address 103 crypto map SDM_CMAP_2 64000 ipsec-isakmp dynamic DYNMAP ! interface FastEthernet4 description Internet$ETH-WAN$ ip address 84...* 255.255.255.248 ip nat outside ip virtual-reassembly in duplex auto speed auto crypto map SDM_CMAP_2 ! ip local pool VPN-POOL 192.168.3.40 192.168.3.50 ! ip flow-export version 5 ip flow-export destination 169.254.0.7 9996 ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload ip route 0.0.0.0 0.0.0.0 84.47.. ! access-list 23 permit access-list 23 permit access-list 103 access-list 104 ! route-map SDM_RMAP_1 permit 1 match ip address 104 match interface FastEthernet4
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Настройка Easy VPN Server"	+/–
	Сообщение от AlexDv (??) on 28-Фев-18, 13:43
	> Конфиг чуть ниже... В циске не силен, поэтому полез искать ошибки через > ccp. Динамическую карту нашел в разделе edit site to site со > статусом Down. Там же запустил тест динамического туннеля. Выскочило предупреждение и > возможное решение: > There are IKE policies configured with Pre-shared key authentication method but there > is no global Pre-shared key configured. > If the other end VPN device is configured with a Pre-shared key > then configure a global Pre-shared key with wild card mask (0.0.0.0 > 0.0.0.0). To configure the Pre-shared key go to 'Configure->VPN->VPN Components->IKE->Pre-shared > Keys'. Предупреждает, что нужен ключ для любого IP. crypto isakmp key 2222222 address 0.0.0.0 0.0.0.0
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Настройка Easy VPN Server"	+/–
	Сообщение от motok (ok) on 28-Фев-18, 13:48
	>[оверквотинг удален] >> статусом Down. Там же запустил тест динамического туннеля. Выскочило предупреждение и >> возможное решение: >> There are IKE policies configured with Pre-shared key authentication method but there >> is no global Pre-shared key configured. >> If the other end VPN device is configured with a Pre-shared key >> then configure a global Pre-shared key with wild card mask (0.0.0.0 >> 0.0.0.0). To configure the Pre-shared key go to 'Configure->VPN->VPN Components->IKE->Pre-shared >> Keys'. > Предупреждает, что нужен ключ для любого IP. > crypto isakmp key 2222222 address 0.0.0.0 0.0.0.0 т.е. не только для 84...*? Этот ключ для чего будет применяться? Для имеющего vpn site to site или для всех VPN соединений?
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Настройка Easy VPN Server"	+/–
	Сообщение от AlexDv (??) on 28-Фев-18, 14:09
	>[оверквотинг удален] >>> There are IKE policies configured with Pre-shared key authentication method but there >>> is no global Pre-shared key configured. >>> If the other end VPN device is configured with a Pre-shared key >>> then configure a global Pre-shared key with wild card mask (0.0.0.0 >>> 0.0.0.0). To configure the Pre-shared key go to 'Configure->VPN->VPN Components->IKE->Pre-shared >>> Keys'. >> Предупреждает, что нужен ключ для любого IP. >> crypto isakmp key 2222222 address 0.0.0.0 0.0.0.0 > т.е. не только для 84...*? Этот ключ для чего будет применяться? Для > имеющего vpn site to site или для всех VPN соединений? Если у вас есть ключ для конкретного ип - будет применяться он, для всех остальных ключ 0.0.0.0 0.0.0.0
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Настройка Easy VPN Server"	+/–
	Сообщение от motok (ok) on 28-Фев-18, 14:22
	>[оверквотинг удален] >>>> If the other end VPN device is configured with a Pre-shared key >>>> then configure a global Pre-shared key with wild card mask (0.0.0.0 >>>> 0.0.0.0). To configure the Pre-shared key go to 'Configure->VPN->VPN Components->IKE->Pre-shared >>>> Keys'. >>> Предупреждает, что нужен ключ для любого IP. >>> crypto isakmp key 2222222 address 0.0.0.0 0.0.0.0 >> т.е. не только для 84...*? Этот ключ для чего будет применяться? Для >> имеющего vpn site to site или для всех VPN соединений? > Если у вас есть ключ для конкретного ип - будет применяться он, > для всех остальных ключ 0.0.0.0 0.0.0.0 Сеичас у меня есть ключ для удаленного ip (site to site vpn). Получается, мне нужно создать еще один ключ для всех остальных (0.0.0.0 0.0.0.0). А как его тогда вводить клиентам в cisco vpn client? Я имею ввиду вообще для чего он? cisco vpn client насколько я понял делает авторизацию по созданной политике. А там указана авторизация группе и пользователю, что и указывается в vpn client.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "Настройка Easy VPN Server"	+/–
	Сообщение от motok (ok) on 28-Фев-18, 15:29
	> Сеичас у меня есть ключ для удаленного ip (site to site vpn). > Получается, мне нужно создать еще один ключ для всех остальных (0.0.0.0 > 0.0.0.0). А как его тогда вводить клиентам в cisco vpn client? > Я имею ввиду вообще для чего он? cisco vpn client насколько > я понял делает авторизацию по созданной политике. А там указана авторизация > группе и пользователю, что и указывается в vpn client. Сделал для "всех остальных ip" ключ. Теперь динамическая карта тест проходит. Но статус у карты - Down остался. И соединениться так же не дает. У клиента та же ошибка.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Настройка Easy VPN Server"	+/–
	Сообщение от motok (ok) on 28-Фев-18, 17:40
	Т.е. у меня сеичас вопрос, почему у динамического туннеля статус Down. Хотя тест сеичас проходит без ошибок.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору