forum.opennet.ru - "Две крипто-карты.Не могу объединить в одну." (2)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Две крипто-карты.Не могу объединить в одну."

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Две крипто-карты.Не могу объединить в одну."	+/–
Сообщение от spawel (??) on 25-Окт-12, 11:10
Всем дорого времени суток! Имеем роутер cisco 1841. Есть канал к провайдеру. Через этот канал нужно организовать доступ мобильных клиентов через Cisco Vpn Client, а также связать с партнерской сетью через gre туннель. Соотв. нужно сделать две крипто-карты, создать для них профили, объединить их в одной динамической крипто-карте, а уже потом сделать полноценную и назначить ее на интерфейс. Крипто-карты уже есть, одна динамическая для моб.клиентов, вторая статическая с явным указанием пиров. Раньше было два независимых канала до провайдера и я прекрасно раскидывал два разных впн по двум каналам, назначая каждому из них по крипто-карте. Я пробовал старый метод, в котором можно подцепить к статической крипто-карте динамическую. При этом имя карты сохраняется, просто указываются разные числа приоритета. Пример: crypto map vpn 10 ipsec-isakmp crypto map vpn 20 ipsec-isakmp dynamic MyVPN Я делал что-то подобное: сrypto map pgp-to-skm-map 10 ipsec-isakmp сrypto map pgp-to-skm-map 20 ipsec-isakmp ipsec-isakmp dynamic pgp-vpn-map и потом назначал pgp-to-skm-map к интерфейсу, но эта затея не увенчалась успехом. Далее я узнал что сейчас нужно делать профили isakmp, объединять их в динамической крипто-карте и затем делать статичную крипо-карту. http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con... но и тут ничего не получилось. Ниже привожу конфиг роутера касаемо впн. crypto isakmp policy 1 encr 3des authentication pre-share group 2 ! crypto isakmp policy 2 encr aes 256 authentication pre-share group 5 lifetime 3600 crypto isakmp key BLABLABLA address 0.0.0.0 0.0.0.0 ! crypto isakmp client configuration group pgp-vpn-group key BLABLA dns 192.168.1.1 wins 192.168.1.1 domain local.ru pool pgp-vpn-pool acl 150 netmask 255.255.255.0 ! crypto isakmp client configuration group pgp-vpn-pool netmask 255.255.255.0 ! crypto ipsec security-association lifetime seconds 1800 ! crypto ipsec transform-set mytrans esp-3des esp-sha-hmac crypto ipsec transform-set mytrans2 esp-aes 256 esp-sha-hmac mode transport ! crypto dynamic-map pgp-vpn-map 10 set transform-set mytrans reverse-route ! ! crypto map pgp-to-skm-map local-address FastEthernet0/1.44 crypto map pgp-to-skm-map 10 ipsec-isakmp set peer ХХ.ХХ.ХХ.ХХ set security-association lifetime seconds 900 set transform-set mytrans2 set pfs group5 match address 111 ! crypto map pgp-vpn-map client authentication list default crypto map pgp-vpn-map isakmp authorization list default crypto map pgp-vpn-map client configuration address respond crypto map pgp-vpn-map 10 ipsec-isakmp dynamic pgp-vpn-map ! ! ! interface Tunnel1 description VPN to MAINCOMP bandwidth 10000 ip address 172.16.11.1 255.255.255.252 tunnel source YY.YY.YY.YY tunnel destination XX.XX.XX.XX Ну и соответственно назначение крипто-карты внешнему интерфейсу. Прошу у Вас помощи в настройке связки двух крипто-карт для одновременного доступа к впн. Заранее благодарен.
Ответить \| Правка \| Cообщить модератору

Оглавление

Две крипто-карты.Не могу объединить в одну., GolDi, 12:13 , 25-Окт-12, (1)

Две крипто-карты.Не могу объединить в одну., spawel, 21:24 , 25-Окт-12, (2)

Сообщения по теме [Сортировка по времени | RSS]

1. "Две крипто-карты.Не могу объединить в одну." +/–

Сообщение от GolDi (??) on 25-Окт-12, 12:13

>[оверквотинг удален]
> interface Tunnel1
> description VPN to MAINCOMP
> bandwidth 10000
> ip address 172.16.11.1 255.255.255.252
> tunnel source YY.YY.YY.YY
> tunnel destination XX.XX.XX.XX
> Ну и соответственно назначение крипто-карты внешнему интерфейсу.
> Прошу у Вас помощи в настройке связки двух крипто-карт для одновременного доступа
> к впн.
> Заранее благодарен.
Посмотрите тут
http://www.certification.ru/cgi-bin/forum.cgi?action=thread&...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Две крипто-карты.Не могу объединить в одну." +/–

Сообщение от spawel (??) on 25-Окт-12, 21:24

>[оверквотинг удален]
>> bandwidth 10000
>> ip address 172.16.11.1 255.255.255.252
>> tunnel source YY.YY.YY.YY
>> tunnel destination XX.XX.XX.XX
>> Ну и соответственно назначение крипто-карты внешнему интерфейсу.
>> Прошу у Вас помощи в настройке связки двух крипто-карт для одновременного доступа
>> к впн.
>> Заранее благодарен.
> Посмотрите тут
> http://www.certification.ru/cgi-bin/forum.cgi?action=thread&...
Спасибо огромное. Нашел ответ. Сейчас все работает. Нужно было сделать профиль только на туннель для мобильных пользователей.
Привожу рабочий конфиг двух крипто-карт для разных видов туннелей.

crypto isakmp key ХХХХХХХХ address 0.0.0.0 0.0.0.0
!
crypto isakmp client configuration group pgp-vpn-group
key XXXXXXXXXXX
dns 192.168.1.1
wins 192.168.1.1
domain local.ru
pool pgp-vpn-pool
acl 150
netmask 255.255.255.0
!
crypto isakmp client configuration group pgp-vpn-pool
netmask 255.255.255.0
crypto isakmp profile vpn
   match identity group pgp-vpn-group
   client authentication list default
   isakmp authorization list default
   client configuration address respond
!
crypto ipsec security-association lifetime seconds 1800
!
crypto ipsec transform-set mytrans esp-3des esp-sha-hmac
crypto ipsec transform-set mytrans2 esp-aes 256 esp-sha-hmac
mode transport
!
crypto dynamic-map vpn-map 10
set transform-set mytrans
set isakmp-profile vpn
reverse-route
!
!
crypto map supermap local-address FastEthernet0/1.22
crypto map supermap 10 ipsec-isakmp
set peer XX.XX.XX.XX
set security-association lifetime seconds 900
set transform-set mytrans2
set pfs group5
match address 111
crypto map supermap 100 ipsec-isakmp dynamic vpn-map

Большое спасибо за ценную и нужную информацию!

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Две крипто-карты.Не могу объединить в одну."	+/–
Сообщение от GolDi (??) on 25-Окт-12, 12:13
>[оверквотинг удален] > interface Tunnel1 > description VPN to MAINCOMP > bandwidth 10000 > ip address 172.16.11.1 255.255.255.252 > tunnel source YY.YY.YY.YY > tunnel destination XX.XX.XX.XX > Ну и соответственно назначение крипто-карты внешнему интерфейсу. > Прошу у Вас помощи в настройке связки двух крипто-карт для одновременного доступа > к впн. > Заранее благодарен. Посмотрите тут http://www.certification.ru/cgi-bin/forum.cgi?action=thread&...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Две крипто-карты.Не могу объединить в одну."	+/–
	Сообщение от spawel (??) on 25-Окт-12, 21:24
	>[оверквотинг удален] >> bandwidth 10000 >> ip address 172.16.11.1 255.255.255.252 >> tunnel source YY.YY.YY.YY >> tunnel destination XX.XX.XX.XX >> Ну и соответственно назначение крипто-карты внешнему интерфейсу. >> Прошу у Вас помощи в настройке связки двух крипто-карт для одновременного доступа >> к впн. >> Заранее благодарен. > Посмотрите тут > http://www.certification.ru/cgi-bin/forum.cgi?action=thread&... Спасибо огромное. Нашел ответ. Сейчас все работает. Нужно было сделать профиль только на туннель для мобильных пользователей. Привожу рабочий конфиг двух крипто-карт для разных видов туннелей. crypto isakmp key ХХХХХХХХ address 0.0.0.0 0.0.0.0 ! crypto isakmp client configuration group pgp-vpn-group key XXXXXXXXXXX dns 192.168.1.1 wins 192.168.1.1 domain local.ru pool pgp-vpn-pool acl 150 netmask 255.255.255.0 ! crypto isakmp client configuration group pgp-vpn-pool netmask 255.255.255.0 crypto isakmp profile vpn match identity group pgp-vpn-group client authentication list default isakmp authorization list default client configuration address respond ! crypto ipsec security-association lifetime seconds 1800 ! crypto ipsec transform-set mytrans esp-3des esp-sha-hmac crypto ipsec transform-set mytrans2 esp-aes 256 esp-sha-hmac mode transport ! crypto dynamic-map vpn-map 10 set transform-set mytrans set isakmp-profile vpn reverse-route ! ! crypto map supermap local-address FastEthernet0/1.22 crypto map supermap 10 ipsec-isakmp set peer XX.XX.XX.XX set security-association lifetime seconds 900 set transform-set mytrans2 set pfs group5 match address 111 crypto map supermap 100 ipsec-isakmp dynamic vpn-map Большое спасибо за ценную и нужную информацию!
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору