форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

"Настройка site-to-site и remote access vpn на маршрутизаторе"	+/–
Сообщение от CTV (ok) on 27-Июн-12, 19:39
Добрый день Помогите решить проблему Есть два офиса которые надо перевязать и также организовать доступ сотрудников в один из офисов через интернет. Схема вот http://i009.radikal.ru/1206/40/e050d2cf7d3f.jpg На ASA в офисе 2 настраиваю IPSEC Site-to-Site VPN, в офисе 1 на маршрутизаторе настраиваю Remote Acces VPN для сотрудников и Site-to-Site для второго офиса. Сотрудники цепляются нормально, vpn живет без проблем. А вот с l2l туннелем проблема. Если первым инициирует туннель офис 2 то он подымается, а если первым инициирует офис 1 то туннель ни в какую не хочет подыматься. Debug почему-то ничего не показывает debug crypto isakmp ha debug crypto ipsec ha debug crypto engine конфиг ASA interface Ethernet0/1   description ISP1   speed 100   duplex full   nameif backup   security-level 0   ip address 62.183.1.1 255.255.255.240 ! interface Ethernet0/0   description Inside   speed 100   nameif inside   security-level 100   ip address 192.168.0.1 255.255.254.0 ! ! object-group network Office1   network-object 172.16.0.0 255.255.255.0   network-object host 10.10.0.1 object-group network Office2   network-object host 10.30.30.1   network-object host 10.30.30.2   network-object 192.168.0.0 255.255.254.0 ! access-list inside_nat0_outbound extended permit ip object-group Office2 object-group Office1 access-list backup_cryptomap extended permit ip object-group Office2 object-group Office1 ! global (backup) 1 interface nat (inside) 0 access-list inside_nat0_outbound ! route backup 172.16.0.0 255.255.255.0 91.237.1.1 1 route backup 10.10.0.1 255.255.255.255 91.237.1.1 1 ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac ! crypto map backup_map0 1 match address backup_cryptomap crypto map backup_map0 1 set peer 91.237.1.1 crypto map backup_map0 1 set transform-set ESP-3DES-SHA crypto map backup_map0 interface backup crypto isakmp enable backup crypto isakmp policy 1   authentication pre-share   encryption 3des   hash sha   group 2   lifetime none crypto isakmp policy 10   authentication pre-share   encryption des   hash md5   group 2   lifetime none crypto isakmp policy 30   authentication pre-share   encryption 3des   hash md5   group 2   lifetime 86400 ! tunnel-group 91.237.1.1 type ipsec-l2l tunnel-group 91.237.1.1 ipsec-attributes   pre-shared-key * конфиг маршрутизатора object-group network Office1   network-object 172.16.0.0 255.255.255.0   network-object host 10.10.0.1 object-group network Office2   network-object host 10.30.30.1   network-object host 10.30.30.2   network-object 192.168.0.0 255.255.254.0 ! crypto isakmp policy 1   encr 3des   authentication pre-share   group 2 crypto isakmp key cisco address 62.183.1.1 no-xauth ! crypto isakmp client configuration group vpn   key cisco   dns 8.8.8.8   domain contoso.com   pool vpnpool   acl 101   save-password ! ! crypto ipsec transform-set vpnclient esp-3des esp-sha-hmac ! crypto dynamic-map vpnclient 10   set transform-set vpnclient   reverse-route ! ! crypto map Office2 10 ipsec-isakmp   set peer 62.183.1.1   set transform-set vpnclient   match address Office2 ! crypto map mymap client authentication list userauthen crypto map mymap isakmp authorization list groupauthor crypto map mymap client configuration address respond crypto map mymap 10 ipsec-isakmp dynamic vpnclient ! interface FastEthernet0/0   ip address 91.237.1.1 255.255.255.252   ip nat outside   ip virtual-reassembly   duplex auto   speed auto   crypto map mymap ! interface FastEthernet0/1   encapsulation dot1Q 122   ip address 172.16.0.1 255.255.255.0   ip nat inside   no ip virtual-reassembly ! ip local pool vpnpool 172.30.10.2 172.30.10.20 ip route 10.10.0.1 255.255.255.255 172.16.0.100 ! ip access-list extended Office2   permit ip object-group Office1 object-group Office2 ! access-list 101 permit ip 172.16.0.0 0.0.0.255 any
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Настройка site-to-site и remote access vpn на маршрутизаторе"	+/–
Сообщение от Алексей (??) on 29-Июн-12, 10:02
> Добрый день > Помогите решить проблему > Есть два офиса которые надо перевязать и также организовать доступ сотрудников в > один из офисов через интернет. > Схема вот http://i009.radikal.ru/1206/40/e050d2cf7d3f.jpg С настройками ASA не помогу, т. к. ни разу не работал  с ними. Когда то у меня подобная схема была. 1 маршрутизатор работал по 2-м схемам одновременно - EasyVPN (удаленный доступ) и site-ti-site: crypto map filials 10 ipsec-isakmp ...... и т. д. под схему EasyVPN crypto map filials 20 isakmp client configuration group ...... и т. д. под схему site-ti-site и на внешний интерфейс crypto-map filials 2 маршрутизатор работал по схеме site-ti-site с 1 маршрутизатором Все работало без проблем.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Настройка site-to-site и remote access vpn на маршрутизаторе"	+/–
	Сообщение от CTV (ok) on 01-Июл-12, 13:54
	Нашел прям мой случай http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con... но как только я вешаю crypto map на интерфейс, так сразу весь трафик с/на этот интерфейс прекращается. Интерфейс в апе, с интрефейсом который смотрит в локалку все нормально, трафик бегает. Куда копать?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Настройка site-to-site и remote access vpn на маршрутизаторе"	+/–
	Сообщение от CTV (ok) on 07-Июл-12, 19:29
	Проблему помогли решить на другом форуме Решение проблемы: Маршрутизатор: aaa new-model ! aaa authentication login XAUTH local aaa authorization network AUTHOR local ! username admin password 0 admin ! crypto keyring ASA     pre-shared-key address 172.16.1.2 key password ! crypto isakmp policy 5   encr aes 256   authentication pre-share   group 5   hash sha ! crypto isakmp policy 10   encr aes 256   authentication pre-share   group 2   hash sha ! crypto isakmp client configuration group REMOTE   key password   pool POOL   save-password crypto isakmp profile S2S       keyring ASA       match identity address 172.16.1.2 255.255.255.255 crypto isakmp profile remote_users       match identity group REMOTE       client authentication list XAUTH       isakmp authorization list AUTHOR       client configuration address respond ! crypto ipsec transform-set TRANS esp-aes esp-sha-hmac ! crypto dynamic-map DMAP 10   set transform-set TRANS   set isakmp-profile remote_users   reverse-route ! crypto map CMAP 10 ipsec-isakmp   set peer 172.16.1.2   set transform-set TRANS   match address VPN crypto map CMAP 100 ipsec-isakmp dynamic DMAP ! ! interface Loopback0   ip address 1.1.1.1 255.255.255.0 ! interface FastEthernet0/0   ip address 172.16.1.100 255.255.255.0   crypto map CMAP ! ! ip local pool POOL 1.1.1.10 1.1.1.100 ip route 2.2.2.2 255.255.255.255 172.16.1.2 ! ! ip access-list extended SPLIT_ACL   permit ip 1.1.1.0 0.0.0.255 any ip access-list extended VPN   permit ip host 1.1.1.1 host 2.2.2.2 Момент тут: crypto map CMAP 10 ipsec-isakmp crypto map CMAP 100 ipsec-isakmp dynamic DMAP статическая крипто карта должна иметь больший приоритет, чем динамическая ASA: interface Ethernet0/0   nameif outside   security-level 0   ip address 172.16.1.2 255.255.255.0 ! interface Ethernet0/1   nameif inside   security-level 100   ip address 2.2.2.1 255.255.255.0 ! access-list ACL extended permit ip host 2.2.2.2 host 1.1.1.1 route outside 1.1.1.1 255.255.255.255 172.16.1.100 1 crypto ipsec transform-set TRANS esp-aes esp-sha-hmac crypto map CMAP 10 match address ACL crypto map CMAP 10 set peer 172.16.1.100 crypto map CMAP 10 set transform-set TRANS crypto map CMAP interface outside crypto isakmp enable outside crypto isakmp policy 5   authentication pre-share   encryption aes-256   hash sha   group 2   lifetime 86400 ! tunnel-group 172.16.1.100 type ipsec-l2l tunnel-group 172.16.1.100 ipsec-attributes   pre-shared-key *
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема