The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Crypto map повесить на Loopback + Завернуть на него траффик, !*! Pavel, 07-Сен-12, 12:50  [смотреть все]
Здравствуйте,

Cisco 3925, IOS c3900-universalk9-mz.SPA.151-2.T2.bin

Возникла необходимость реализовать две пачки IPSEC c Crypto-Map на одном маршрутизаторе.
Для одной пачки  Crypto-Map один IP peer, для другой пачки новый IP Peer.

На выходящем интерфейсе уже висит одна скиптокарта.
Необходимо куда то еще повесить новую криптокарту.
Нашел описания варианта Crypto-Map на Loopback, и потом с помощью ip policy route-map REROUTE завернуть трафик

через этот Loopback.

Попытался реализовать - не работает.

конфиг такой
http://blog.rackrental.eu/2010/05/07/ipsec-site-to-site-vpn-.../
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto isakmp key XXXXX address 1.1.1.1
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto map VPN_MAP 10 ipsec-isakmp
set peer 1.1.1.1
set transform-set ESP-3DES-SHA
match address INT_TRAFF
!
interface Loopback0
ip address 2.2.2.2 255.255.255.255
crypto map VPN_MAP
!
interface FastEthernet1/1
Description == TO INTERNET ==
ip address 192.168.0.2 255.255.255.252
ip policy route-map REROUTE
duplex auto
speed auto
crypto map "Другая, рабочая"
!
ip access-list extended INT_TRAFF
permit tcp host 192.168.0.1 host 172.16.0.8
!
route-map REROUTE permit 10
match ip address INT_TRAFF
set interface Loopback0


Еще при вводе команды  set interface Loopback0
получаю:
CISCO(config-route-map)#set interface Loopback3          
%Warning:Use P2P interface for routemap setinterface clause
http://www.opennet.ru/openforum/vsluhforumID6/15264.html
http://ieoc.com/forums/t/6259.aspx
http://cciereview.com/pbr-set-interface-troubles/

Пробовал другие команды:
-  set default interface Loopback3
-  ip route 5.5.5.5 255.255.255.255 Loopback0 + set ip default next-hop 5.5.5.5

с этими командами ошибок не выдает, но не вижу перенаправления трафика на Loopback3, трафик не инкапсулируется, не

шифруется.

Посоветуйте, пожалуйста, каким образом можно сделать на одном маршрутизаторе две Crypto-карты, с разными (своими)

peer-IP, при том что выход в интернет один.

Ответить | Сообщить модератору
  • Crypto map повесить на Loopback + Завернуть на него траффик, !*! BJ, 16:45 , 07-Сен-12 (1)
    Циферки после названия мапы для этого сделаны:

    crypto map MAP 10 ipsec-isakmp
    set peer 1.1.1.1

    crypto map MAP 20 ipsec-isakmp
    set peer 2.2.2.2

    Ответить | Сообщить модератору
    • Crypto map повесить на Loopback + Завернуть на него траффик, !*! Pavel, 17:06 , 07-Сен-12 (2)
      Извините, если неясно выразился.
      Необходимо, чтобы наш пир для новой (второй) криптокарты имел наш новый IP, IP источника, а не назначения.
      Смысл - получили PI адреса, и нужно постепенно переехать с адресов провайдера на новые PI адреса, перевести IPSEC-и (которых штук 50)
      Ответить | Сообщить модератору
      • Crypto map повесить на Loopback + Завернуть на него траффик, !*! BJ, 16:11 , 09-Сен-12 (3)
        Поэксперементируйте с isakmp profile.

        Ответить | Сообщить модератору
        • Crypto map повесить на Loopback + Завернуть на него траффик, !*! Pavel, 11:53 , 27-Сен-12 (4)
          Здравствуйте.
          Спасибо всем за советы! Разобрался. Тему можно закрыть.

          Еще раз повторюсь, нужно было реализовать второй Cryptomap, и чтоб в нем  использовался (YY.YY.YY.YY) - отличный от первого Cryptomap IP-адрес источника.

          После более внимательного тестирования, оказалось, что самая первая схема, описанная в начале РАБОТАЕТ, и даже если NAT на этом же маршрутизаторе.
          "вариант Crypto-Map на Loopback, и потом с помощью ip policy route-map REROUTE завернуть трафик через этот Loopback."

          http://blog.rackrental.eu/2010/05/07/ipsec-site-to-site-vpn-.../

          Только пару замечаний:
          1) вместо "set interface Loopback3" использовать "set default interface Loopback3"
          2) Если на этом же маршрутизаторе настроен еще и NAT (ip nat inside source), то заворачивать на Loopback3 нужно трафик до NAT.
          А в IPSEC уже указывать NAT-IP. У меня с этим были сложности.

          Вот такой конфиг, может быть кому пригодится..

          crypto isakmp key TEST-IPSEC address XX.XX.XX.XX
          crypto isakmp policy 20
           encr aes 256
           authentication pre-share
           group 5
           lifetime 28800
          crypto ipsec transform-set AES256-SHA esp-aes 256 esp-sha-hmac 
          crypto map PI-IPSEC 1 ipsec-isakmp 
           description **TEST-IPSEC**
           set peer XX.XX.XX.XX
           set transform-set AES256-SHA
           match address TEST-IPSEC
           set security-association lifetime seconds 28800
          ip access-l ex TEST-IPSEC
              permit ip host <NAT-IP> host 10.4.0.7 (после NAT)
          interface Loopback3
           description **for IPSEC-PI**
           ip address YY.YY.YY.YY 255.255.255.255
           ip nat outside
           ip policy route-map REROUTE
           crypto map PI-IPSEC
          ------NAT-------
          ip access-list extended XXXX
           permit ip host 192.168.10.13 host 10.4.0.7
          route-map XXXX permit 10
           match ip address XXXX
          ip nat inside source static 192.168.10.13 <NAT-IP> route-map XXXX extendable
          ------Reroute------
          ip access-list extended REROUTE
           permit ip host 192.168.10.13 host 10.4.0.7 (до NAT)
          route-map REROUTE permit 6
           description **for IPSEC-PI**
           match ip address REROUTE
           set default interface Loopback3
          ip local policy route-map REROUTE

          Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру