The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Настройка Easy VPN Server"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"Настройка Easy VPN Server"  +/
Сообщение от motok email(ok) on 27-Фев-18, 17:05 
Cisco 881 PCI k9
Пытаюсь настроить Easy VPN Server. На маршрутизаторе уже настроен VPN туннель Site-to-Site. На WAN интерфейсе включен crypto map. Если пытаюсь подключить второй crypto map созданный для Easy VPN Server, то первый отключается. Подскажите, можно ли использовать две крипто карты на интерфейсе?
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Настройка Easy VPN Server"  +/
Сообщение от shadow_alone (ok) on 27-Фев-18, 21:49 
Используй одно и тоже имя для криптомяпы, только с разным весом, и всё.

-------
crypto map sheepnet 19 ipsec-isakmp
crypto map sheepnet 19 match address TORANCH1
crypto map sheepnet 19 set peer 191.105.128.241
crypto map sheepnet 19 set transform-set ranch

crypto map sheepnet 20 ipsec-isakmp
crypto map sheepnet 20 match address TORANCH2
crypto map sheepnet 20 set peer <ranch2 ip>
crypto map sheepnet 20 set transform-set ranch

crypto map sheepnet 21 ipsec-isakmp
crypto map sheepnet 21 match address TORANCH3
crypto map sheepnet 21 set peer <ranch3 ip> <-- "peer" is remote router IP
crypto map sheepnet 21 set transform-set ranch2  <-- if you want different transform-set
--------

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Настройка Easy VPN Server"  +/
Сообщение от motok email(ok) on 27-Фев-18, 22:07 
> Используй одно и тоже имя для криптомяпы, только с разным весом, и
> всё.

В Easy VPN Server динамическая карта, ее нужно подключить к статичной. У меня есть статичная карта которая подключена к WAN интерфейсу с именем crypto map SDM_CMAP_2. Правильно ли я ввел команду crypto map SDM_CMAP_2 2 ipsec-isakmp dynamic DYNVPN (при имени динамической карты DYNVPN)? Я сделал так. Пробую теперь подключится через Cisco VPN Client. Авторизация группы проходит, а вот после авторизации пользователя появляется строка в нижней части: negotiation secure policy и сразу Not connected. Show crypto session показывает:
Interface: FastEthernet4
Username: USER-EVPN
Profile: VPN-CLIENT
Group: GROUP-EVPN
Assigned address: 192.168.3.49
Session status: UP-IDLE
Peer: 109.*.*.* port 55979
  IKEv1 SA: local 84.*.*.*/4500 remote 109.*.*.*/55979 Active

Т.е. попытку подключения видит. В чем может быть проблема?


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Настройка Easy VPN Server"  +/
Сообщение от motok email(ok) on 28-Фев-18, 12:48 
Конфиг чуть ниже... В циске не силен, поэтому полез искать ошибки через ccp. Динамическую карту нашел в разделе edit site to site со статусом Down. Там же запустил тест динамического туннеля. Выскочило предупреждение и возможное решение:

There are IKE policies configured with Pre-shared key authentication method but there is no global Pre-shared key configured.

If the other end VPN device is configured with a Pre-shared key then configure a global Pre-shared key with wild card mask (0.0.0.0 0.0.0.0). To configure the Pre-shared key go to 'Configure->VPN->VPN Components->IKE->Pre-shared Keys'.

Я немного не понял, он хочет чтоб я ввел какой то общий ключ? В общем прошу помощи.

enable secret 4 WIt8jvB9k8OmgaoqfrYwU//PXImqYGmcAxH9SvUrP.Q
!
aaa new-model
aaa authentication login EVPN local
aaa authorization network GROUP-EVPN local
aaa session-id common
!

crypto pki trustpoint TP-self-signed-3162
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3162
revocation-check none
rsakeypair TP-self-signed-31627
!

multilink bundle-name authenticated
license udi pid CISCO881-PCI-K9 sn FCZ
license boot module c880-data level advipservices
!
!
username 88888 privilege 15 view root secret 4 WIt8jvB9k8OmgaoqfrYwU//PXImq
username USER-EVPN password 0 88888888
!

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
crypto isakmp key 111111111 address 84.*.*.*
!
crypto isakmp client configuration group GROUP-EVPN
key 999999999
dns 192.168.3.1
wins 192.168.3.1
domain domain.metiz.ru
pool VPN-POOL
acl 110
crypto isakmp profile VPN-CLIENT
match identity group GROUP-EVPN
client authentication list EVPN
isakmp authorization list GROUP-EVPN
client configuration address respond
!
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac
!
crypto dynamic-map DYNMAP 10
set transform-set 3DES-MD5
set isakmp-profile VPN-CLIENT
reverse-route
!
crypto map SDM_CMAP_2 1 ipsec-isakmp
description Tunnel to84.*****
set peer 84.******
set transform-set ESP-3DES-SHA1
match address 103
crypto map SDM_CMAP_2 64000 ipsec-isakmp dynamic DYNMAP
!
interface FastEthernet4
description Internet$ETH-WAN$
ip address 84.*.*.* 255.255.255.248
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
crypto map SDM_CMAP_2
!
ip local pool VPN-POOL 192.168.3.40 192.168.3.50
!
ip flow-export version 5
ip flow-export destination 169.254.0.7 9996
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 84.47.*.*
!
access-list 23 permit
access-list 23 permit
access-list 103
access-list 104
!
route-map SDM_RMAP_1 permit 1
match ip address 104
match interface FastEthernet4


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Настройка Easy VPN Server"  +/
Сообщение от AlexDv (??) on 28-Фев-18, 13:43 
> Конфиг чуть ниже... В циске не силен, поэтому полез искать ошибки через
> ccp. Динамическую карту нашел в разделе edit site to site со
> статусом Down. Там же запустил тест динамического туннеля. Выскочило предупреждение и
> возможное решение:
> There are IKE policies configured with Pre-shared key authentication method but there
> is no global Pre-shared key configured.
> If the other end VPN device is configured with a Pre-shared key
> then configure a global Pre-shared key with wild card mask (0.0.0.0
> 0.0.0.0). To configure the Pre-shared key go to 'Configure->VPN->VPN Components->IKE->Pre-shared
> Keys'.

Предупреждает, что нужен ключ для любого IP.
crypto isakmp key 2222222 address 0.0.0.0 0.0.0.0


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Настройка Easy VPN Server"  +/
Сообщение от motok email(ok) on 28-Фев-18, 13:48 
>[оверквотинг удален]
>> статусом Down. Там же запустил тест динамического туннеля. Выскочило предупреждение и
>> возможное решение:
>> There are IKE policies configured with Pre-shared key authentication method but there
>> is no global Pre-shared key configured.
>> If the other end VPN device is configured with a Pre-shared key
>> then configure a global Pre-shared key with wild card mask (0.0.0.0
>> 0.0.0.0). To configure the Pre-shared key go to 'Configure->VPN->VPN Components->IKE->Pre-shared
>> Keys'.
> Предупреждает, что нужен ключ для любого IP.
> crypto isakmp key 2222222 address 0.0.0.0 0.0.0.0

т.е. не только для 84.*.*.*? Этот ключ для чего будет применяться? Для имеющего vpn site to site или для всех VPN соединений?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Настройка Easy VPN Server"  +/
Сообщение от AlexDv (??) on 28-Фев-18, 14:09 
>[оверквотинг удален]
>>> There are IKE policies configured with Pre-shared key authentication method but there
>>> is no global Pre-shared key configured.
>>> If the other end VPN device is configured with a Pre-shared key
>>> then configure a global Pre-shared key with wild card mask (0.0.0.0
>>> 0.0.0.0). To configure the Pre-shared key go to 'Configure->VPN->VPN Components->IKE->Pre-shared
>>> Keys'.
>> Предупреждает, что нужен ключ для любого IP.
>> crypto isakmp key 2222222 address 0.0.0.0 0.0.0.0
> т.е. не только для 84.*.*.*? Этот ключ для чего будет применяться? Для
> имеющего vpn site to site или для всех VPN соединений?

Если у вас есть ключ для конкретного ип - будет применяться он, для всех остальных ключ 0.0.0.0 0.0.0.0

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Настройка Easy VPN Server"  +/
Сообщение от motok email(ok) on 28-Фев-18, 14:22 
>[оверквотинг удален]
>>>> If the other end VPN device is configured with a Pre-shared key
>>>> then configure a global Pre-shared key with wild card mask (0.0.0.0
>>>> 0.0.0.0). To configure the Pre-shared key go to 'Configure->VPN->VPN Components->IKE->Pre-shared
>>>> Keys'.
>>> Предупреждает, что нужен ключ для любого IP.
>>> crypto isakmp key 2222222 address 0.0.0.0 0.0.0.0
>> т.е. не только для 84.*.*.*? Этот ключ для чего будет применяться? Для
>> имеющего vpn site to site или для всех VPN соединений?
> Если у вас есть ключ для конкретного ип - будет применяться он,
> для всех остальных ключ 0.0.0.0 0.0.0.0

Сеичас у меня есть ключ для удаленного ip (site to site vpn). Получается, мне нужно создать еще один ключ для всех остальных (0.0.0.0 0.0.0.0). А как его тогда вводить клиентам в cisco vpn client? Я имею ввиду вообще для чего он? cisco vpn client насколько я понял делает авторизацию по созданной политике. А там указана авторизация группе и пользователю, что и указывается в vpn client.


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Настройка Easy VPN Server"  +/
Сообщение от motok email(ok) on 28-Фев-18, 15:29 

> Сеичас у меня есть ключ для удаленного ip (site to site vpn).
> Получается, мне нужно создать еще один ключ для всех остальных (0.0.0.0
> 0.0.0.0). А как его тогда вводить клиентам в cisco vpn client?
> Я имею ввиду вообще для чего он? cisco vpn client насколько
> я понял делает авторизацию по созданной политике. А там указана авторизация
> группе и пользователю, что и указывается в vpn client.

Сделал для "всех остальных ip" ключ. Теперь динамическая карта тест проходит. Но статус у карты - Down остался. И соединениться так же не дает. У клиента та же ошибка.


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Настройка Easy VPN Server"  +/
Сообщение от motok email(ok) on 28-Фев-18, 17:40 
Т.е. у меня сеичас вопрос, почему у динамического туннеля статус Down. Хотя тест сеичас проходит без ошибок.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor