forum.opennet.ru - "VPN между PIX to несколькими router'ами, как?" (8)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"VPN между PIX to несколькими router'ами, как?"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"VPN между PIX to несколькими router'ами, как?"
Сообщение от San (??) on 16-Дек-05, 12:19 (MSK)
Подскажите, плиз, а то я в непонятках. Делаю как рассказано тут: http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080094a87.shtml Если один роутер коннектится, то все ок. Но стоит попытаться приконнектиться другому роутеру к пиксу - коннект с первым роутером пропадает. Второй как бы вышибает первый. И по "sh crypto ipsec sa" на PIX'е видно, что да, Current peer: ip адрес второго роутера. Что надо сказать PIX'у, чтобы он мог с несколькими роутерами по IPSec говорить? PS: Ситуация осложнена динамическими адресами роутеров.
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

VPN между PIX to несколькими router'ами, как?, ipmanyak, 13:47 , 16-Дек-05, (1)

VPN между PIX to несколькими router'ами, как?, San, 14:18 , 16-Дек-05, (4)

VPN между PIX to несколькими router'ами, как?, ipmanyak, 11:15 , 19-Дек-05, (5)

VPN между PIX to несколькими router'ами, как?, Lacunacoil, 13:48 , 16-Дек-05, (2)

VPN между PIX to несколькими router'ами, как?, San, 14:17 , 16-Дек-05, (3)

VPN между PIX to несколькими router'ами, как?, San, 18:53 , 19-Дек-05, (6)

VPN между PIX to несколькими router'ами, как?, ipmanyak, 09:27 , 21-Дек-05, (7)

VPN между PIX to несколькими router'ами, как?, San, 09:57 , 21-Дек-05, (8)

Сообщения по теме [Сортировка по времени, UBB]

1. "VPN между PIX to несколькими router'ами, как?"

Сообщение от ipmanyak (??) on 16-Дек-05, 13:47  (MSK)

может проще cделать туннели ip-ip без vpn?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "VPN между PIX to несколькими router'ами, как?"

Сообщение от San (??) on 16-Дек-05, 14:18  (MSK)

>может проще cделать туннели ip-ip без vpn?
А как? Есть где-нить пример почитать?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "VPN между PIX to несколькими router'ами, как?"

Сообщение от ipmanyak (??) on 19-Дек-05, 11:15  (MSK)

>>может проще cделать туннели ip-ip без vpn?
>
>А как? Есть где-нить пример почитать?
да чего там читать то ?  тип ipip  и всё!
interface Tunnel12
description ***  to Server "Fly" ***
bandwidth 128
ip address 192.168.5.1 255.255.255.252
no ip directed-broadcast
tunnel source 217.222.149.2
tunnel destination 217.222.149.3
tunnel mode ipip
на другой аналогично , src  и dst  наоборот, само собой  сеть 192.168.5 и маршрут поднять - всё!

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "VPN между PIX to несколькими router'ами, как?"

Сообщение от Lacunacoil (??) on 16-Дек-05, 13:48  (MSK)

>Подскажите, плиз, а то я в непонятках.
>Делаю как рассказано тут:
>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080094a87.shtml
>
>Если один роутер коннектится, то все ок.
>Но стоит попытаться приконнектиться другому роутеру к пиксу - коннект с первым
>роутером пропадает. Второй как бы вышибает первый.
>И по "sh crypto ipsec sa" на PIX'е видно, что да, Current
>peer: ip адрес второго роутера.
>
>Что надо сказать PIX'у, чтобы он мог с несколькими роутерами по IPSec
>говорить?
>
>PS: Ситуация осложнена динамическими адресами роутеров.
когда пишешь карту то надо писать типа так:
crypto map pix 10 ipsec-isakmp
для первого
crypto map pix 20 ipsec-isakmp
для второго

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "VPN между PIX to несколькими router'ами, как?"

Сообщение от San (??) on 16-Дек-05, 14:17  (MSK)

>>Подскажите, плиз, а то я в непонятках.
>>Делаю как рассказано тут:
>>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080094a87.shtml
>>
>>Если один роутер коннектится, то все ок.
>>Но стоит попытаться приконнектиться другому роутеру к пиксу - коннект с первым
>>роутером пропадает. Второй как бы вышибает первый.
>>И по "sh crypto ipsec sa" на PIX'е видно, что да, Current
>>peer: ip адрес второго роутера.
>>
>>Что надо сказать PIX'у, чтобы он мог с несколькими роутерами по IPSec
>>говорить?
>>
>>PS: Ситуация осложнена динамическими адресами роутеров.
>
>когда пишешь карту то надо писать типа так:
>crypto map pix 10 ipsec-isakmp
>для первого
>crypto map pix 20 ipsec-isakmp
>для второго
Там вот такая конструкция:
---
crypto ipsec transform-set router-set esp-des esp-md5-hmac
crypto dynamic-map branches 1 set transform-set router-set
crypto map dyn-map 10 ipsec-isakmp dynamic branches
crypto map dyn-map interface outside
---
т.е. надо налепить вот такого?
crypto map dyn-map 20 ipsec-isakmp dynamic branches
crypto map dyn-map 30 ipsec-isakmp dynamic branches
crypto map dyn-map 40 ipsec-isakmp dynamic branches
и т.д. ?
Попробовал я... Хрена. При добавлении
crypto map dyn-map 20 ipsec-isakmp dynamic branches
уже отрывается имеющаяся сессия

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "VPN между PIX to несколькими router'ами, как?"

Сообщение от San (??) on 19-Дек-05, 18:53  (MSK)

Отбой! Разобрался почему оно вышибало предыдущий.
Теперь не вышибает.
А насчет туннеля...
Насколько безопасна такая конфигурация в плане перехвата пакетов?
В туннеле они шифрованные бегают?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "VPN между PIX to несколькими router'ами, как?"

Сообщение от ipmanyak (??) on 21-Дек-05, 09:27  (MSK)

>Отбой! Разобрался почему оно вышибало предыдущий.
>Теперь не вышибает.
>
>А насчет туннеля...
>Насколько безопасна такая конфигурация в плане перехвата пакетов?
>В туннеле они шифрованные бегают?
нет не шифрованные, перехватить конечно могут, если на маршруте сумеют сказать, что они твой ip  дестинэйшн, что довольно сложно, на стороне прова -  да  могут и запросто.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "VPN между PIX to несколькими router'ами, как?"

Сообщение от San (??) on 21-Дек-05, 09:57  (MSK)

>>Отбой! Разобрался почему оно вышибало предыдущий.
>>Теперь не вышибает.
>>
>>А насчет туннеля...
>>Насколько безопасна такая конфигурация в плане перехвата пакетов?
>>В туннеле они шифрованные бегают?
>нет не шифрованные, перехватить конечно могут, если на маршруте сумеют сказать, что
>они твой ip  дестинэйшн, что довольно сложно, на стороне прова
>-  да  могут и запросто.
Тогда, увы, туннели не подходят.
К тому же я с ipsec-овой проблемой разобрался.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "VPN между PIX to несколькими router'ами, как?"
Сообщение от ipmanyak (??) on 16-Дек-05, 13:47 (MSK)
может проще cделать туннели ip-ip без vpn?
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "VPN между PIX to несколькими router'ами, как?"
	Сообщение от San (??) on 16-Дек-05, 14:18 (MSK)
	>может проще cделать туннели ip-ip без vpn? А как? Есть где-нить пример почитать?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "VPN между PIX to несколькими router'ами, как?"
	Сообщение от ipmanyak (??) on 19-Дек-05, 11:15 (MSK)
	>>может проще cделать туннели ip-ip без vpn? > >А как? Есть где-нить пример почитать? да чего там читать то ? тип ipip и всё! interface Tunnel12 description * to Server "Fly" * bandwidth 128 ip address 192.168.5.1 255.255.255.252 no ip directed-broadcast tunnel source 217.222.149.2 tunnel destination 217.222.149.3 tunnel mode ipip на другой аналогично , src и dst наоборот, само собой сеть 192.168.5 и маршрут поднять - всё!
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

2. "VPN между PIX to несколькими router'ами, как?"
Сообщение от Lacunacoil (??) on 16-Дек-05, 13:48 (MSK)
>Подскажите, плиз, а то я в непонятках. >Делаю как рассказано тут: >http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080094a87.shtml > >Если один роутер коннектится, то все ок. >Но стоит попытаться приконнектиться другому роутеру к пиксу - коннект с первым >роутером пропадает. Второй как бы вышибает первый. >И по "sh crypto ipsec sa" на PIX'е видно, что да, Current >peer: ip адрес второго роутера. > >Что надо сказать PIX'у, чтобы он мог с несколькими роутерами по IPSec >говорить? > >PS: Ситуация осложнена динамическими адресами роутеров. когда пишешь карту то надо писать типа так: crypto map pix 10 ipsec-isakmp для первого crypto map pix 20 ipsec-isakmp для второго
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "VPN между PIX to несколькими router'ами, как?"
	Сообщение от San (??) on 16-Дек-05, 14:17 (MSK)
	>>Подскажите, плиз, а то я в непонятках. >>Делаю как рассказано тут: >>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080094a87.shtml >> >>Если один роутер коннектится, то все ок. >>Но стоит попытаться приконнектиться другому роутеру к пиксу - коннект с первым >>роутером пропадает. Второй как бы вышибает первый. >>И по "sh crypto ipsec sa" на PIX'е видно, что да, Current >>peer: ip адрес второго роутера. >> >>Что надо сказать PIX'у, чтобы он мог с несколькими роутерами по IPSec >>говорить? >> >>PS: Ситуация осложнена динамическими адресами роутеров. > >когда пишешь карту то надо писать типа так: >crypto map pix 10 ipsec-isakmp >для первого >crypto map pix 20 ipsec-isakmp >для второго Там вот такая конструкция: --- crypto ipsec transform-set router-set esp-des esp-md5-hmac crypto dynamic-map branches 1 set transform-set router-set crypto map dyn-map 10 ipsec-isakmp dynamic branches crypto map dyn-map interface outside --- т.е. надо налепить вот такого? crypto map dyn-map 20 ipsec-isakmp dynamic branches crypto map dyn-map 30 ipsec-isakmp dynamic branches crypto map dyn-map 40 ipsec-isakmp dynamic branches и т.д. ? Попробовал я... Хрена. При добавлении crypto map dyn-map 20 ipsec-isakmp dynamic branches уже отрывается имеющаяся сессия
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "VPN между PIX to несколькими router'ами, как?"
	Сообщение от San (??) on 19-Дек-05, 18:53 (MSK)
	Отбой! Разобрался почему оно вышибало предыдущий. Теперь не вышибает. А насчет туннеля... Насколько безопасна такая конфигурация в плане перехвата пакетов? В туннеле они шифрованные бегают?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "VPN между PIX to несколькими router'ами, как?"
	Сообщение от ipmanyak (??) on 21-Дек-05, 09:27 (MSK)
	>Отбой! Разобрался почему оно вышибало предыдущий. >Теперь не вышибает. > >А насчет туннеля... >Насколько безопасна такая конфигурация в плане перехвата пакетов? >В туннеле они шифрованные бегают? нет не шифрованные, перехватить конечно могут, если на маршруте сумеют сказать, что они твой ip дестинэйшн, что довольно сложно, на стороне прова - да могут и запросто.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "VPN между PIX to несколькими router'ами, как?"
	Сообщение от San (??) on 21-Дек-05, 09:57 (MSK)
	>>Отбой! Разобрался почему оно вышибало предыдущий. >>Теперь не вышибает. >> >>А насчет туннеля... >>Насколько безопасна такая конфигурация в плане перехвата пакетов? >>В туннеле они шифрованные бегают? >нет не шифрованные, перехватить конечно могут, если на маршруте сумеют сказать, что >они твой ip дестинэйшн, что довольно сложно, на стороне прова >- да могут и запросто. Тогда, увы, туннели не подходят. К тому же я с ipsec-овой проблемой разобрался.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]