hi allНа ASA 5515 поднят EZVPN server всё работает замечательно, клиенты подключаются.
Конфигурация клиента
####################################
crypto ipsec client ezvpn VPN01
connect auto
group OFF key 1234567890
mode network-extension
peer 1.2.3.4
username user password 1234567890
xauth userid mode local
interface FastEthernet0/0
ip address 100.120.99.3 255.255.255.224
duplex auto
speed auto
crypto ipsec client ezvpn VPN01interface FastEthernet0/1
ip address 192.168.0.1 255.255.255.0
crypto ipsec client ezvpn VPN01 inside
######################Если запустить интерфейсы в VRF то VPN перестает работать (((
#####
ip vrf ISP1interface FastEthernet0/0
ip vrf forwarding ISP1
ip address 100.120.99.3 255.255.255.224
duplex auto
speed auto
crypto ipsec client ezvpn VPN01interface FastEthernet0/1
ip vrf forwarding ISP1
ip address 192.168.0.1 255.255.255.0
crypto ipsec client ezvpn VPN01 inside
#####в лог постоянно
*Aug 2 11:52:30.515: %CRYPTO-6-EZVPN_CONNECTION_DOWN: (Client) User= Group=OFF Client_public_addr=100.120.99.3 Server_public_addr=1.2.3.4
Как заставить ezvpn client работать внутри VRF. Буду признателен за любую помощь, спасибо.
> Как заставить ezvpn client работать внутри VRF. Буду признателен за любую помощь,
> спасибо.Скорее всего не получится, т.к. согласно https://www.cisco.com/c/en/us/products/collateral/security/i...:
Note: VRF is supported only on the server, not the remote
>> Как заставить ezvpn client работать внутри VRF. Буду признателен за любую помощь,
>> спасибо.
> Скорее всего не получится, т.к. согласно https://www.cisco.com/c/en/us/products/collateral/security/i...:
> Note: VRF is supported only on the server, not the remoteСпасибо за ответ.
Посоветуйте, как реализовать, на асе впн или чтото подобное, на роутере клиент, и клиент за натом?
Спасибо.
> Посоветуйте, как реализовать, на асе впн или чтото подобное, на роутере клиент,
> и клиент за натом?Если таких точек много:
Вам в DMVPN, там будет и vrf во все стороны и прочие ништяки.Если таких точек не много:
Почти всегда можно добавить еще одну коробку (т.е. не VRF я прям вторую железку)?
Да не красиво, но надежно и точно будет работать :)
>> Посоветуйте, как реализовать, на асе впн или чтото подобное, на роутере клиент,
>> и клиент за натом?
> Если таких точек много:
> Вам в DMVPN, там будет и vrf во все стороны и прочие
> ништяки.
> Если таких точек не много:
> Почти всегда можно добавить еще одну коробку (т.е. не VRF я прям
> вторую железку)?
> Да не красиво, но надежно и точно будет работать :)Спасибо за ответ.
DMVPN не спорю класная штука ) но ASA его не поддерживает (((((