URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 18765
[ Назад ]

Исходное сообщение
"isakmp policy"
Отправлено RET , 28-Апр-09 17:46

Есть следующая проблема: имеется несколько роутеров(часть принадлежит одному доменну часть другому) соединёных GRE тунелями и защищеных профилем IPSec. Решили сделать аутентификацию туннелей на сертификатах полученых с Microsoft Server 2003. Роутеры из первого домена получают получают сертификаты от сервера в своем домене, а те соответственно от другого. Так вот как соеденить тунелями роутеры разных доменнов? Получается такая ситуация что роутеры на стыке доменов пытаются использовать каждый свой сертификат и соответственно туннель не поднимается. Есть вариант использовать pre-shared auth policy, но как указать каким тунелям использовать определенную isakmp policy ума не приложу.
Вот вырезки из конфига:

crypto isakmp policy 50
encr aes 256
!
crypto isakmp policy 100
encr aes 256
authentication pre-share
crypto isakmp key supper_secret_key address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 30 10 periodic
!
crypto ipsec security-association lifetime seconds 86400
crypto ipsec security-association replay window-size 256
!
crypto ipsec transform-set SEC esp-aes 256 esp-sha-hmac
!
crypto ipsec profile Tunnel_crypt
set transform-set SEC
crypto pki trustpoint domain1-cert
enrollment mode ra
enrollment url http://SRV-1.domain1.com:80/certsrv/mscep/mscep.dll
usage ike
password 7 154C9E2E567D8F727A126C0145514E5129
revocation-check crl

Содержание

isakmp policy,zxc, 18:02 , 28-Апр-09
- isakmp policy,RET, 18:05 , 28-Апр-09
isakmp policy,zigli, 08:31 , 02-Дек-11

Сообщения в этом обсуждении

"isakmp policy"
Отправлено zxc , 28-Апр-09 18:02

Ответ дать не могу, так как сертификаты не пользовал на маршрутизаторах.
Хочу только спросить: зачем такие сложности и использовать сторонние сертификаты?
У вас корпоративная политика такая?
Ведь если секретные данные на какой-нибудь стороне и будут скомпрометированы, то уже ничего не поможет.

"isakmp policy"
Отправлено RET , 28-Апр-09 18:05

>Ответ дать не могу, так как сертификаты не пользовал на маршрутизаторах.
>Хочу только спросить: зачем такие сложности и использовать сторонние сертификаты?
>У вас корпоративная политика такая?
>
>Ведь если секретные данные на какой-нибудь стороне и будут скомпрометированы, то уже
>ничего не поможет.
ну вообщем, да - политика партии

"isakmp policy"
Отправлено zigli , 02-Дек-11 08:31

>[оверквотинг удален]
> crypto ipsec transform-set SEC esp-aes 256 esp-sha-hmac
> !
> crypto ipsec profile Tunnel_crypt
>  set transform-set SEC
> crypto pki trustpoint domain1-cert
>  enrollment mode ra
>  enrollment url http://SRV-1.domain1.com:80/certsrv/mscep/mscep.dll
>  usage ike
>  password 7 154C9E2E567D8F727A126C0145514E5129
>  revocation-check crl
Вроде как перебирать должен все полиси...
http://www.cisco.com/en/US/docs/security/pix/pix52/ipsec/con...