- Настройка Easy VPN Server, shadow_alone, 21:49 , 27-Фев-18 (1)
- Настройка Easy VPN Server, motok, 22:07 , 27-Фев-18 (2)
> Используй одно и тоже имя для криптомяпы, только с разным весом, и > всё.В Easy VPN Server динамическая карта, ее нужно подключить к статичной. У меня есть статичная карта которая подключена к WAN интерфейсу с именем crypto map SDM_CMAP_2. Правильно ли я ввел команду crypto map SDM_CMAP_2 2 ipsec-isakmp dynamic DYNVPN (при имени динамической карты DYNVPN)? Я сделал так. Пробую теперь подключится через Cisco VPN Client. Авторизация группы проходит, а вот после авторизации пользователя появляется строка в нижней части: negotiation secure policy и сразу Not connected. Show crypto session показывает: Interface: FastEthernet4 Username: USER-EVPN Profile: VPN-CLIENT Group: GROUP-EVPN Assigned address: 192.168.3.49 Session status: UP-IDLE Peer: 109.*.*.* port 55979 IKEv1 SA: local 84.*.*.*/4500 remote 109.*.*.*/55979 Active Т.е. попытку подключения видит. В чем может быть проблема?
- Настройка Easy VPN Server, motok, 12:48 , 28-Фев-18 (3)
Конфиг чуть ниже... В циске не силен, поэтому полез искать ошибки через ccp. Динамическую карту нашел в разделе edit site to site со статусом Down. Там же запустил тест динамического туннеля. Выскочило предупреждение и возможное решение: There are IKE policies configured with Pre-shared key authentication method but there is no global Pre-shared key configured. If the other end VPN device is configured with a Pre-shared key then configure a global Pre-shared key with wild card mask (0.0.0.0 0.0.0.0). To configure the Pre-shared key go to 'Configure->VPN->VPN Components->IKE->Pre-shared Keys'. Я немного не понял, он хочет чтоб я ввел какой то общий ключ? В общем прошу помощи. enable secret 4 WIt8jvB9k8OmgaoqfrYwU//PXImqYGmcAxH9SvUrP.Q ! aaa new-model aaa authentication login EVPN local aaa authorization network GROUP-EVPN local aaa session-id common ! crypto pki trustpoint TP-self-signed-3162 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-3162 revocation-check none rsakeypair TP-self-signed-31627 ! multilink bundle-name authenticated license udi pid CISCO881-PCI-K9 sn FCZ license boot module c880-data level advipservices ! ! username 88888 privilege 15 view root secret 4 WIt8jvB9k8OmgaoqfrYwU//PXImq username USER-EVPN password 0 88888888 ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 ! crypto isakmp policy 10 hash md5 authentication pre-share group 2 crypto isakmp key 111111111 address 84.*.*.* ! crypto isakmp client configuration group GROUP-EVPN key 999999999 dns 192.168.3.1 wins 192.168.3.1 domain domain.metiz.ru pool VPN-POOL acl 110 crypto isakmp profile VPN-CLIENT match identity group GROUP-EVPN client authentication list EVPN isakmp authorization list GROUP-EVPN client configuration address respond ! crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac ! crypto dynamic-map DYNMAP 10 set transform-set 3DES-MD5 set isakmp-profile VPN-CLIENT reverse-route ! crypto map SDM_CMAP_2 1 ipsec-isakmp description Tunnel to84.***** set peer 84.****** set transform-set ESP-3DES-SHA1 match address 103 crypto map SDM_CMAP_2 64000 ipsec-isakmp dynamic DYNMAP ! interface FastEthernet4 description Internet$ETH-WAN$ ip address 84.*.*.* 255.255.255.248 ip nat outside ip virtual-reassembly in duplex auto speed auto crypto map SDM_CMAP_2 ! ip local pool VPN-POOL 192.168.3.40 192.168.3.50 ! ip flow-export version 5 ip flow-export destination 169.254.0.7 9996 ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload ip route 0.0.0.0 0.0.0.0 84.47.*.* ! access-list 23 permit access-list 23 permit access-list 103 access-list 104 ! route-map SDM_RMAP_1 permit 1 match ip address 104 match interface FastEthernet4
- Настройка Easy VPN Server, AlexDv, 13:43 , 28-Фев-18 (4)
- Настройка Easy VPN Server, motok, 13:48 , 28-Фев-18 (5)
>[оверквотинг удален] >> статусом Down. Там же запустил тест динамического туннеля. Выскочило предупреждение и >> возможное решение: >> There are IKE policies configured with Pre-shared key authentication method but there >> is no global Pre-shared key configured. >> If the other end VPN device is configured with a Pre-shared key >> then configure a global Pre-shared key with wild card mask (0.0.0.0 >> 0.0.0.0). To configure the Pre-shared key go to 'Configure->VPN->VPN Components->IKE->Pre-shared >> Keys'. > Предупреждает, что нужен ключ для любого IP. > crypto isakmp key 2222222 address 0.0.0.0 0.0.0.0 т.е. не только для 84.*.*.*? Этот ключ для чего будет применяться? Для имеющего vpn site to site или для всех VPN соединений?
- Настройка Easy VPN Server, AlexDv, 14:09 , 28-Фев-18 (6)
- Настройка Easy VPN Server, motok, 14:22 , 28-Фев-18 (7)
>[оверквотинг удален] >>>> If the other end VPN device is configured with a Pre-shared key >>>> then configure a global Pre-shared key with wild card mask (0.0.0.0 >>>> 0.0.0.0). To configure the Pre-shared key go to 'Configure->VPN->VPN Components->IKE->Pre-shared >>>> Keys'. >>> Предупреждает, что нужен ключ для любого IP. >>> crypto isakmp key 2222222 address 0.0.0.0 0.0.0.0 >> т.е. не только для 84.*.*.*? Этот ключ для чего будет применяться? Для >> имеющего vpn site to site или для всех VPN соединений? > Если у вас есть ключ для конкретного ип - будет применяться он, > для всех остальных ключ 0.0.0.0 0.0.0.0 Сеичас у меня есть ключ для удаленного ip (site to site vpn). Получается, мне нужно создать еще один ключ для всех остальных (0.0.0.0 0.0.0.0). А как его тогда вводить клиентам в cisco vpn client? Я имею ввиду вообще для чего он? cisco vpn client насколько я понял делает авторизацию по созданной политике. А там указана авторизация группе и пользователю, что и указывается в vpn client.
- Настройка Easy VPN Server, motok, 15:29 , 28-Фев-18 (8)
> Сеичас у меня есть ключ для удаленного ip (site to site vpn). > Получается, мне нужно создать еще один ключ для всех остальных (0.0.0.0 > 0.0.0.0). А как его тогда вводить клиентам в cisco vpn client? > Я имею ввиду вообще для чего он? cisco vpn client насколько > я понял делает авторизацию по созданной политике. А там указана авторизация > группе и пользователю, что и указывается в vpn client.Сделал для "всех остальных ip" ключ. Теперь динамическая карта тест проходит. Но статус у карты - Down остался. И соединениться так же не дает. У клиента та же ошибка.
- Настройка Easy VPN Server, motok, 17:40 , 28-Фев-18 (9)
Т.е. у меня сеичас вопрос, почему у динамического туннеля статус Down. Хотя тест сеичас проходит без ошибок.
|