The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Настройка Easy VPN Server, !*! motok, 27-Фев-18, 17:05  [смотреть все]
Cisco 881 PCI k9
Пытаюсь настроить Easy VPN Server. На маршрутизаторе уже настроен VPN туннель Site-to-Site. На WAN интерфейсе включен crypto map. Если пытаюсь подключить второй crypto map созданный для Easy VPN Server, то первый отключается. Подскажите, можно ли использовать две крипто карты на интерфейсе?
Ответить | Сообщить модератору
  • Настройка Easy VPN Server, !*! shadow_alone, 21:49 , 27-Фев-18 (1)
    • Настройка Easy VPN Server, !*! motok, 22:07 , 27-Фев-18 (2)
      > Используй одно и тоже имя для криптомяпы, только с разным весом, и
      > всё.

      В Easy VPN Server динамическая карта, ее нужно подключить к статичной. У меня есть статичная карта которая подключена к WAN интерфейсу с именем crypto map SDM_CMAP_2. Правильно ли я ввел команду crypto map SDM_CMAP_2 2 ipsec-isakmp dynamic DYNVPN (при имени динамической карты DYNVPN)? Я сделал так. Пробую теперь подключится через Cisco VPN Client. Авторизация группы проходит, а вот после авторизации пользователя появляется строка в нижней части: negotiation secure policy и сразу Not connected. Show crypto session показывает:
      Interface: FastEthernet4
      Username: USER-EVPN
      Profile: VPN-CLIENT
      Group: GROUP-EVPN
      Assigned address: 192.168.3.49
      Session status: UP-IDLE
      Peer: 109.*.*.* port 55979
        IKEv1 SA: local 84.*.*.*/4500 remote 109.*.*.*/55979 Active

      Т.е. попытку подключения видит. В чем может быть проблема?


      Ответить | Сообщить модератору
      • Настройка Easy VPN Server, !*! motok, 12:48 , 28-Фев-18 (3)
        Конфиг чуть ниже... В циске не силен, поэтому полез искать ошибки через ccp. Динамическую карту нашел в разделе edit site to site со статусом Down. Там же запустил тест динамического туннеля. Выскочило предупреждение и возможное решение:

        There are IKE policies configured with Pre-shared key authentication method but there is no global Pre-shared key configured.

        If the other end VPN device is configured with a Pre-shared key then configure a global Pre-shared key with wild card mask (0.0.0.0 0.0.0.0). To configure the Pre-shared key go to 'Configure->VPN->VPN Components->IKE->Pre-shared Keys'.

        Я немного не понял, он хочет чтоб я ввел какой то общий ключ? В общем прошу помощи.

        enable secret 4 WIt8jvB9k8OmgaoqfrYwU//PXImqYGmcAxH9SvUrP.Q
        !
        aaa new-model
        aaa authentication login EVPN local
        aaa authorization network GROUP-EVPN local
        aaa session-id common
        !

        crypto pki trustpoint TP-self-signed-3162
        enrollment selfsigned
        subject-name cn=IOS-Self-Signed-Certificate-3162
        revocation-check none
        rsakeypair TP-self-signed-31627
        !

        multilink bundle-name authenticated
        license udi pid CISCO881-PCI-K9 sn FCZ
        license boot module c880-data level advipservices
        !
        !
        username 88888 privilege 15 view root secret 4 WIt8jvB9k8OmgaoqfrYwU//PXImq
        username USER-EVPN password 0 88888888
        !

        crypto isakmp policy 1
        encr 3des
        authentication pre-share
        group 2
        !
        crypto isakmp policy 10
        hash md5
        authentication pre-share
        group 2
        crypto isakmp key 111111111 address 84.*.*.*
        !
        crypto isakmp client configuration group GROUP-EVPN
        key 999999999
        dns 192.168.3.1
        wins 192.168.3.1
        domain domain.metiz.ru
        pool VPN-POOL
        acl 110
        crypto isakmp profile VPN-CLIENT
        match identity group GROUP-EVPN
        client authentication list EVPN
        isakmp authorization list GROUP-EVPN
        client configuration address respond
        !
        crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
        crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac
        !
        crypto dynamic-map DYNMAP 10
        set transform-set 3DES-MD5
        set isakmp-profile VPN-CLIENT
        reverse-route
        !
        crypto map SDM_CMAP_2 1 ipsec-isakmp
        description Tunnel to84.*****
        set peer 84.******
        set transform-set ESP-3DES-SHA1
        match address 103
        crypto map SDM_CMAP_2 64000 ipsec-isakmp dynamic DYNMAP
        !
        interface FastEthernet4
        description Internet$ETH-WAN$
        ip address 84.*.*.* 255.255.255.248
        ip nat outside
        ip virtual-reassembly in
        duplex auto
        speed auto
        crypto map SDM_CMAP_2
        !
        ip local pool VPN-POOL 192.168.3.40 192.168.3.50
        !
        ip flow-export version 5
        ip flow-export destination 169.254.0.7 9996
        ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
        ip route 0.0.0.0 0.0.0.0 84.47.*.*
        !
        access-list 23 permit
        access-list 23 permit
        access-list 103
        access-list 104
        !
        route-map SDM_RMAP_1 permit 1
        match ip address 104
        match interface FastEthernet4


        Ответить | Сообщить модератору
        • Настройка Easy VPN Server, !*! AlexDv, 13:43 , 28-Фев-18 (4)
          • Настройка Easy VPN Server, !*! motok, 13:48 , 28-Фев-18 (5)
            >[оверквотинг удален]
            >> статусом Down. Там же запустил тест динамического туннеля. Выскочило предупреждение и
            >> возможное решение:
            >> There are IKE policies configured with Pre-shared key authentication method but there
            >> is no global Pre-shared key configured.
            >> If the other end VPN device is configured with a Pre-shared key
            >> then configure a global Pre-shared key with wild card mask (0.0.0.0
            >> 0.0.0.0). To configure the Pre-shared key go to 'Configure->VPN->VPN Components->IKE->Pre-shared
            >> Keys'.
            > Предупреждает, что нужен ключ для любого IP.
            > crypto isakmp key 2222222 address 0.0.0.0 0.0.0.0

            т.е. не только для 84.*.*.*? Этот ключ для чего будет применяться? Для имеющего vpn site to site или для всех VPN соединений?

            Ответить | Сообщить модератору
            • Настройка Easy VPN Server, !*! AlexDv, 14:09 , 28-Фев-18 (6)
              • Настройка Easy VPN Server, !*! motok, 14:22 , 28-Фев-18 (7)
                >[оверквотинг удален]
                >>>> If the other end VPN device is configured with a Pre-shared key
                >>>> then configure a global Pre-shared key with wild card mask (0.0.0.0
                >>>> 0.0.0.0). To configure the Pre-shared key go to 'Configure->VPN->VPN Components->IKE->Pre-shared
                >>>> Keys'.
                >>> Предупреждает, что нужен ключ для любого IP.
                >>> crypto isakmp key 2222222 address 0.0.0.0 0.0.0.0
                >> т.е. не только для 84.*.*.*? Этот ключ для чего будет применяться? Для
                >> имеющего vpn site to site или для всех VPN соединений?
                > Если у вас есть ключ для конкретного ип - будет применяться он,
                > для всех остальных ключ 0.0.0.0 0.0.0.0

                Сеичас у меня есть ключ для удаленного ip (site to site vpn). Получается, мне нужно создать еще один ключ для всех остальных (0.0.0.0 0.0.0.0). А как его тогда вводить клиентам в cisco vpn client? Я имею ввиду вообще для чего он? cisco vpn client насколько я понял делает авторизацию по созданной политике. А там указана авторизация группе и пользователю, что и указывается в vpn client.


                Ответить | Сообщить модератору
                • Настройка Easy VPN Server, !*! motok, 15:29 , 28-Фев-18 (8)

                  > Сеичас у меня есть ключ для удаленного ip (site to site vpn).
                  > Получается, мне нужно создать еще один ключ для всех остальных (0.0.0.0
                  > 0.0.0.0). А как его тогда вводить клиентам в cisco vpn client?
                  > Я имею ввиду вообще для чего он? cisco vpn client насколько
                  > я понял делает авторизацию по созданной политике. А там указана авторизация
                  > группе и пользователю, что и указывается в vpn client.

                  Сделал для "всех остальных ip" ключ. Теперь динамическая карта тест проходит. Но статус у карты - Down остался. И соединениться так же не дает. У клиента та же ошибка.


                  Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру