forum.opennet.ru - "Проблемы с ISAKMP и VPN Client" (5)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Проблемы с ISAKMP и VPN Client"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Проблемы с ISAKMP и VPN Client"
Сообщение от Sergjack (ok) on 01-Авг-05, 15:26 (MSK)
Есть две киски, между ними настроен шифрованный туннель: interface Tunnel1 ip address 1.1.1.1 255.255.255.240 tunnel source 172.16.13.1 tunnel destination 172.16.12.1 tunnel protection ipsec profile house Есть по две политики ISAKMP: crypto isakmp policy 1 encr 3des hash md5 group 2 ! crypto isakmp policy 2 encr 3des hash md5 authentication pre-share group 2 ! Циски друг друга аутентифицируют по RSA. И все это замечательно работает, ISAKMP - устанавливает соединения При этом на Ethernet интерфейсе никаких crypto map не прописано, они создаются автоматом туннелем. Встала задача настроить на одной из цисок сервер для Cisco VPN Client, для этого создали динамическую crypto map, и другие параметры: crypto dynamic-map dynmap 10 set transform-set puta reverse-route ! ! crypto map clientmap client authentication list userauthen crypto map clientmap isakmp authorization list groupauthor crypto map clientmap client configuration address respond crypto map clientmap 10 ipsec-isakmp dynamic dynmap прописали crypto map clientmap на реальном интерфейсе, и тут начались проблемы. т.е. работает либо подключения клиентов, либо туннели. Для туннелей ISAKMP пытается провести конфигурацию предназначенную для клиентов, SA для ISAKMP перестают устанавливаться. Стоит снять crypto map с ethernet интерфейса - все ок. Как я понимаю, туннели тоже попадают под динамическую криптомапу, и проблема в этом. Как можно разделить ISAKMP для туннелей и ISAKMP для Cisco VPN Client?
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Проблемы с ISAKMP и VPN Client, Eduard_k, 16:14 , 01-Авг-05, (1)
- Проблемы с ISAKMP и VPN Client, Sergjack, 17:11 , 01-Авг-05, (2)
  - Проблемы с ISAKMP и VPN Client, Eduard_k, 17:37 , 01-Авг-05, (3)
    - Проблемы с ISAKMP и VPN Client, Sergjack, 14:36 , 05-Авг-05, (4)
      - Проблемы с ISAKMP и VPN Client, ВОЛКА, 16:05 , 05-Авг-05, (5)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Проблемы с ISAKMP и VPN Client"

Сообщение от Eduard_k (??) on 01-Авг-05, 16:14  (MSK)

>Есть две киски, между ними настроен шифрованный туннель:
>interface Tunnel1
> ip address 1.1.1.1 255.255.255.240
> tunnel source 172.16.13.1
> tunnel destination 172.16.12.1
> tunnel protection ipsec profile house
>
>Есть по две политики ISAKMP:
>crypto isakmp policy 1
> encr 3des
> hash md5
> group 2
>!
>crypto isakmp policy 2
> encr 3des
> hash md5
> authentication pre-share
> group 2
>!
>
>Циски друг друга аутентифицируют по RSA.
>И все это замечательно работает, ISAKMP - устанавливает соединения
>При этом на Ethernet интерфейсе никаких crypto map не прописано, они создаются
>автоматом туннелем.
>Встала задача настроить на одной из цисок сервер для Cisco VPN Client,
>для этого создали динамическую crypto map, и другие параметры:
>
>crypto dynamic-map dynmap 10
> set transform-set puta
> reverse-route
>!
>!
>crypto map clientmap client authentication list userauthen
>crypto map clientmap isakmp authorization list groupauthor
>crypto map clientmap client configuration address respond
>crypto map clientmap 10 ipsec-isakmp dynamic dynmap
>
>прописали crypto map clientmap на реальном интерфейсе, и тут начались проблемы.
>т.е. работает либо подключения клиентов, либо туннели.
>Для туннелей ISAKMP пытается провести конфигурацию предназначенную для клиентов, SA для ISAKMP
>перестают устанавливаться.
>Стоит снять crypto map с ethernet интерфейса - все ок.
>Как я понимаю, туннели тоже попадают под динамическую криптомапу, и проблема в
>этом.
>Как можно разделить ISAKMP для туннелей и ISAKMP для Cisco VPN Client?
>

Было нечто подобное, crypto map на Ethernrt0 терменировал на себе свой туннель, и тот , который находился за ним, на loopback0.
При этом переодически матерился, что мол получен пакет от неизвестного peer-а. Пришлось пожертвовать еще одним адресом и перевесить crypto map с eth0 на loop1

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Проблемы с ISAKMP и VPN Client"

Сообщение от Sergjack (ok) on 01-Авг-05, 17:11  (MSK)

>
>Было нечто подобное, crypto map на Ethernrt0 терменировал на себе свой туннель,
>и тот , который находился за ним, на loopback0.
>При этом переодически матерился, что мол получен пакет от неизвестного peer-а. Пришлось
>пожертвовать еще одним адресом и перевесить crypto map с eth0 на
>loop1
Так а каким образом назначить loop0 адрес, пересекающийся с адресом eth0 по подсети?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Проблемы с ISAKMP и VPN Client"

Сообщение от Eduard_k (??) on 01-Авг-05, 17:37  (MSK)

>>
>>Было нечто подобное, crypto map на Ethernrt0 терменировал на себе свой туннель,
>>и тот , который находился за ним, на loopback0.
>>При этом переодически матерился, что мол получен пакет от неизвестного peer-а. Пришлось
>>пожертвовать еще одним адресом и перевесить crypto map с eth0 на
>>loop1
>
>Так а каким образом назначить loop0 адрес, пересекающийся с адресом eth0 по
>подсети?
Из той же подсети не выйдет - overlap.
надо побить маской на подсети помельче, если возможно, либо просить у провайдера еще одну подсеть.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Проблемы с ISAKMP и VPN Client"

Сообщение от Sergjack (??) on 05-Авг-05, 14:36  (MSK)

>
>Из той же подсети не выйдет - overlap.
>надо побить маской на подсети помельче, если возможно, либо просить у провайдера
>еще одну подсеть.
Побили на две подсети. Лупбак - пингуется, сессии на него открываются, но ISAKMP не устанавливается.
Прописываешь crypto map на реальный интерфейс - работает в лёт, а прописываешь на лупбак - не вырабатывают они SA. Такое ощущение что политиками не договариваются...

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Проблемы с ISAKMP и VPN Client"

Сообщение от ВОЛКА on 05-Авг-05, 16:05  (MSK)

а дебаги на что?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Проблемы с ISAKMP и VPN Client"
Сообщение от Eduard_k (??) on 01-Авг-05, 16:14 (MSK)
>Есть две киски, между ними настроен шифрованный туннель: >interface Tunnel1 > ip address 1.1.1.1 255.255.255.240 > tunnel source 172.16.13.1 > tunnel destination 172.16.12.1 > tunnel protection ipsec profile house > >Есть по две политики ISAKMP: >crypto isakmp policy 1 > encr 3des > hash md5 > group 2 >! >crypto isakmp policy 2 > encr 3des > hash md5 > authentication pre-share > group 2 >! > >Циски друг друга аутентифицируют по RSA. >И все это замечательно работает, ISAKMP - устанавливает соединения >При этом на Ethernet интерфейсе никаких crypto map не прописано, они создаются >автоматом туннелем. >Встала задача настроить на одной из цисок сервер для Cisco VPN Client, >для этого создали динамическую crypto map, и другие параметры: > >crypto dynamic-map dynmap 10 > set transform-set puta > reverse-route >! >! >crypto map clientmap client authentication list userauthen >crypto map clientmap isakmp authorization list groupauthor >crypto map clientmap client configuration address respond >crypto map clientmap 10 ipsec-isakmp dynamic dynmap > >прописали crypto map clientmap на реальном интерфейсе, и тут начались проблемы. >т.е. работает либо подключения клиентов, либо туннели. >Для туннелей ISAKMP пытается провести конфигурацию предназначенную для клиентов, SA для ISAKMP >перестают устанавливаться. >Стоит снять crypto map с ethernet интерфейса - все ок. >Как я понимаю, туннели тоже попадают под динамическую криптомапу, и проблема в >этом. >Как можно разделить ISAKMP для туннелей и ISAKMP для Cisco VPN Client? > Было нечто подобное, crypto map на Ethernrt0 терменировал на себе свой туннель, и тот , который находился за ним, на loopback0. При этом переодически матерился, что мол получен пакет от неизвестного peer-а. Пришлось пожертвовать еще одним адресом и перевесить crypto map с eth0 на loop1
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Проблемы с ISAKMP и VPN Client"
	Сообщение от Sergjack (ok) on 01-Авг-05, 17:11 (MSK)
	> >Было нечто подобное, crypto map на Ethernrt0 терменировал на себе свой туннель, >и тот , который находился за ним, на loopback0. >При этом переодически матерился, что мол получен пакет от неизвестного peer-а. Пришлось >пожертвовать еще одним адресом и перевесить crypto map с eth0 на >loop1 Так а каким образом назначить loop0 адрес, пересекающийся с адресом eth0 по подсети?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Проблемы с ISAKMP и VPN Client"
	Сообщение от Eduard_k (??) on 01-Авг-05, 17:37 (MSK)
	>> >>Было нечто подобное, crypto map на Ethernrt0 терменировал на себе свой туннель, >>и тот , который находился за ним, на loopback0. >>При этом переодически матерился, что мол получен пакет от неизвестного peer-а. Пришлось >>пожертвовать еще одним адресом и перевесить crypto map с eth0 на >>loop1 > >Так а каким образом назначить loop0 адрес, пересекающийся с адресом eth0 по >подсети? Из той же подсети не выйдет - overlap. надо побить маской на подсети помельче, если возможно, либо просить у провайдера еще одну подсеть.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Проблемы с ISAKMP и VPN Client"
	Сообщение от Sergjack (??) on 05-Авг-05, 14:36 (MSK)
	> >Из той же подсети не выйдет - overlap. >надо побить маской на подсети помельче, если возможно, либо просить у провайдера >еще одну подсеть. Побили на две подсети. Лупбак - пингуется, сессии на него открываются, но ISAKMP не устанавливается. Прописываешь crypto map на реальный интерфейс - работает в лёт, а прописываешь на лупбак - не вырабатывают они SA. Такое ощущение что политиками не договариваются...
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Проблемы с ISAKMP и VPN Client"
	Сообщение от ВОЛКА on 05-Авг-05, 16:05 (MSK)
	а дебаги на что?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]