The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"L2Tp/ipsec и EasyVPN "
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"L2Tp/ipsec и EasyVPN "  
Сообщение от Sklis email(??) on 17-Фев-09, 15:39 
Ув.Знатоки!Помогите организовать сабж на одном роутере (7206VXR)(пинком, советом, ссылкой).Мыслю так:нужны 2 криптомапы (transform-set разные у них)и развести их по разным подинтрерфейсам (условие задачи), ну и,соответственно,по разным VLANам. Проблема в шлюзовании пакетов на роутере - в какой VLAN я впихиваю роут (задав шлюз последнего выбора),тот VPN корректно и работает.Два вместе - никак!
Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "L2Tp/ipsec и EasyVPN "  
Сообщение от fenix2 email(??) on 17-Фев-09, 17:07 
в какой интерфейс роутится, такой crypto-map и работает
тут можно юзать BPR
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "L2Tp/ipsec и EasyVPN "  
Сообщение от Sklis email(??) on 17-Фев-09, 18:18 
>в какой интерфейс роутится, такой crypto-map и работает
>тут можно юзать BPR

Policy-Based Routing пробовал,роут-мапами развести по разным под-интерфейсам, но то-ли не докрутил,то ли еще чего.Но в принцыпе можно добиться нормальной работы (с помощью того-же PBR) двух типов VPN на одной железке?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "L2Tp/ipsec и EasyVPN "  
Сообщение от gagner (ok) on 17-Фев-09, 20:01 
а покажите конфиг и как вы делаете роутинг.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "L2Tp/ipsec и EasyVPN "  
Сообщение от Sklis email(??) on 17-Фев-09, 20:25 
>а покажите конфиг и как вы делаете роутинг.

!начало
!
aaa authentication password-prompt password:
aaa authentication username-prompt login:
aaa authentication login default local-case
aaa authentication login userauthen local
aaa authentication ppp default local
aaa authorization console
aaa authorization exec default local
aaa authorization network groupauthor local

vpdn-group L2TP
accept-dialin
  protocol l2tp
  virtual-template 2
no l2tp tunnel authentication

crypto keyring L2TP
  pre-shared-key address 0.0.0.0 0.0.0.0 key cisco12345
!
crypto isakmp policy 1
authentication pre-share
encr 3des
group 2
lifetime 3600
!
crypto isakmp policy 2
authentication pre-share
lifetime 3600

crypto isakmp client configuration group EasyVPN
key cisco12345
pool ippool
acl 199
pfs

crypto ipsec transform-set TS-VIP-STRONG esp-3des esp-sha-hmac
crypto ipsec transform-set TS_L2TP esp-3des esp-sha-hmac
mode transport

crypto dynamic-map DYNIPSECE 2000
set transform-set TS-VIP-STRONG
reverse-route
!
crypto dynamic-map DYN_MAP 10
set nat demux
set transform-set TS_L2TP

crypto map IPSECCCME client authentication list userauthen
crypto map IPSECCCME isakmp authorization list groupauthor
crypto map IPSECCCME client configuration address respond
crypto map IPSECCCME 1000 ipsec-isakmp dynamic DYNIPSECE
!
crypto map L2TP_MAP 6000 ipsec-isakmp dynamic DYN_MAP
!
!
!
!
interface Loopback0
ip address 10.100.100.1 255.255.255.0
!
interface FastEthernet0/0
ip address 10.100.0.11 255.255.255.240
no ip mroute-cache
duplex auto
speed auto
no keepalive
no cdp enable

interface FastEthernet0/1.900
encapsulation dot1Q 900
ip address 1.1.1.1 255.255.255.252
no ip redirects
no ip proxy-arp
ip virtual-reassembly
no ip route-cache same-interface
no ip mroute-cache
no snmp trap link-status
crypto map IPSECCCME
!
interface FastEthernet0/1.991
encapsulation dot1Q 991
ip address 1.1.1.5 255.255.255.252
no ip route-cache same-interface
no ip mroute-cache
no snmp trap link-status
no cdp enable
crypto map L2TP_MAP
!
interface Virtual-Template2
ip unnumbered Loopback0
ip tcp header-compression
peer default ip address pool L2TP_POOL
ppp mtu adaptive
ppp authentication ms-chap-v2
ppp ipcp header-compression ack
ppp timeout idle 3600
!
ip local pool ippool 10.100.100.101 10.100.100.110
ip local pool L2TP_POOL 10.100.100.10 10.100.100.100
ip classless

ip route 0.0.0.0 0.0.0.0 1.1.1.2
ip route 10.100.0.0 255.255.0.0 10.100.0.9

access-list 199 permit ip 10.100.0.0 0.0.255.255 any
access-list 199 permit ip any any
access-list 199 permit udp any any
!конец

1.1.1.1/30 VLAN 900
1.1.1.5/30 VLAN 991
10.100.0.0/16 -локалка

1.1.1.2(vlan900) и 1.1.1.6(vlan991) - на роутере,который уже смотрит "в мир".
Вот какой я из них задаю,тот VPN и работает нормально. Вчатности так:
ip route 0.0.0.0 0.0.0.0 1.1.1.2 - L2tp коннектится, пакеты во внутр.сеть ходят,Cisco EasyVPN Сlient коннектиться, пакеты во внутр.сеть НЕ ходят.
ip route 0.0.0.0 0.0.0.0 1.1.1.6 - L2tp НЕ коннектится, Cisco EasyVPN Сlient коннектиться,пакеты ходят нормально.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру