CCIE.pl

site 4 CCIE wannabies
It is currently 18 Jan 2017, 08:56

All times are UTC+01:00




Post new topic  Reply to topic  [ 3 posts ] 
Author Message
 Post subject: RRI i strongswan
Post #1 Posted: 16 Nov 2016, 21:21 
Offline
fresh
fresh

Joined: 16 Nov 2016, 21:02
Posts: 2
Witam wszystkich,

Czy ktoś z obecnych mógłby mi powiedzieć czy da się zrealizować RRI na routerze cisco, gdy w strongswan zdefiniuje się leftsourceip zamiast leftsubnet (IKEv2)?

Czyli np. po stronie strongswan'a robimy leftsourceip=10.2.3.4/32, i po zestawieniu tunelu cisco dodaje wpis do tablicy routingu właśnie do 10.2.3.4/32.

Z moich prób wynikło, że da się to zrobić dla leftsubnet=10.2.3.4/32 po stronie strongswana.

Znam też rozwiązanie, w którym jest po stronie strongswan'a leftsourceip=%config, i router cisco podsyła (IKEv2) swan'owi wirutalny adres IP i robi RRI, ale ten adres wziął z serwera Radius. Czy bez radius'a się jakoś da?

Z góry dziękuję za pomoc!


Top
   
 Post subject: Re: RRI i strongswan
Post #2 Posted: 16 Nov 2016, 22:57 
Offline
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin

Joined: 15 Jul 2004, 20:35
Posts: 6169
Location: Warsaw, PL
Jaki router/IOS, typ VPN?
Ogólnie RRI jak najbardziej jest wspierany, kwestia doprecyzowania jak to się ma do Twojego scenariusza

_________________
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein


Top
   
 Post subject: Re: RRI i strongswan
Post #3 Posted: 17 Nov 2016, 08:26 
Offline
fresh
fresh

Joined: 16 Nov 2016, 21:02
Posts: 2
Router.... Pytanie było w pierwszej kolejności o to czy to w ogóle jest możliwe, przy użyciu virtual ip zamiast leftsubnet po stronie strongswana i bez użycia AAA.

Obecnie próbuję to na wkładce NME-16ES (ma IKEv2, router do którego jest włożona nie ma), C3750, ios 15.0(2)SE2 i udało się z leftsubnet. To jednak nie jest platforma docelowa, nawet nie wiem jaka będzie docelowa w tej chwili.

Ktoś mi podpowiedział, że jakbym chciał z virtual ip, to musiałbym użyć Virtual Template i Virtual Access, ale cisco pisze o tym, że

Quote:
To determine whether a virtual access interface is created, ensure the following exists:

AAA per-user configuration

Support for link interface support direct per-user AAA


co rozumiem tak, że w tym wypadku bez AAA się nie da użyć Virtual Access. Mam rację?

Z Virtual Access się da, nie robiłem, ale widziałem taką działającą konfigurację przy użyciu AAA, jak pisałem w pierwszym poście.


Top
   
Display posts from previous:  Sort by  
Post new topic  Reply to topic  [ 3 posts ] 

All times are UTC+01:00


Who is online

Users browsing this forum: pabo and 1 guest


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Powered by phpBB® Forum Software © phpBB Limited