Cześć.
VPN w topologi Hub & Spoke z IKEv1, na potrzeby połączenia 4 oddziałów, ale niestety dwa z nich nie mają stałych adresów IP.
Czy jest jakiś sposób, aby ustalić który spoke korzystający z dynamicznej crypto mapy właśnie się połączył po to żeby ustalić jaki ruch do niego pchać?
Może można je jakoś rozpoznawać, np: po pre-shared-key?
ASA 9.x crypto dynamic-map i rozpoznawanie kto jest kto?
ASA 9.x crypto dynamic-map i rozpoznawanie kto jest kto?
Pozdrawiam...
Marceli
Marceli
Hej,
Wg mnie jedyny sposób na ASA dla psk to zrobić easy vpn w trybie NEM. Inny sposób to jeśli wdrożysz PKI to mapowanie do tunnel group przez certificate-map'y na podstawie DN. Na IOS przy psk jest chyba możliwość zrobienia mapowania po fqdn w ike.
pozdr,
Wg mnie jedyny sposób na ASA dla psk to zrobić easy vpn w trybie NEM. Inny sposób to jeśli wdrożysz PKI to mapowanie do tunnel group przez certificate-map'y na podstawie DN. Na IOS przy psk jest chyba możliwość zrobienia mapowania po fqdn w ike.
pozdr,
CCIE RS#55541
"W ogóle, bracie, jeżeli nie masz na utrzymaniu rodziny, nie grozi ci głód, nie jesteś Tutsi ani Hutu i te sprawy, to wystarczy, że odpowiesz sobie na jedno zajebiście, ale to zajebiście, ważne pytanie: co lubię w życiu robić. A potem zacznij to robić..."
http://www.linkedin.com/in/mariuszbugaj
"W ogóle, bracie, jeżeli nie masz na utrzymaniu rodziny, nie grozi ci głód, nie jesteś Tutsi ani Hutu i te sprawy, to wystarczy, że odpowiesz sobie na jedno zajebiście, ale to zajebiście, ważne pytanie: co lubię w życiu robić. A potem zacznij to robić..."
http://www.linkedin.com/in/mariuszbugaj
Ja zaproponowałbym zamiast EZVPN, IKEv2 i standardowy site-2-site.MarcelLee pisze:THX, pomogłeś, PKI już mam więc wystarczy je wykorzystaćbugi pisze:Hej,
Inny sposób to jeśli wdrożysz PKI to mapowanie do tunnel group przez certificate-map'y na podstawie DN.
pozdr,
EZVPN to dalej jest jednak dalej mało bezpieczny aggressive mode + xauth jako zabezpieczenie to też takie se.
W IKEv2 spokojnie możesz tworzyć tunnel-groupy po IKE ID - tak więc wysyłasz ze spoków FQDN, matchujesz w tunnel-groupy i gra
![Wink ;)](./images/smilies/icon_wink.gif)
Pozdrawiam,
Dodam jeszcze ze w dynamic access liscie konfigurujesz sobie proxy id i jak peer przyjdzie ci ze zlym proxy id to go nie wpusci.
Przyklad
Przyklad
Kod: Zaznacz cały
Peer1:
access-list dynamic1 line 1 extended permit ip 192.168.100.0 255.255.255.0 192.168.200.0 255.255.255.0
Peer2:
access-list dynamic2 line 1 extended permit ip 192.168.100.0 255.255.255.0 192.168.210.0 255.255.255.0
Peer1:
crypto dynamic-map vpn 10 match address dynamic1
crypto dynamic-map vpn 10 set transform-set 3des-sha
Peer2:
crypto dynamic-map vpn 20 match address dynamic2
crypto dynamic-map vpn 20 set transform-set 3des-sha
crypto map vpn 65535 ipsec-isakmp dynamic vpn
crypto map vpn interface outside
Zawsze jest coś czego możesz się nauczyć