Remote i Site-to-Site VPN na jednym interfejsie ?
-
- wannabe
- Posty: 323
- Rejestracja: 29 sty 2006, 12:51
Remote i Site-to-Site VPN na jednym interfejsie ?
Czesc
Czy da sie zrobic na jednym pixie (515E, pixos 6.3) na tym samym interfejsie jednoczesnie Remote VPNa i Site-To-Site VPNa ?
Problem w tym ze mam dwie kryptomapy ktore chcialbym przypisac do jednego interfejsu:
crypto map CRYPTOMAP 20 ipsec-isakmp dynamic DYNMAP
crypto map CRYPTOMAP client configuration address initiate
crypto map CRYPTOMAP client authentication LOCAL
crypto map CRYPTOMAP interface outside
crypto map CRYPTOMAP2 10 ipsec-isakmp
crypto map CRYPTOMAP2 10 match address x.x.x.x
crypto map CRYPTOMAP2 10 set peer y.y.y.y
crypto map CRYPTOMAP2 10 set transform-set TRANSFORMSET2
CRYPTOMAP jest do remote vpn a CRYPTOMAP2 do site-to-site VPN. Czy da sie jakos te dwie rzeczy polaczyc ?
Dzieki
Czy da sie zrobic na jednym pixie (515E, pixos 6.3) na tym samym interfejsie jednoczesnie Remote VPNa i Site-To-Site VPNa ?
Problem w tym ze mam dwie kryptomapy ktore chcialbym przypisac do jednego interfejsu:
crypto map CRYPTOMAP 20 ipsec-isakmp dynamic DYNMAP
crypto map CRYPTOMAP client configuration address initiate
crypto map CRYPTOMAP client authentication LOCAL
crypto map CRYPTOMAP interface outside
crypto map CRYPTOMAP2 10 ipsec-isakmp
crypto map CRYPTOMAP2 10 match address x.x.x.x
crypto map CRYPTOMAP2 10 set peer y.y.y.y
crypto map CRYPTOMAP2 10 set transform-set TRANSFORMSET2
CRYPTOMAP jest do remote vpn a CRYPTOMAP2 do site-to-site VPN. Czy da sie jakos te dwie rzeczy polaczyc ?
Dzieki
Zrob wszystko w jednej crypto-mapie - mam tu nawet dzialajacy:
crypto map VPN-NEW 10 ipsec-isakmp
crypto map VPN-NEW 10 match address xxxxxxxxxx
crypto map VPN-NEW 10 set peer xxx.xxx.xxx.xxx
crypto map VPN-NEW 10 set transform-set TS1
crypto map VPN-NEW 20 ipsec-isakmp
crypto map VPN-NEW 20 match address xxxxxxx
crypto map VPN-NEW 20 set peer xxx.xxx.xxx.xxx
crypto map VPN-NEW 20 set transform-set TS1
crypto map VPN-NEW 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map VPN-NEW interface outside
HTH,
PJ
crypto map VPN-NEW 10 ipsec-isakmp
crypto map VPN-NEW 10 match address xxxxxxxxxx
crypto map VPN-NEW 10 set peer xxx.xxx.xxx.xxx
crypto map VPN-NEW 10 set transform-set TS1
crypto map VPN-NEW 20 ipsec-isakmp
crypto map VPN-NEW 20 match address xxxxxxx
crypto map VPN-NEW 20 set peer xxx.xxx.xxx.xxx
crypto map VPN-NEW 20 set transform-set TS1
crypto map VPN-NEW 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map VPN-NEW interface outside
HTH,
PJ
Ostatnio zmieniony 18 wrz 2006, 12:55 przez pjeter, łącznie zmieniany 1 raz.
Dla Remote-access to raczej dynamic crypto-map, ktora podczepiasz z wysokim priority do static crypto map i masz z glowy
EDIT: Cholerka znowu mnie pjeter troche ubiegl
Widac, ze sie chyba nudzisz w pracy i po forumach sie szlajasz
EDIT: Cholerka znowu mnie pjeter troche ubiegl
Widac, ze sie chyba nudzisz w pracy i po forumach sie szlajasz
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein
A. Einstein
-
- wannabe
- Posty: 323
- Rejestracja: 29 sty 2006, 12:51
OK, tak zrobilem
udalo(chyba) mi sie nawiazac SA dla IKE, jednak nie ma SA dla IPSEC.
PIX(config)# show isakmp sa
Total : 2
Embryonic : 0
dst src state pending created
PIX REMOTEVPN_IP QM_IDLE 0 0
PIX SITETOSITEVPN_IP OAK_CONF_XAUTH 0 0
Co znaczy tryb OAK_CONF_XAUTH ?
Czy on przypadkiem:
crypto map CRYPTOMAP 30 ipsec-isakmp
crypto map CRYPTOMAP 30 match address VPN_SITE_TO_SITE_ACL
crypto map CRYPTOMAP 30 set peer VPN_SITE_TO_SITE_IP
crypto map CRYPTOMAP 30 set transform-set TRANSFORMSET_SITE
crypto map CRYPTOMAP 65500 ipsec-isakmp dynamic DYNMAP
crypto map CRYPTOMAP client configuration address initiate
crypto map CRYPTOMAP client authentication LOCAL
crypto map CRYPTOMAP interface outside
2 i 3 linijka od dołu czegoś nie psuje ?
Bo Xauth używam dla remote vpn i to działa OK (dodatkowe hasło user/password).
Co może być nie tak ?
Dzięki
udalo(chyba) mi sie nawiazac SA dla IKE, jednak nie ma SA dla IPSEC.
PIX(config)# show isakmp sa
Total : 2
Embryonic : 0
dst src state pending created
PIX REMOTEVPN_IP QM_IDLE 0 0
PIX SITETOSITEVPN_IP OAK_CONF_XAUTH 0 0
Co znaczy tryb OAK_CONF_XAUTH ?
Czy on przypadkiem:
crypto map CRYPTOMAP 30 ipsec-isakmp
crypto map CRYPTOMAP 30 match address VPN_SITE_TO_SITE_ACL
crypto map CRYPTOMAP 30 set peer VPN_SITE_TO_SITE_IP
crypto map CRYPTOMAP 30 set transform-set TRANSFORMSET_SITE
crypto map CRYPTOMAP 65500 ipsec-isakmp dynamic DYNMAP
crypto map CRYPTOMAP client configuration address initiate
crypto map CRYPTOMAP client authentication LOCAL
crypto map CRYPTOMAP interface outside
2 i 3 linijka od dołu czegoś nie psuje ?
Bo Xauth używam dla remote vpn i to działa OK (dodatkowe hasło user/password).
Co może być nie tak ?
Dzięki
A internet ma ?
To niech skorzysta: ;)
http://tinyurl.com/jyom5
Dokladniej tutaj:
http://tinyurl.com/2eyhj
isakmp key ******** address 172.18.124.153 netmask 255.255.255.255 no-xauth no-config-mode
Czyzby o to chodzilo ?
PJ
To niech skorzysta: ;)
http://tinyurl.com/jyom5
Dokladniej tutaj:
http://tinyurl.com/2eyhj
isakmp key ******** address 172.18.124.153 netmask 255.255.255.255 no-xauth no-config-mode
Czyzby o to chodzilo ?
PJ
-
- wannabe
- Posty: 323
- Rejestracja: 29 sty 2006, 12:51
http://tinyurl.com/lrh6x
" i tak kur.a zawsze.. no zawsze..
czlowiek chce pomoc.. zeby jakos tak fajnie bylo...
..i jak sie podoba to uuu brawo, brawo...
a jak przyjdzie co do czego to, to... zaden przycisku nie nacisnie.. " ;)
hrhr :P
Pozdrowka,
PJ
" i tak kur.a zawsze.. no zawsze..
czlowiek chce pomoc.. zeby jakos tak fajnie bylo...
..i jak sie podoba to uuu brawo, brawo...
a jak przyjdzie co do czego to, to... zaden przycisku nie nacisnie.. " ;)
hrhr :P
Pozdrowka,
PJ
ROTFLpjeter pisze:http://tinyurl.com/lrh6x
" i tak kur.a zawsze.. no zawsze..
czlowiek chce pomoc.. zeby jakos tak fajnie bylo...
..i jak sie podoba to uuu brawo, brawo...
a jak przyjdzie co do czego to, to... zaden przycisku nie nacisnie.. "
hrhr
Pozdrowka,
PJ
Niedlugo to strach pytania bedzie zadawac
pozdrawiam
Szymon
"It's always a long day, 86,400 won't fit into a short."
Szymon
"It's always a long day, 86,400 won't fit into a short."
bez jaj - naprawde zalezy ci na tych cyferkach ?pjeter pisze:http://tinyurl.com/lrh6x
" i tak kur.a zawsze.. no zawsze..
czlowiek chce pomoc.. zeby jakos tak fajnie bylo...
..i jak sie podoba to uuu brawo, brawo...
a jak przyjdzie co do czego to, to... zaden przycisku nie nacisnie.. "
hrhr
Pozdrowka,
PJ
A CCIE does not necessarily make someone a good engineer. NOT having a CCIE does not necessarily make someone a bad engineer (or not as good). All we can do is strive to make ourselves individually better! (SM)