Konfiguracja VPN S2S na ASA (certyfikat)

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba, Wojtachinho

Wiadomość
Autor
mariusz389
fresh
fresh
Posty: 3
Rejestracja: 21 lut 2020, 22:48

Konfiguracja VPN S2S na ASA (certyfikat)

#1

#1 Post autor: mariusz389 » 21 lut 2020, 23:38

Cześć,

Prosiłbym o pomoc wyjaśnieniu pewnej kwestii. Chodzi o konfigurację TrustPointa dla VPN Site-To-Site na CISCO ASA. Konfiguracja jest wprowadzana w dwóch miejscach w konfigu:

1)
tunnel-group 2.2.2.2 ipsec-attributes
ikev1 trust-point TrustPoint-S2S


2)
crypto map INTERNET_map 14 set peer 2.2.2.2
crypto map INTERNET_map 14 set trustpoint TrustPoint-S2S



Proszę pomóc zrozumieć:
Jaka jest różnica pomiędzy konfiguracją Trustpointa w "tunnel-group" a w "crypto-map" ?? Na jakim poziomie zestawiania tunelu weryfikowany jest Trastopint skonfigurowany w "tunnel-group" a na jakim w konfiguracji "crypto-mapy".
Podsumowując czym generalnie różnią się te dwie konfigurację (dla jednego PEERA), i czy konfiguracja np. dla "tunnel-group" nie byłaby wystarczająca do uwierzytelnienia się certyfikatem (po co to jeszcze robić w crypto-mapie) ?


Na PEERZE VPNowym w swojej organizacji widziałem konfiguracje, gdzie Trustpoint jest powiązany tylko z "tunnel-group", i taka konfiguracja działa.

ODPOWIEDZ