YuryD Posted February 12, 2016 · Report post Есть пара asa5505 с asa804-k8.bin Пытаюсь из цискиного примера поднять простейший ipsec-туннель (http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/100678-l2l-asa5505-config.html) И не поднимается.... Может ios кривоват ? Нее, дивайсы друг друга видят, конфиги зеркальны, wan и lan адреса, пиры. ping есть, управление есть, а туннеля нет. до этого нормально строил ipsec на длинках, тплинках, и ракуне. А тут даже идей никаких нет. Хотя многое-чего невнятно - на acl ничего не оседает например. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdntw Posted February 12, 2016 · Report post asa804-k8.bin только DES, для 3DES нужна лицензия, но заливается на свой страх и риск Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted February 12, 2016 · Report post asa804-k8.bin только DES, для 3DES нужна лицензия, но заливается на свой страх и риск Тогда такой вопрос, задачка стоит в построении ipsec меж точками, через основной и резервный канал, с переключением по ip sla и инета с nat и туннеля, практически безобрывно-незаметно. failover в лицензии нету. Какой ios потянет это ? Тьфу мня, про 3des вроде это идея и есть, спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
landy Posted February 12, 2016 · Report post Был опыт настройки схожего на 5510. Включил 3DES, поднял оба канала, настроил переключение маршрута по умолчанию через sla и какой-то узел за пределами сети провайдера, резервная точка в тоннеле настроилась простым указанием двух адресов в crypto map External_map 110 set peer 1.2.3.4 5.6.7.8. Аналогично с другой стороны. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted February 17, 2016 · Report post Задача решена, засада была сначала в стенде, а уж затем - что выбирать для пинга в ip sla. А так - тщательно смотрим на route. Ну и - для asa5505 найти последнюю версию 9.24 с соотв asdm, немного поискать или купить лицензии, и всё колосится ! На основе ip sla и двух крипто, для разных провайдеров. Время переключения nat на другого провайдера - пара секунд, время переподъема ipsec для спд - пингов 20, но всяко меньше минуты. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...