[YuryD]

Есть пара asa5505 с asa804-k8.bin

Пытаюсь из цискиного примера поднять простейший ipsec-туннель (http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/100678-l2l-asa5505-config.html)

И не поднимается.... Может ios кривоват ? Нее, дивайсы друг друга видят, конфиги зеркальны, wan и lan адреса, пиры. ping есть, управление есть, а туннеля нет. до этого нормально строил ipsec на длинках, тплинках, и ракуне. А тут даже идей никаких нет. Хотя многое-чего невнятно - на acl ничего не оседает например.

[rdntw]

asa804-k8.bin

только DES, для 3DES нужна лицензия, но заливается на свой страх и риск

[YuryD]

asa804-k8.bin

только DES, для 3DES нужна лицензия, но заливается на свой страх и риск

 

Тогда такой вопрос, задачка стоит в построении ipsec меж точками, через основной и резервный канал, с переключением по ip sla и инета с nat и туннеля, практически безобрывно-незаметно. failover в лицензии нету. Какой ios потянет это ?

 

Тьфу мня, про 3des вроде это идея и есть, спасибо.

[landy]

Был опыт настройки схожего на 5510. Включил 3DES, поднял оба канала, настроил переключение маршрута по умолчанию через sla и какой-то узел за пределами сети провайдера, резервная точка в тоннеле настроилась простым указанием двух адресов в crypto map External_map 110 set peer 1.2.3.4 5.6.7.8. Аналогично с другой стороны.

[YuryD]

Задача решена, засада была сначала в стенде, а уж затем - что выбирать для пинга в ip sla. А так - тщательно смотрим на route. Ну и - для asa5505 найти последнюю версию 9.24 с соотв asdm, немного поискать или купить лицензии, и всё колосится ! На основе ip sla и двух крипто, для разных провайдеров. Время переключения nat на другого провайдера - пара секунд, время переподъема ipsec для спд - пингов 20, но всяко меньше минуты.