kapydan Posted May 20, 2019 · Report post Доброго всем времени суток. Возник такой вопрос. Есть аса 5515 с настроенным l2l vpn, в котором уже используется ikev1. Возможно ли построить l2l с этого же интерфейса, используя ikev2? Не будет ли проблем с уже существующим туннелем, не отвалится ли он? crypto ikev1 enable outside_nat crypto ikev1 policy 1 authentication pre-share encryption des hash sha group 2 lifetime 86400 interface GigabitEthernet0/3 nameif outside_nat security-level 0 ip address 1.1.1.1 255.255.255.252 Т.е. образно, следует просто разрешить ikev2 на внешнем интерфейсе и настроить соотв. политику? crypto ikev2 enable outside_nat crypto ikev2 policy 10 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted May 20, 2019 · Report post Будет работать. Можно даже политику одну и ту же использовать, просто дописав в group policy - vpn-tunnel-protocol ikev1 ikev2 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kapydan Posted May 21, 2019 · Report post Policy использовать ту же не получится - в новом l2l другое шифрование уже. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kapydan Posted May 22, 2019 · Report post В итоге, все заработало. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kapydan Posted May 23, 2019 (edited) · Report post а насчет нескольких crypto map на одном и том же интерфейсе - как понимаю, это нереализуемо? допустим, так crypto map WAN_1 interface outside crypto map WAN_2 interface outside You can assign only one crypto map set to an interface. If multiple crypto map entries have the same map name but a different sequence number, they are part of the same set and are all applied to the interface. The ASA evaluates the crypto map entry with the lowest sequence number first - на циско.ком написано так. Edited May 23, 2019 by kapydan Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted May 23, 2019 · Report post В криптомапе несколько записей же можно сделать Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kapydan Posted May 23, 2019 · Report post имеется ввиду аксее-лист? если да, то кмк так не получится сделать - в двух разных тоннелях применяются разные методы шифрования des и aes-256. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kapydan Posted May 23, 2019 · Report post разобрался - оказывается, можно было нужный пир и ацл добавить в существующую crypto map с бОльшим сиквенс намбером. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kapydan Posted June 16, 2019 · Report post еще один вопрос по асе, точнее по static route в текущий момент на локальной асе настройка такая - route inside2 10.0.0.0 255.0.0.0 192.168.130.2 1 после настройки l2l до другой асы, возникла необходимость роутить туда запросы к сети 10.149.1.0/24 (на нашей стороне такой сети нет, зато есть куча других 10-х сетей). достаточно ли будет просто дописать route inside2 10.149.1.0 255.255.255.0 1.1.1.1 (внешний адрес удаленной асы) 1 или же надо будет разбивать всю сеть 10.0.0.0/8 на /24 и прописывать роут к каждой? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted June 17, 2019 · Report post Достаточно дефолта в outside (интерфейса с криптомапой). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kapydan Posted June 19, 2019 · Report post В 17.06.2019 в 05:15, zhenya` сказал: Достаточно дефолта в outside (интерфейса с криптомапой). в моей конфигурации асы оказалось немного по другому (но это связано только с кучей статик роутов на асе) - надо было указать статик роут с шлюзом с нашей стороны. но вообщем все заработало. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...