Jump to content
Калькуляторы

совместимость ikev1 и ikev2 на outside интерфейсе asa-5515

Доброго всем времени суток.

 

Возник такой вопрос. Есть аса 5515 с настроенным l2l vpn, в котором уже используется ikev1. Возможно ли построить l2l с этого же интерфейса, используя ikev2? Не будет ли проблем с уже существующим туннелем, не отвалится ли он?

 

crypto ikev1 enable outside_nat
crypto ikev1 policy 1
 authentication pre-share
 encryption des
 hash sha
 group 2
 lifetime 86400
 

interface GigabitEthernet0/3
 nameif outside_nat
 security-level 0
 ip address 1.1.1.1 255.255.255.252

 

Т.е. образно, следует просто разрешить ikev2 на внешнем интерфейсе и настроить соотв. политику? 

 

crypto ikev2 enable outside_nat

 

crypto ikev2 policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400

 

Share this post


Link to post
Share on other sites

Будет работать. Можно даже политику одну и ту же использовать, просто дописав в group policy - vpn-tunnel-protocol ikev1 ikev2

Share this post


Link to post
Share on other sites

Policy использовать ту же не получится - в новом l2l другое шифрование уже.

Share this post


Link to post
Share on other sites

а насчет нескольких crypto map на одном и том же интерфейсе - как понимаю, это нереализуемо?

 

допустим, так

crypto map WAN_1 interface outside

crypto map WAN_2 interface outside

 

You can assign only one crypto map set to an interface. If multiple crypto map entries have the same map name but a different sequence number, they are part of the same set and are all applied to the interface. The ASA evaluates the crypto map entry with the lowest sequence number first - на циско.ком написано так.

Edited by kapydan

Share this post


Link to post
Share on other sites

В криптомапе несколько записей же можно сделать

Share this post


Link to post
Share on other sites

имеется ввиду аксее-лист? если да, то кмк так не получится сделать - в двух разных тоннелях применяются разные методы шифрования des и aes-256.

Share this post


Link to post
Share on other sites

разобрался - оказывается, можно было нужный пир и ацл добавить в существующую crypto map с бОльшим сиквенс намбером.

Share this post


Link to post
Share on other sites

еще один вопрос по асе, точнее по static route

 

в текущий момент на локальной асе настройка такая - route inside2 10.0.0.0 255.0.0.0 192.168.130.2 1

 

после настройки l2l до другой асы, возникла необходимость роутить туда запросы к сети 10.149.1.0/24 (на нашей стороне такой сети нет, зато есть куча других 10-х сетей). достаточно ли будет просто дописать 

 

route inside2 10.149.1.0 255.255.255.0 1.1.1.1 (внешний адрес удаленной асы) 1

 

или же надо будет разбивать всю сеть 10.0.0.0/8 на /24 и прописывать роут к каждой?

 

 

 

 

Share this post


Link to post
Share on other sites

Достаточно дефолта в outside (интерфейса с криптомапой). 

Share this post


Link to post
Share on other sites
В 17.06.2019 в 05:15, zhenya` сказал:

Достаточно дефолта в outside (интерфейса с криптомапой). 

в моей конфигурации асы оказалось немного по другому (но это связано только с кучей статик роутов на асе) - надо было указать статик роут с шлюзом с нашей стороны. но вообщем все заработало.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this