Jump to content
Калькуляторы

совместимость ikev1 и ikev2 на outside интерфейсе asa-5515

Доброго всем времени суток.

 

Возник такой вопрос. Есть аса 5515 с настроенным l2l vpn, в котором уже используется ikev1. Возможно ли построить l2l с этого же интерфейса, используя ikev2? Не будет ли проблем с уже существующим туннелем, не отвалится ли он?

 

crypto ikev1 enable outside_nat
crypto ikev1 policy 1
 authentication pre-share
 encryption des
 hash sha
 group 2
 lifetime 86400
 

interface GigabitEthernet0/3
 nameif outside_nat
 security-level 0
 ip address 1.1.1.1 255.255.255.252

 

Т.е. образно, следует просто разрешить ikev2 на внешнем интерфейсе и настроить соотв. политику? 

 

crypto ikev2 enable outside_nat

 

crypto ikev2 policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400

 

Share this post


Link to post
Share on other sites

а насчет нескольких crypto map на одном и том же интерфейсе - как понимаю, это нереализуемо?

 

допустим, так

crypto map WAN_1 interface outside

crypto map WAN_2 interface outside

 

You can assign only one crypto map set to an interface. If multiple crypto map entries have the same map name but a different sequence number, they are part of the same set and are all applied to the interface. The ASA evaluates the crypto map entry with the lowest sequence number first - на циско.ком написано так.

Edited by kapydan

Share this post


Link to post
Share on other sites

имеется ввиду аксее-лист? если да, то кмк так не получится сделать - в двух разных тоннелях применяются разные методы шифрования des и aes-256.

Share this post


Link to post
Share on other sites

разобрался - оказывается, можно было нужный пир и ацл добавить в существующую crypto map с бОльшим сиквенс намбером.

Share this post


Link to post
Share on other sites

еще один вопрос по асе, точнее по static route

 

в текущий момент на локальной асе настройка такая - route inside2 10.0.0.0 255.0.0.0 192.168.130.2 1

 

после настройки l2l до другой асы, возникла необходимость роутить туда запросы к сети 10.149.1.0/24 (на нашей стороне такой сети нет, зато есть куча других 10-х сетей). достаточно ли будет просто дописать 

 

route inside2 10.149.1.0 255.255.255.0 1.1.1.1 (внешний адрес удаленной асы) 1

 

или же надо будет разбивать всю сеть 10.0.0.0/8 на /24 и прописывать роут к каждой?

 

 

 

 

Share this post


Link to post
Share on other sites

В 17.06.2019 в 05:15, zhenya` сказал:

Достаточно дефолта в outside (интерфейса с криптомапой). 

в моей конфигурации асы оказалось немного по другому (но это связано только с кучей статик роутов на асе) - надо было указать статик роут с шлюзом с нашей стороны. но вообщем все заработало.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.