kapydan Опубликовано 20 мая, 2019 · Жалоба Доброго всем времени суток. Возник такой вопрос. Есть аса 5515 с настроенным l2l vpn, в котором уже используется ikev1. Возможно ли построить l2l с этого же интерфейса, используя ikev2? Не будет ли проблем с уже существующим туннелем, не отвалится ли он? crypto ikev1 enable outside_nat crypto ikev1 policy 1 authentication pre-share encryption des hash sha group 2 lifetime 86400 interface GigabitEthernet0/3 nameif outside_nat security-level 0 ip address 1.1.1.1 255.255.255.252 Т.е. образно, следует просто разрешить ikev2 на внешнем интерфейсе и настроить соотв. политику? crypto ikev2 enable outside_nat crypto ikev2 policy 10 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 20 мая, 2019 · Жалоба Будет работать. Можно даже политику одну и ту же использовать, просто дописав в group policy - vpn-tunnel-protocol ikev1 ikev2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 21 мая, 2019 · Жалоба Policy использовать ту же не получится - в новом l2l другое шифрование уже. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 22 мая, 2019 · Жалоба В итоге, все заработало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 23 мая, 2019 (изменено) · Жалоба а насчет нескольких crypto map на одном и том же интерфейсе - как понимаю, это нереализуемо? допустим, так crypto map WAN_1 interface outside crypto map WAN_2 interface outside You can assign only one crypto map set to an interface. If multiple crypto map entries have the same map name but a different sequence number, they are part of the same set and are all applied to the interface. The ASA evaluates the crypto map entry with the lowest sequence number first - на циско.ком написано так. Изменено 23 мая, 2019 пользователем kapydan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 23 мая, 2019 · Жалоба В криптомапе несколько записей же можно сделать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 23 мая, 2019 · Жалоба имеется ввиду аксее-лист? если да, то кмк так не получится сделать - в двух разных тоннелях применяются разные методы шифрования des и aes-256. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 23 мая, 2019 · Жалоба разобрался - оказывается, можно было нужный пир и ацл добавить в существующую crypto map с бОльшим сиквенс намбером. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 16 июня, 2019 · Жалоба еще один вопрос по асе, точнее по static route в текущий момент на локальной асе настройка такая - route inside2 10.0.0.0 255.0.0.0 192.168.130.2 1 после настройки l2l до другой асы, возникла необходимость роутить туда запросы к сети 10.149.1.0/24 (на нашей стороне такой сети нет, зато есть куча других 10-х сетей). достаточно ли будет просто дописать route inside2 10.149.1.0 255.255.255.0 1.1.1.1 (внешний адрес удаленной асы) 1 или же надо будет разбивать всю сеть 10.0.0.0/8 на /24 и прописывать роут к каждой? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 17 июня, 2019 · Жалоба Достаточно дефолта в outside (интерфейса с криптомапой). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 19 июня, 2019 · Жалоба В 17.06.2019 в 05:15, zhenya` сказал: Достаточно дефолта в outside (интерфейса с криптомапой). в моей конфигурации асы оказалось немного по другому (но это связано только с кучей статик роутов на асе) - надо было указать статик роут с шлюзом с нашей стороны. но вообщем все заработало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...