Перейти к содержимому
Калькуляторы

совместимость ikev1 и ikev2 на outside интерфейсе asa-5515

Доброго всем времени суток.

 

Возник такой вопрос. Есть аса 5515 с настроенным l2l vpn, в котором уже используется ikev1. Возможно ли построить l2l с этого же интерфейса, используя ikev2? Не будет ли проблем с уже существующим туннелем, не отвалится ли он?

 

crypto ikev1 enable outside_nat
crypto ikev1 policy 1
 authentication pre-share
 encryption des
 hash sha
 group 2
 lifetime 86400
 

interface GigabitEthernet0/3
 nameif outside_nat
 security-level 0
 ip address 1.1.1.1 255.255.255.252

 

Т.е. образно, следует просто разрешить ikev2 на внешнем интерфейсе и настроить соотв. политику? 

 

crypto ikev2 enable outside_nat

 

crypto ikev2 policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Будет работать. Можно даже политику одну и ту же использовать, просто дописав в group policy - vpn-tunnel-protocol ikev1 ikev2

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Policy использовать ту же не получится - в новом l2l другое шифрование уже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а насчет нескольких crypto map на одном и том же интерфейсе - как понимаю, это нереализуемо?

 

допустим, так

crypto map WAN_1 interface outside

crypto map WAN_2 interface outside

 

You can assign only one crypto map set to an interface. If multiple crypto map entries have the same map name but a different sequence number, they are part of the same set and are all applied to the interface. The ASA evaluates the crypto map entry with the lowest sequence number first - на циско.ком написано так.

Изменено пользователем kapydan

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

имеется ввиду аксее-лист? если да, то кмк так не получится сделать - в двух разных тоннелях применяются разные методы шифрования des и aes-256.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

разобрался - оказывается, можно было нужный пир и ацл добавить в существующую crypto map с бОльшим сиквенс намбером.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

еще один вопрос по асе, точнее по static route

 

в текущий момент на локальной асе настройка такая - route inside2 10.0.0.0 255.0.0.0 192.168.130.2 1

 

после настройки l2l до другой асы, возникла необходимость роутить туда запросы к сети 10.149.1.0/24 (на нашей стороне такой сети нет, зато есть куча других 10-х сетей). достаточно ли будет просто дописать 

 

route inside2 10.149.1.0 255.255.255.0 1.1.1.1 (внешний адрес удаленной асы) 1

 

или же надо будет разбивать всю сеть 10.0.0.0/8 на /24 и прописывать роут к каждой?

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 17.06.2019 в 05:15, zhenya` сказал:

Достаточно дефолта в outside (интерфейса с криптомапой). 

в моей конфигурации асы оказалось немного по другому (но это связано только с кучей статик роутов на асе) - надо было указать статик роут с шлюзом с нашей стороны. но вообщем все заработало.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.