https://slinkov.ru/openforum/vsluhforumID6/18765.html Есть следующая проблема: имеется несколько роутеров(часть принадлежит одному доменну часть другому) соединёных GRE тунелями и защищеных профилем IPSec. Решили сделать аутентификацию туннелей на сертификатах полученых с Microsoft Server 2003. Роутеры из первого домена получают получают сертификаты от сервера в своем домене, а те соответственно от другого. Так вот как соеденить тунелями роутеры разных доменнов? Получается такая ситуация что роутеры на стыке доменов пытаются использовать каждый свой сертификат и соответственно туннель не поднимается. Есть вариант использовать pre-shared auth policy, но как указать каким тунелям использовать определенную isakmp policy ума не приложу.<br>Вот вырезки из конфига:<br><br><br>crypto isakmp policy 50<br> encr aes 256<br>!<br>crypto isakmp policy 100<br> encr aes 256<br> authentication pre-share<br>crypto isakmp key supper_secret_key address 0.0.0.0 0.0.0.0<br>crypto isakmp keepalive 30 10 periodic<br>!<br>crypto ipsec security-association lifetime seconds 86400<br>crypto ipsec security-associati https://slinkov.ru/openforum/vsluhforumID6/18765.html#3 Fri, 02 Dec 2011 04:31:37 GMT &gt;[оверквотинг удален]<br>&gt; crypto ipsec transform-set SEC esp-aes 256 esp-sha-hmac <br>&gt; !<br>&gt; crypto ipsec profile Tunnel_crypt <br>&gt; set transform-set SEC <br>&gt; crypto pki trustpoint domain1-cert <br>&gt; enrollment mode ra <br>&gt; enrollment url http://SRV-1.domain1.com:80/certsrv/mscep/mscep.dll <br>&gt; usage ike <br>&gt; password 7 154C9E2E567D8F727A126C0145514E5129 <br>&gt; revocation-check crl <br><br>Вроде как перебирать должен все полиси...<br><br>http://www.cisco.com/en/US/docs/security/pix/pix52/ipsec/configuration/guide/ike.html#wp1031006<br> https://slinkov.ru/openforum/vsluhforumID6/18765.html#2 Tue, 28 Apr 2009 14:05:11 GMT &gt;Ответ дать не могу, так как сертификаты не пользовал на маршрутизаторах. <br>&gt;Хочу только спросить: зачем такие сложности и использовать сторонние сертификаты? <br>&gt;У вас корпоративная политика такая? <br>&gt;<br>&gt;Ведь если секретные данные на какой-нибудь стороне и будут скомпрометированы, то уже <br>&gt;ничего не поможет. <br><br>ну вообщем, да - политика партии<br> https://slinkov.ru/openforum/vsluhforumID6/18765.html#1 Tue, 28 Apr 2009 14:02:00 GMT Ответ дать не могу, так как сертификаты не пользовал на маршрутизаторах.<br>Хочу только спросить: зачем такие сложности и использовать сторонние сертификаты?<br>У вас корпоративная политика такая?<br><br>Ведь если секретные данные на какой-нибудь стороне и будут скомпрометированы, то уже ничего не поможет.<br>