https://www.opennet.ru/openforum/vsluhforumID6/21280.html уважаемые гуру, помогите пожалуйста понять<br><br>внешний ip 212.0.0.1<br>внутреняя сетка 10.0.0.0/24<br>удаленный внешний ip 83.0.0.1<br>удаленная внутреняя сетка 10.0.1.0/24<br><br><br>---------<br>!<br>interface Tunnel6<br> description tunnel MSK-TEST<br> no ip address<br> tunnel source FastEthernet0/1<br> tunnel destination 83.0.0.1<br> crypto map MSK-TEST<br>!<br>ip route 10.0.1.0 255.255.255.0 83.0.0.1<br>----------<br>sh int tun6<br><br>Tunnel6 is up, line protocol is up<br> Hardware is Tunnel<br> Description: tunnel MSK-TEST<br> MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,<br> reliability 255/255, txload 1/255, rxload 1/255<br> Encapsulation TUNNEL, loopback not set<br> Keepalive not set<br> Tunnel source 212.0.0.1 (FastEthernet0/1), destination 83.0.0.1<br> Tunnel protocol/transport GRE/IP<br> Key disabled, sequencing disabled<br> Checksumming of packets disabled<br> Tunnel TTL 255<br> Fast tunneling enabled<br> Tunnel transmit bandwidth 8000 (kbps)<br> Tunnel receive bandwidth 8000 (kbps)<br> Last input never, output never, output hang never<br> Last https://www.opennet.ru/openforum/vsluhforumID6/21280.html#6 Thu, 08 Jul 2010 15:45:53 GMT &gt;я не понимаю куда их (crypto map) привязать (к одному interface можно <br>&gt;привязать только один crypto map). <br><br>crypto map sec_b 10 ipsec-isakmp<br>X<br> X<br> X<br><br>crypto map sec_b 15 ipsec-isakmp<br>y<br> y<br> y<br><br>crypto map sec_b 20 ipsec-isakmp<br>z<br> z<br> z<br>Крипто-меп один - "sec_b"<br>Но записей - сколько угодно....<br>Только, если есть динамические, пишите с последними номерами...<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/21280.html#5 Thu, 08 Jul 2010 15:39:54 GMT Кодовая фраза кеуring<br><br>Вот так работает:<br> crypto keyring TUN1<br> pre-shared-key address VASYA key VASYA_KEY<br>crypto keyring TUN2 <br> pre-shared-key address PETYA key PETYA_KEY<br> <br> crypto isakmp profile TUN1<br> keyring TUN1<br> match identity address VASYA 255.255.255.255 <br>crypto isakmp profile TUN2<br> keyring TUN2<br> match identity address PETYA 255.255.255.255 <br> <br> crypto ipsec profile TUN1<br> set transform-set SET<br> set isakmp-profile TUN1<br>!<br>crypto ipsec profile TUN2<br> set transform-set SET<br> set isakmp-profile TUN2 <br><br>Мне кажется, даже, упростить можно....<br> https://www.opennet.ru/openforum/vsluhforumID6/21280.html#4 Thu, 08 Jul 2010 15:04:39 GMT &gt;можно конечно и 20 ключей но тгда лучше сертификаты <br><br>проблемы с генерацией ключей нет (openssl rand 40 -hex), точно также нет проблем с созданием crypto map (даже с ключами)<br><br>----------<br>crypto map sec_b 10 ipsec-isakmp<br> match address 101<br> set peer 192.168.1.2<br> set transform-set sec_b<br> set session-key inbound esp 256 cipher 12345678901234567890123456789012<br> set session-key inbound ah 256 1234567890123456789012345678901234567890<br> set session-key outbound esp 257 cipher 12345678901234567890123456789012<br> set session-key outbound ah 257 1234567890123456789012345678901234567890<br>----------<br><br>я не понимаю куда их (crypto map) привязать (к одному interface можно привязать только один crypto map). в примерах типа http://undeadly.org/cgi?action=article&sid=20080711190301 или http://www.cisco.com/en/US/tech/tk827/tk369/technologies_configuration_example09186a00800946b8.shtml показано, как формировать<br>один vpn тунель, а мне их поболее надо.<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/21280.html#3 Thu, 08 Jul 2010 12:13:34 GMT эээээ<br>можно конечно и 20 ключей но тгда лучше сертификаты<br>читайте DMVPN или DVTI<br> https://www.opennet.ru/openforum/vsluhforumID6/21280.html#2 Thu, 08 Jul 2010 10:00:25 GMT &gt;насколько я понимаю на tunnel интерфейсе должен быть собственная подсетка <br>&gt;поскольку это третий уровень и пакеты на интерфейс должны попадать через таблицу <br>&gt;маршртищацци <br>&gt;ну и далее вы просто пишете роут через внутренний ип адрес удаленного <br>&gt;туннеля <br>&gt;кроме того на туннель не вешают крипто мап. Там есть tunnel proteced <br>&gt;profile <br>&gt;роут у вас не появляется видимо потому что шлюз напрямую не доступен <br>&gt;<br><br>хорошо, тогда как лучше сделать 20 ipsec туннелей на одной cisco, при этом имея один внешний ip и 20 isakmp keys ?<br><br><br><br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/21280.html#1 Thu, 08 Jul 2010 09:06:28 GMT насколько я понимаю на tunnel интерфейсе должен быть собственная подсетка<br>поскольку это третий уровень и пакеты на интерфейс должны попадать через таблицу маршртищацци<br>ну и далее вы просто пишете роут через внутренний ип адрес удаленного туннеля<br>кроме того на туннель не вешают крипто мап. Там есть tunnel proteced profile<br>роут у вас не появляется видимо потому что шлюз напрямую не доступен<br>