Автор Тема: 2 Crypto Map На Один Интерфейс  (Прочитано 5539 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн alla19l

  • Newbie
  • *
  • Сообщений: 9
  • Karma: +0/-0
2 Crypto Map На Один Интерфейс
« : Августа 15, 2014, 12:43:46 am »
Здравствуйте, есть asa 5505 8.2. Хочу повесить 2 crypto map на один интерфейс.

Вот так работает поочерёдно либо map "vpn", либо map "mymap"

crypto ipsec transform-set FirstSet esp-3des esp-md5-hmac
crypto ipsec transform-set trans esp-3des esp-sha-hmac
crypto ipsec transform-set trans mode transport
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000

crypto dynamic-map dyno 10 set transform-set trans
crypto dynamic-map dyn1 1 set transform-set FirstSet
crypto dynamic-map dyn1 1 set reverse-route

crypto map vpn 65535 ipsec-isakmp dynamic dyno
crypto map mymap 1 ipsec-isakmp dynamic dyn1
crypto map vpn interface outside



думал, что вот так будет работать вместе и map "vpn" и map "mymap":

crypto dynamic-map dyno 10 set transform-set trans
crypto dynamic-map dyn1 1 set transform-set FirstSet
crypto dynamic-map dyn1 1 set reverse-route

crypto map vpn 65000 ipsec-isakmp dynamic dyn1
crypto map vpn 65535 ipsec-isakmp dynamic dyno

crypto map vpn interface outside
,но не работает.



пробовал ещё вот так:
crypto dynamic-map dyno 10 set transform-set trans
crypto dynamic-map dyno 1 set transform-set FirstSet
crypto dynamic-map dyno 1 set reverse-route

crypto map vpn 65535 ipsec-isakmp dynamic dyno

crypto map vpn interface outside
,тоже не работает

Оффлайн Al

  • Administrator
  • Sr. Member
  • *****
  • Сообщений: 336
  • Karma: +11/-0
  • Алексей Николаев
    • LearnCisco.Ru
Re: 2 Crypto Map На Один Интерфейс
« Ответ #1 : Августа 15, 2014, 04:46:58 pm »
Не совсем понятно, что ожидается получить в результате.... Но 2 отдельных crypto-map на одном интерфейсе иметь невозможно полюбому.

Зато запросто можно внутри одной crypto map с помощью порядкового номера  <1-65535>  sequence описать любое  количество пиров/туннелей из указанного числа.

Напомню также, что для RA VPN (динамических crypto map) рекомендуется использовать последние номера (до 65535), дабы гарантировать, что они будут обработаны в самом конце. Иначе будет конфликт со статическими туннелями, если таковые имеются.

Похожая тема тут: http://forum.learncisco.ru/index.php/topic,385.0.html
« Последнее редактирование: Августа 15, 2014, 04:49:01 pm от Al »

Оффлайн alla19l

  • Newbie
  • *
  • Сообщений: 9
  • Karma: +0/-0
Re: 2 Crypto Map На Один Интерфейс
« Ответ #2 : Августа 15, 2014, 08:34:36 pm »
Я неверно выразился, хотелось бы, чтобы работали 2 туннеля одновременно. Один используется для Cisco VPN Client, другой для android клиентов (l2tp).

Попытался сделать как вы написали.

crypto dynamic-map dyno 10 set transform-set trans
crypto dynamic-map dyn1 1 set transform-set FirstSet
crypto dynamic-map dyn1 1 set reverse-route

crypto map outside_map 65534 ipsec-isakmp dynamic dyn1
crypto map outside_map 65535 ipsec-isakmp dynamic dyno
crypto map outside_map interface outside

Прикрепил две разных crypto dynamic-map: dyno и dyn1 к одной crypto map outside_map с разными порядковыми номерами, результат - всё равно одновременно я не могу подключиться через Cisco VPN Client и с android телефона(l2tp). Подключаюсь только через Cisco VPN Client.

Оффлайн Kyct

  • Newbie
  • *
  • Сообщений: 7
  • Karma: +0/-0
Re: 2 Crypto Map На Один Интерфейс
« Ответ #3 : Апреля 30, 2020, 10:57:04 am »
Добрый день

Я правильно понимаю, чтобы второй туннель L2L поднять, надо в уже имеющуюся карту (для первого туннеля) добавить новый seq?
то есть не создавать новую туннель группу и пр.?

Оффлайн Al

  • Administrator
  • Sr. Member
  • *****
  • Сообщений: 336
  • Karma: +11/-0
  • Алексей Николаев
    • LearnCisco.Ru
Re: 2 Crypto Map На Один Интерфейс
« Ответ #4 : Апреля 30, 2020, 11:20:36 am »
День добрый,

Да, все верно. Надо добавить новый sequence с соответствующими наборами match/set.