Форум сайта LearnCisco.Ru

Сетевые Технологии Cisco Systems => Сетевая Безопасность - Security => Тема начата: lelik от Мая 29, 2019, 12:07:33 pm

Название: L2TP over IPSEC не устанавливается на маршрутизаторах ISR G2 890/1900/2900 серий
Отправлено: lelik от Мая 29, 2019, 12:07:33 pm
Приветствую, вдогоночку еще одна проблема, на маршрутизаторах поколения G2 серии 890/2900 с обновленным IOS (c890-universalk9-mz.153-3.M2.bin) и выше не устанавливается L2TP соединение, если же использовать более старую версию IOS (c890-universalk9-mz.150-1.M5.bin),  все сращивается моментально, та же проблема и с 2900 серией, в чем может быть загвозка?
 
Название: Re: L2TP over IPSEC не устанавливается на маршрутизаторах ISR G2 890/1900/2900 серий
Отправлено: Al от Мая 30, 2019, 12:43:54 pm
Возможно, проблема связана с лицензией security в новом IOS (show license).
Название: Re: L2TP over IPSEC не устанавливается на маршрутизаторах ISR G2 890/1900/2900 серий
Отправлено: lelik от Мая 31, 2019, 12:42:10 pm
скорее всего еще одна проблема связанная с установлением IPSEC туннеля между маршрутизаторами одной модели 891/892 но с разными IOS. Туннель сращивается но через примерно 60 секунд падает, Tunnel3 is up, line protocol is down. Я уже это описывал в другой теме, хотелось бы узнать есть ли решение данной проблемы, или же повально переходить на новый IOS и отказываться от L2TP взамен Cisco Easy VPN
Название: Re: L2TP over IPSEC не устанавливается на маршрутизаторах ISR G2 890/1900/2900 серий
Отправлено: Al от Мая 31, 2019, 12:58:29 pm
Для начала надо бы точно понять, в чем именно проблема. Отладчик isakmp и затем ipsec все расскожет. (debug crypto isakmp, debug crypto ipsec).
Название: Re: L2TP over IPSEC не устанавливается на маршрутизаторах ISR G2 890/1900/2900 серий
Отправлено: lelik от Мая 31, 2019, 01:25:16 pm
все делали, но один нюансик если брать новый IOS c890-universalk9-mz.156-3.M.bin с новым то все сращивается моментально, а со старым c890-universalk9-mz.150-1.M5.bin не хочет проблема по дебагам на второй фазе . Та же проблема с L2TP на старых все идеально как только новый то на второй фазе отлуп.
Название: Re: L2TP over IPSEC не устанавливается на маршрутизаторах ISR G2 890/1900/2900 серий
Отправлено: uvs от Июня 02, 2019, 11:10:17 am
Приветствую, вдогоночку еще одна проблема, на маршрутизаторах поколения G2 серии 890/2900 с обновленным IOS (c890-universalk9-mz.153-3.M2.bin) и выше не устанавливается L2TP соединение, если же использовать более старую версию IOS (c890-universalk9-mz.150-1.M5.bin),  все сращивается моментально, та же проблема и с 2900 серией, в чем может быть загвозка?

А вы какой технологией пользуетесь?

Я тоже долго бился с этим и у меня всё заработало в конечном итоге.

Сперва была фишка при настройке IPSEC.
Дальше ещё одна при настройке Virtual-PPP.
Название: Re: L2TP over IPSEC не устанавливается на маршрутизаторах ISR G2 890/1900/2900 серий
Отправлено: lelik от Июня 04, 2019, 06:02:07 pm
Настройки стандартные для VPDN
vpdn enable
vpdn-group L2TP-IPSEC
! Default L2TP VPDN group
 accept-dialin
  protocol l2tp
  virtual-template 1
 l2tp security crypto-profile L2TP
 no l2tp tunnel authentication

interface Virtual-Template1
 description L2TP-CLIENT
 ip address 10.100.1.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 peer default ip address dhcp-pool L2TP-CLIENT
 no keepalive
 ppp authentication ms-chap-v2

для IPSEC

crypto isakmp policy 2
 encr aes
 authentication pre-share
 group 2
!
crypto isakmp policy 3
 encr 3des
 authentication pre-share

crypto ipsec transform-set L2TP-SECURE esp-3des esp-sha-hmac
 mode transport

crypto map L2TP-WAN 10 ipsec-isakmp profile L2TP
 set transform-set L2TP-SECURE

interface GigabitEthernet0
crypto map L2TP-WAN


 group 2