URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 117
[ Назад ]

Исходное сообщение
"Crypto map повесить на Loopback + Завернуть на него траффик"
Отправлено Pavel , 07-Сен-12 12:50

Здравствуйте,
Cisco 3925, IOS c3900-universalk9-mz.SPA.151-2.T2.bin
Возникла необходимость реализовать две пачки IPSEC c Crypto-Map на одном маршрутизаторе.
Для одной пачки  Crypto-Map один IP peer, для другой пачки новый IP Peer.
На выходящем интерфейсе уже висит одна скиптокарта.
Необходимо куда то еще повесить новую криптокарту.
Нашел описания варианта Crypto-Map на Loopback, и потом с помощью ip policy route-map REROUTE завернуть трафик
через этот Loopback.
Попытался реализовать - не работает.
конфиг такой
http://blog.rackrental.eu/2010/05/07/ipsec-site-to-site-vpn-.../
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto isakmp key XXXXX address 1.1.1.1
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto map VPN_MAP 10 ipsec-isakmp
set peer 1.1.1.1
set transform-set ESP-3DES-SHA
match address INT_TRAFF
!
interface Loopback0
ip address 2.2.2.2 255.255.255.255
crypto map VPN_MAP
!
interface FastEthernet1/1
Description == TO INTERNET ==
ip address 192.168.0.2 255.255.255.252
ip policy route-map REROUTE
duplex auto
speed auto
crypto map "Другая, рабочая"
!
ip access-list extended INT_TRAFF
permit tcp host 192.168.0.1 host 172.16.0.8
!
route-map REROUTE permit 10
match ip address INT_TRAFF
set interface Loopback0

Еще при вводе команды  set interface Loopback0
получаю:
CISCO(config-route-map)#set interface Loopback3
%Warning:Use P2P interface for routemap setinterface clause
http://www.opennet.me/openforum/vsluhforumID6/15264.html
http://ieoc.com/forums/t/6259.aspx
http://cciereview.com/pbr-set-interface-troubles/
Пробовал другие команды:
-  set default interface Loopback3
-  ip route 5.5.5.5 255.255.255.255 Loopback0 + set ip default next-hop 5.5.5.5
с этими командами ошибок не выдает, но не вижу перенаправления трафика на Loopback3, трафик не инкапсулируется, не
шифруется.
Посоветуйте, пожалуйста, каким образом можно сделать на одном маршрутизаторе две Crypto-карты, с разными (своими)
peer-IP, при том что выход в интернет один.

Содержание

Crypto map повесить на Loopback + Завернуть на него траффик,BJ, 16:45 , 07-Сен-12
- Crypto map повесить на Loopback + Завернуть на него траффик,Pavel, 17:06 , 07-Сен-12
  - Crypto map повесить на Loopback + Завернуть на него траффик,BJ, 16:11 , 09-Сен-12
    - Crypto map повесить на Loopback + Завернуть на него траффик,Pavel, 11:53 , 27-Сен-12
      - Crypto map повесить на Loopback + Завернуть на него траффик,vaden, 17:51 , 12-Сен-13

Сообщения в этом обсуждении

"Crypto map повесить на Loopback + Завернуть на него траффик"
Отправлено BJ , 07-Сен-12 16:45

Циферки после названия мапы для этого сделаны:
crypto map MAP 10 ipsec-isakmp
set peer 1.1.1.1
crypto map MAP 20 ipsec-isakmp
set peer 2.2.2.2

"Crypto map повесить на Loopback + Завернуть на него траффик"
Отправлено Pavel , 07-Сен-12 17:06

Извините, если неясно выразился.
Необходимо, чтобы наш пир для новой (второй) криптокарты имел наш новый IP, IP источника, а не назначения.
Смысл - получили PI адреса, и нужно постепенно переехать с адресов провайдера на новые PI адреса, перевести IPSEC-и (которых штук 50)

"Crypto map повесить на Loopback + Завернуть на него траффик"
Отправлено BJ , 09-Сен-12 16:11

Поэксперементируйте с isakmp profile.

"Crypto map повесить на Loopback + Завернуть на него траффик"
Отправлено Pavel , 27-Сен-12 11:53

Здравствуйте.
Спасибо всем за советы! Разобрался. Тему можно закрыть.
Еще раз повторюсь, нужно было реализовать второй Cryptomap, и чтоб в нем использовался (YY.YY.YY.YY) - отличный от первого Cryptomap IP-адрес источника.
После более внимательного тестирования, оказалось, что самая первая схема, описанная в начале РАБОТАЕТ, и даже если NAT на этом же маршрутизаторе.
"вариант Crypto-Map на Loopback, и потом с помощью ip policy route-map REROUTE завернуть трафик через этот Loopback."
http://blog.rackrental.eu/2010/05/07/ipsec-site-to-site-vpn-.../
Только пару замечаний:
1) вместо "set interface Loopback3" использовать "set default interface Loopback3"
2) Если на этом же маршрутизаторе настроен еще и NAT (ip nat inside source), то заворачивать на Loopback3 нужно трафик до NAT.
А в IPSEC уже указывать NAT-IP. У меня с этим были сложности.
Вот такой конфиг, может быть кому пригодится..
crypto isakmp key TEST-IPSEC address XX.XX.XX.XXcrypto isakmp policy 20
 encr aes 256
 authentication pre-share
 group 5
 lifetime 28800
crypto ipsec transform-set AES256-SHA esp-aes 256 esp-sha-hmac 
crypto map PI-IPSEC 1 ipsec-isakmp 
 description **TEST-IPSEC**
 set peer XX.XX.XX.XX
 set transform-set AES256-SHA
 match address TEST-IPSEC
 set security-association lifetime seconds 28800
ip access-l ex TEST-IPSEC
    permit ip host <NAT-IP> host 10.4.0.7 (после NAT)
interface Loopback3
 description **for IPSEC-PI**
 ip address YY.YY.YY.YY 255.255.255.255
 ip nat outside
 ip policy route-map REROUTE
 crypto map PI-IPSEC
------NAT-------
ip access-list extended XXXX
 permit ip host 192.168.10.13 host 10.4.0.7
route-map XXXX permit 10
 match ip address XXXX
ip nat inside source static 192.168.10.13 <NAT-IP> route-map XXXX extendable
------Reroute------
ip access-list extended REROUTE
 permit ip host 192.168.10.13 host 10.4.0.7 (до NAT)
route-map REROUTE permit 6
 description **for IPSEC-PI**
 match ip address REROUTE
 set default interface Loopback3
ip local policy route-map REROUTE

"Crypto map повесить на Loopback + Завернуть на него траффик"
Отправлено vaden , 12-Сен-13 17:51

Павел, а с каким фиче-сетом был ваш иос? И нужен-ли ip policy route-map REROUTE на Loopback3