Показано с 1 по 2 из 2.

Тема: Cisco crypto map подключение с любого IP

  1. #1
    Регистрация
    16.12.2006
    Сообщений
    340

    По умолчанию Cisco crypto map подключение с любого IP

    Всем привет.

    Настроил IPSEC VPN с помощью crypto map, но коннект к Cisco происходит если только удаленная железка будет иметь белый IP, который я указал на Cisco. Как можно сделать, чтобы удаленная железка могла подключиться, если у нее будет динамический IP?

    Конфиг Cisco:


    HUB#sh run
    Building configuration...

    Current configuration : 1992 bytes
    !
    ! Last configuration change at 01:59:12 UTC Fri Jun 29 2018
    !
    version 15.1
    service timestamps debug datetime msec
    service timestamps log datetime msec
    no service password-encryption
    !
    hostname HUB
    !
    boot-start-marker
    boot-end-marker
    !
    !
    aaa new-model
    !
    !
    aaa authentication ppp default local
    aaa authorization exec default local
    aaa authorization network default local
    !
    !
    !
    !
    !
    aaa session-id common
    !
    !
    !
    dot11 syslog
    ip source-route
    !
    !
    !
    !
    ip cef
    ip domain name corp.viang.ru
    no ipv6 cef
    !
    multilink bundle-name authenticated
    !
    !
    !
    license udi pid CISCO1812-J/K9 sn FHK130423M3
    vtp version 2
    !
    !
    crypto ikev2 diagnose error 50
    !
    !
    ip ssh version 2
    !
    !
    crypto isakmp policy 10
    encr aes 256
    authentication pre-share
    group 2
    crypto isakmp key 1234567890 address <БЕЛЫЙ IP УДАЛЕННОЙ ЖЕЛЕЗКИ> no-xauth
    !
    !
    crypto ipsec transform-set dtek-set esp-3des
    crypto ipsec df-bit clear
    !
    !
    !
    !
    crypto map DTEK 20 ipsec-isakmp
    set peer <БЕЛЫЙ IP УДАЛЕННОЙ ЖЕЛЕЗКИ>
    set transform-set dtek-set
    match address 101
    !
    !
    !
    !
    !
    !
    interface BRI0
    no ip address
    encapsulation hdlc
    shutdown
    !
    interface FastEthernet0
    description ***PRIMARY LINK***
    ip address XX.XX.XX.203 255.255.255.248
    duplex auto
    speed auto
    crypto map DTEK
    !
    interface FastEthernet1
    description ***BACKUP LINK***
    no ip address
    shutdown
    duplex auto
    speed auto
    !
    interface FastEthernet2
    !
    interface FastEthernet3
    !
    interface FastEthernet4
    !
    interface FastEthernet5
    !
    interface FastEthernet6
    !
    interface FastEthernet7
    !
    interface FastEthernet8
    !
    interface FastEthernet9
    !
    interface Vlan1
    ip address 172.16.100.1 255.255.255.0
    ip nat inside
    ip virtual-reassembly
    !
    no ip forward-protocol nd
    no ip http server
    no ip http secure-server
    !
    !
    ip route 0.0.0.0 0.0.0.0 XX.XX.XX.201
    !
    access-list 101 permit ip 172.16.100.0 0.0.0.255 192.168.20.0 0.0.0.255
    !
    !
    !
    !
    !
    !
    !
    control-plane
    !
    !
    line con 0
    line aux 0
    line vty 0 3
    transport input none
    line vty 4
    rotary 9
    transport input ssh
    !
    end

    HUB#

  2. #2
    Регистрация
    16.12.2006
    Сообщений
    340

    По умолчанию

    Вопрос снят. Надо использовать dynamic-map

Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •