https://www.opennet.me/openforum/vsluhforumID6/19919.html Добрый день Уважаемые Специалисты! можете помочь в след вопросе. настроен IPSec тунель между филиалом и офисом, он поднимается только в том случае если происходит запрос из филиала в офис, а требуется доступ из офиса в филиал. все бы было просто но задача осложняется тем что у филиала динамический ip. можете направить в правильное русло где рыть?<br>оборудование cisco 851 и 857<br> https://www.opennet.me/openforum/vsluhforumID6/19919.html#13 Fri, 30 Oct 2009 11:46:51 GMT &gt;Добрый день Уважаемые Специалисты! можете помочь в след вопросе. настроен IPSec тунель <br>&gt;между филиалом и офисом, он поднимается только в том случае если <br>&gt;происходит запрос из филиала в офис, а требуется доступ из офиса <br>&gt;в филиал. все бы было просто но задача осложняется тем что <br>&gt;у филиала динамический ip. можете направить в правильное русло где рыть? <br>&gt;<br>&gt;оборудование cisco 851 и 857 <br><br>Есть такой протокол nhrp. И используйте его и будет вам ipsec site to site. Если есть вопросы - задавайте.<br><br> https://www.opennet.me/openforum/vsluhforumID6/19919.html#12 Thu, 29 Oct 2009 20:35:26 GMT &gt;&gt;извиняюсь, совсем теперь запутался, требуется постоянный доступ из офиса в филиал, при <br>&gt;&gt;том что офис не может быть инициатором поднятия vpn, т.к. у <br>&gt;&gt;филиала динамический ip <br>&gt;<br>&gt;В качестве варианта: <br>&gt;<br>&gt;1.Сервак в филиале есть? Или постоянная включенная машина? <br>&gt;Настройте по at(назначенные задания) ping куда нибудь в сторону сетки офиса. <br>&gt;Что бы филиал, принудительно инициировал соединение... <br><br>Да Николай всё правильно описал:<br>crypto ipsec client ezvpn EZVPN<br>connect auto - как только циско (филиал) в Up автоматом поднимается ВПН<br>group VPN-branch key ne-skazhu<br>mode network-extension - сетка филиала пробрасываеться через установленое ВПН-соединение<br>peer &lt;Белый ИП&gt;<br>username vasia password pupkin<br>xauth userid mode local<br>т.е. инициатор всегда branch и он же поддерживает соединение<br> https://www.opennet.me/openforum/vsluhforumID6/19919.html#11 Thu, 29 Oct 2009 18:26:59 GMT &gt;извиняюсь, совсем теперь запутался, требуется постоянный доступ из офиса в филиал, при <br>&gt;том что офис не может быть инициатором поднятия vpn, т.к. у <br>&gt;филиала динамический ip <br><br>В качестве варианта:<br><br>1.Сервак в филиале есть? Или постоянная включенная машина?<br>Настройте по at(назначенные задания) ping куда нибудь в сторону сетки офиса. <br>Что бы филиал, принудительно инициировал соединение...<br><br>2. Уже не знаю, что 85X кошки могут.....<br>Если есть "любимый" sla, то можно его использовать для этой же задачи...<br><br> <br><br><br><br> https://www.opennet.me/openforum/vsluhforumID6/19919.html#10 Thu, 29 Oct 2009 10:59:31 GMT извиняюсь, совсем теперь запутался, требуется постоянный доступ из офиса в филиал, при том что офис не может быть инициатором поднятия vpn, т.к. у филиала динамический ip<br> https://www.opennet.me/openforum/vsluhforumID6/19919.html#9 Thu, 29 Oct 2009 09:57:00 GMT &gt;&gt;Конгениельно Киса - разорвется тогда при истечении лизинга ИП. <br>&gt;&gt;Тебе надо поднять L2TP или Easy VPN server на циске на статическим внешним ИП, а на филиале с динамическим ИП настроит 2TP или Easy VPN в качестве клиента. <br>&gt;<br>&gt;От Вас ничего не скроешь ;) А если сеанс нужно инициировать со <br>&gt;стороны сервера? <br><br>тогда это не сервер а клиент ;)<br><br>crypto ipsec client ezvpn EZVPN<br> connect auto - как только циско (филиал) в Up автоматом поднимается ВПН<br> group VPN-branch key ne-skazhu<br> mode network-extension - сетка филиала пробрасываеться через установленое ВПН-соединение<br> peer &lt;Белый ИП&gt;<br> username vasia password pupkin<br> xauth userid mode local<br> https://www.opennet.me/openforum/vsluhforumID6/19919.html#8 Thu, 29 Oct 2009 09:25:39 GMT &gt;Конгениельно Киса - разорвется тогда при истечении лизинга ИП. <br>&gt;Тебе надо поднять L2TP или Easy VPN server на циске на статическим внешним ИП, а на филиале с динамическим ИП настроит 2TP или Easy VPN в качестве клиента. <br><br>От Вас ничего не скроешь ;) А если сеанс нужно инициировать со стороны сервера?<br><br><br> https://www.opennet.me/openforum/vsluhforumID6/19919.html#7 Thu, 29 Oct 2009 09:03:21 GMT <br>&gt;imho как вариант: хотя вы и не указали, каким именно способом реализовано <br>&gt;ваше подключение, но походу вы используете один из вариантов динамического VPN. <br>&gt;В данном случае сессия устанавливается по требованию. В вашем же случае <br>&gt;просто необходимо использовать site-to-site ipsec, где подключение постоянное и не разрывается <br>&gt;в случае отсутствия трафика. <br><br>Конгениельно Киса - разорвется тогда при истечении лизинга ИП. <br>Тебе надо поднять L2TP или Easy VPN server на циске на статическим внешним ИП, а на филиале с динамическим ИП настроит 2TP или Easy VPN в качестве клиента. <br><br>Тема битая уже неоднократно<br> https://www.opennet.me/openforum/vsluhforumID6/19919.html#6 Thu, 29 Oct 2009 08:51:37 GMT при просмотре через SDM он отображается как Site-to-site VPN.<br> https://www.opennet.me/openforum/vsluhforumID6/19919.html#5 Thu, 29 Oct 2009 08:49:58 GMT извините что не указал,использовался следующий мануал: Configuring Router&#8722;to&#8722;Router Dynamic&#8722;to&#8722;Static IPSec with NAT<br>на сколько я правильно понимаю динамический VPN не поддерживается роутерами 851-857<br>