forum.opennet.ru

Составление сообщения

Исходное сообщение

"isakmp policy"
Отправлено RET, 28-Апр-09 17:46

Есть следующая проблема: имеется несколько роутеров(часть принадлежит одному доменну часть другому) соединёных GRE тунелями и защищеных профилем IPSec. Решили сделать аутентификацию туннелей на сертификатах полученых с Microsoft Server 2003. Роутеры из первого домена получают получают сертификаты от сервера в своем домене, а те соответственно от другого. Так вот как соеденить тунелями роутеры разных доменнов? Получается такая ситуация что роутеры на стыке доменов пытаются использовать каждый свой сертификат и соответственно туннель не поднимается. Есть вариант использовать pre-shared auth policy, но как указать каким тунелям использовать определенную isakmp policy ума не приложу.
Вот вырезки из конфига:

crypto isakmp policy 50
encr aes 256
!
crypto isakmp policy 100
encr aes 256
authentication pre-share
crypto isakmp key supper_secret_key address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 30 10 periodic
!
crypto ipsec security-association lifetime seconds 86400
crypto ipsec security-association replay window-size 256
!
crypto ipsec transform-set SEC esp-aes 256 esp-sha-hmac
!
crypto ipsec profile Tunnel_crypt
set transform-set SEC
crypto pki trustpoint domain1-cert
enrollment mode ra
enrollment url http://SRV-1.domain1.com:80/certsrv/mscep/mscep.dll
usage ike
password 7 154C9E2E567D8F727A126C0145514E5129
revocation-check crl

Исходное сообщение
"isakmp policy" Отправлено RET, 28-Апр-09 17:46
Есть следующая проблема: имеется несколько роутеров(часть принадлежит одному доменну часть другому) соединёных GRE тунелями и защищеных профилем IPSec. Решили сделать аутентификацию туннелей на сертификатах полученых с Microsoft Server 2003. Роутеры из первого домена получают получают сертификаты от сервера в своем домене, а те соответственно от другого. Так вот как соеденить тунелями роутеры разных доменнов? Получается такая ситуация что роутеры на стыке доменов пытаются использовать каждый свой сертификат и соответственно туннель не поднимается. Есть вариант использовать pre-shared auth policy, но как указать каким тунелям использовать определенную isakmp policy ума не приложу. Вот вырезки из конфига: crypto isakmp policy 50 encr aes 256 ! crypto isakmp policy 100 encr aes 256 authentication pre-share crypto isakmp key supper_secret_key address 0.0.0.0 0.0.0.0 crypto isakmp keepalive 30 10 periodic ! crypto ipsec security-association lifetime seconds 86400 crypto ipsec security-association replay window-size 256 ! crypto ipsec transform-set SEC esp-aes 256 esp-sha-hmac ! crypto ipsec profile Tunnel_crypt set transform-set SEC crypto pki trustpoint domain1-cert enrollment mode ra enrollment url http://SRV-1.domain1.com:80/certsrv/mscep/mscep.dll usage ike password 7 154C9E2E567D8F727A126C0145514E5129 revocation-check crl

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Есть следующая проблема: имеется несколько роутеров(часть принадлежит одному доменну > часть другому) соединёных GRE тунелями и защищеных профилем IPSec. Решили сделать > аутентификацию туннелей на сертификатах полученых с Microsoft Server 2003. Роутеры из > первого домена получают получают сертификаты от сервера в своем домене, а > те соответственно от другого. Так вот как соеденить тунелями роутеры > разных доменнов? Получается такая ситуация что роутеры на стыке доменов пытаются > использовать каждый свой сертификат и соответственно туннель не поднимается. Есть вариант > использовать pre-shared auth policy, но как указать каким тунелям использовать определенную > isakmp policy ума не приложу. > Вот вырезки из конфига: > crypto isakmp policy 50 > encr aes 256 > ! > crypto isakmp policy 100 > encr aes 256 > authentication pre-share > crypto isakmp key supper_secret_key address 0.0.0.0 0.0.0.0 > crypto isakmp keepalive 30 10 periodic > ! > crypto ipsec security-association lifetime seconds 86400 > crypto ipsec security-association replay window-size 256 > ! > crypto ipsec transform-set SEC esp-aes 256 esp-sha-hmac > ! > crypto ipsec profile Tunnel_crypt > set transform-set SEC > crypto pki trustpoint domain1-cert > enrollment mode ra > enrollment url http://SRV-1.domain1.com:80/certsrv/mscep/mscep.dll > usage ike > password 7 154C9E2E567D8F727A126C0145514E5129 > revocation-check crl
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру