Собственно интересует в каком IOS эта фича есть.
В текущем моем на show dmvpn циска ругается, что нет такой команды.


Cisco IOS Software, C181X Software (C181X-ADVIPSERVICESK9-M), Version 12.4(6)T11, RELEASE SOFTWARE (fc2)


А нужна она мне для VPN между двумя цисками, филиальная за натом с динамическим адресом...

cобственно интересует в каком IOS эта фича есть.

>=12.4(15)

a dvti не устроит?

А чем лучше?

А чем лучше?
nhrp тама нету, оверхеда гре нету, работает на большем кол-ве коробок..
даже на самых слабых..

Гм... Неплохая весчь. Но я что-то пока не вкурю, как заставить это делать все автоматически.

На данный момент мне приходится аутентифицироваться в строке командой:

crypto ipsec client ezvpn xauth


Автоматом не выходит, ибо идет ругань:


EZVPN(EZ) Server does not allow save password option,enter your username and password manually

http://vagrant.ru/showthread.php?t=10297

Чет у меня по конфигу из ссылкэ не стартует тоннель.



ХАБ

interface Virtual-Template1 type tunnel
ip unnumbered FastEthernet0
tunnel mode ipsec ipv4
tunnel protection ipsec profile SDM_Profile1


СПОК

interface Tunnel0
description Spoke
ip unnumbered Vlan2
ip virtual-reassembly
tunnel source Vlan1
tunnel destination 81..........
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI


СПОК - 877 циска, подключенная через мопед. (изврат, но так получилось)

sh cry isa sa
sh cry ips sa

СПОК

sh cry isa sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status

IPv6 Crypto ISAKMP SA

interface: Tunnel0
Crypto map tag: Tunnel0-head-0, local addr 172.16.55.24

protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 81. .......... port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 172.16.55.24, remote crypto endpt.: 81...
path mtu 1500, ip mtu 1500, ip mtu idb Vlan1
current outbound spi: 0x0(0)
PFS (Y/N): N, DH group: none

inbound esp sas:

inbound ah sas:

inbound pcp sas:

outbound esp sas:

outbound ah sas:

outbound pcp sas:
ХАБ надо? Там все пашет для VPN клиента софтового как надо.

большие подозрения на то, что нету коннективити,
со спока:
#ping 81... so vl1

Коннективити как раз есть. Пингается нормально.

Коннективити как раз есть. Пингается нормально.

а порты открыты udp/500,4500?
можно вывод конфига криптухи?

порты открыты.
А что конкретно в конфиге? на одной циске дрхрена всего, на споке уже каша... :(

>А что конкретно в конфиге?

все что начинается на crypto,

покажи еще sh cry sess, до кучи..

раз нету ike session, значит чо-то misconfigured, де-то..

СПОК


#sh cry sess
Crypto session current status

Interface: Tunnel0
Session status: DOWN
Peer: 81. port 500
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 0, origin: crypto map

Interface: Tunnel0
Session status: DOWN-NEGOTIATING
Peer: 81. port 4500
IKE SA: local 172.16.55.24/4500 remote 81./4500 Inactive



crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key KEY address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set TSET esp-3des esp-sha-hmac
!
crypto ipsec profile VTI
set transform-set TSET


ХАБ

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key KEY address 0.0.0.0 0.0.0.0
!
crypto isakmp client configuration group 1
key 2
pool SDM_POOL_1
acl 100
netmask 255.255.0.0
crypto isakmp profile sdm-ike-profile-1
match identity group 1
client authentication list sdm_vpn_xauth_ml_2
isakmp authorization list sdm_vpn_group_ml_1
client configuration address respond
virtual-template 1
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set TSET esp-3des esp-sha-hmac
!
crypto ipsec profile SDM_Profile1
set transform-set ESP-3DES-SHA
set isakmp-profile sdm-ike-profile-1
!
crypto ipsec profile VTI
set transform-set TSET
!
interface Virtual-Template1 type tunnel
ip unnumbered FastEthernet0
tunnel mode ipsec ipv4
tunnel protection ipsec profile SDM_Profile1

а если так:
crypto isakmp profile sdm-ike-profile-1
no match identity group 1
match ide addr 0.0.0.0
no client authentication list sdm_vpn_xauth_ml_2
no isakmp authorization list sdm_vpn_group_ml_1
no client configuration address respond

Так низзя. У меня тогда не будут работать софтовый VPN client.

Попробовал. Те же грабли. Вернул все в зад.

Так низзя. У меня тогда не будут работать софтовый VPN client.

Попробовал. Те же грабли. Вернул все в зад.

хм, а чего бы не создать отдельный профайл,
дабы не дергать софтовых клиентов?

вот тебе рабочий конфиг:
policy-map RST
class class-default
shape average 1280000
!
!
crypto keyring RST
pre-shared-key address 0.0.0.0 0.0.0.0 key cisco
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
!
crypto isakmp profile RST
keyring TST
match identity address 0.0.0.0
virtual-template 1
!
crypto ipsec transform-set RST esp-aes 256 esp-sha-hmac
!
crypto ipsec profile RST
set transform-set RST
set pfs group2
!
interface Virtual-Template1 type tunnel
ip unnumbered Loopback0
tunnel mode ipsec ipv4
tunnel protection ipsec profile RST
service-policy output RSTспок:
crypto keyring RST
pre-shared-key address 0.0.0.0 0.0.0.0 key cisco
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
!
crypto ipsec transform-set RST esp-aes 256 esp-sha-hmac
!
crypto ipsec profile RTS
set transform-set RTS
!
interface Tunnel0
ip unnumbered Loopback0
tunnel source FastEthernet4
tunnel destination 195.95.x.x
tunnel mode ipsec ipv4
tunnel protection ipsec profile RTS

в случае с EasyVPN для того чтобы спок пароль из конфига брал

хаб

crypto isakmp client configuration group HW
save-password


спок

crypto ipsec client ezvpn toHAB
connect auto
group HW key cisco
mode network-extension
peer 81.xxx.xxx.xxx
username CISCO871 password cisco
xauth userid mode local

УРЯЯЯЯЯЯЯЯЯЯЯ!!! мне не хватало именно save-password!!! Всем спасибо! Все пашет.

PS Век живи, век учись. :)

этта, dmn, не поленись оформить готовым решением и выложить, плз

Не полуца видимо... Почему то периодически рвется связь. Точнее sh cryp sess показывает, что все ап, но пакеты вдруг перестают ходить. Делаешь cle cry sess, все ходит, потом бац и перестает... Пока в толк не возьму, от чего такое... :(

Не полуца видимо... Почему то периодически рвется связь. Точнее sh cryp sess показывает, что все ап, но пакеты вдруг перестают ходить. Делаешь cle cry sess, все ходит, потом бац и перестает... Пока в толк не возьму, от чего такое... :(
isakmp keepalive включено?

А в каком месте это надо прописать?

А в каком месте это надо прописать?
conf t
cry isakmp keep 120 peri

slim, на хабе, на споках или на всех ?

slim, на хабе, на споках или на всех ?

ну вообще лучше на всех, но можно попробовать и только на хабе,
это еще зависит от того какого типа впн, мне кажится..

смысл в чем: пакеты не ходють, т.к. просрочилась (не обновилась) 1-я фаза ike (isakmp) и не смотря на то что вторая фаза в апе (и cry sess нормально показывает) ниче не работает.. вот этой байдой мы ее (айки) заставляем не падать.. а вторая фаза в апе, потому что у нее кипэлайв еще не истек, рас-синхронизация получается..

как-то так..

есть такая неприятность у изивпн-а, кипаливы не всегда спасает (закономерности так и не виявил), видимо они (циско) не особо фиксят этот баг потому как сама технология предпологает постоянные переподключения клиента (спока), мобильные пользователи и т.д....