|
ru.cisco- RU.CISCO --------------------------------------------------------------------- From : Ilya Oblomov 2:5020/400 22 Aug 2006 19:09:49 To : All Subject : ipsec and nat -------------------------------------------------------------------------------- Всем хело! Помогите, плз. Есть циска 1841, сконфигурен easy vpn server, ios 12.4(7a). Hа нее устанавливают соединение Cisco VPN клиенты (Win). Сидят за своими NATами. Все работает нормально (ipsec over udp), но если трафика у клиента нет, то через какое-то время их NAT отправляет udp пакеты уже с друго порта, а у моей циски в security-association имеет место старый порт клиента (например, current_peer a.b.c.d port 39083). Соответственно, циска на него и кидает ответ, а тамошнему файерволу уже по барабану этот порт. Живет sa по умолчанию 1 час. Как правильно решается такая проблема? если нужен конфиг, то ниже (все традиционно, по циско.ком): aaa authentication login userauthen group radius local aaa authorization network groupauthor local crypto isakmp policy 3 encr 3des authentication pre-share group 2 crypto isakmp client configuration group ...... key ....... pool ipsecpool acl 2026 crypto ipsec transform-set tripledes esp-3des esp-sha-hmac crypto dynamic-map dynmap 10 set ip access-group 2027 in set transform-set tripledes crypto map clientmap client authentication list userauthen crypto map clientmap isakmp authorization list groupauthor crypto map clientmap client configuration address respond crypto map clientmap 10 ipsec-isakmp dynamic dynmap interface FastEthernet0/0 ip address ....... crypto map clientmap --- ifmail v.2.15dev5.3 * Origin: MAcomnet Telco. (2:5020/400) Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
Архивное /ru.cisco/2098911bb8b1.html, оценка из 5, голосов 10
|