Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 01:35



Ответить на тему  [ Сообщений: 7 ] 
ASA - как сократить конфиг? 
Автор Сообщение

Зарегистрирован: 27 мар 2013, 08:12
Сообщения: 34
Доброго дня!
Часть конфига хаба в головном офисе:
Код:
group-policy TunnelGP internal
group-policy TunnelGP attributes
vpn-session-timeout none
vpn-idle-timeout none
vpn-tunnel-protocol ikev2

crypto ipsec profile VTI-Profile
set ikev2 ipsec-proposal AES-256
responder-only

tunnel-group aaa.aaa.aaa.aaa type ipsec-l2l
tunnel-group aaa.aaa.aaa.aaa ipsec-attributes
ikev2 remote-auth pre-shared-key Secret
ikev2 local-auth pre-shared-key Secret
tunnel-group aaa.aaa.aaa.aaa general-attributes
default-group-policy TunnelGP

tunnel-group bbb.bbb.bbb.bbb type ipsec-l2l
tunnel-group bbb.bbb.bbb.bbb ipsec-attributes
ikev2 remote-auth pre-shared-key Secret
ikev2 local-auth pre-shared-key Secret
tunnel-group bbb.bbb.bbb.bbb general-attributes
default-group-policy TunnelGP

crypto ipsec ikev2 ipsec-proposal AES-256 esp-aes-256 esp-sha-hmac

########VTI Configuration for both WAN circuits
int Tunnel1
nameif VTI_1
ip address 172.16.250.102 255.255.255.0
tunnel source interface outside
tunnel destination aaa.aaa.aaa.aaa
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI-Profile

int Tunnel2
nameif VTI_2
ip address 172.17.250.102 255.255.255.0
tunnel source interface outside_backup
tunnel destination bbb.bbb.bbb.bbb
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI-Profile

crypto ikev2 policy 2018
encryption aes-256
integrity sha
group 5
prf sha
lifetime seconds 28800

crypto ikev2 enable outside
crypto ikev2 enable outside_backup

Таких туннелей нужно много. Понимаю, что конфиги int TunnelХХ не сократить, но может быть можно как-то собрать части tunnel-group aaa.aaa.aaa.aaa в одну запись? Настройки каждой такой группы идентичны, хаб является responder-only. Хочется что-то типа Dynamic crypto map.
Заранее благодарен.


20 июл 2018, 08:57
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
Ну так и сделайте дайнэмик крипто мэп в ikev1. Какой понт тут от ikev2? Слово туннель?


20 июл 2018, 10:01
Профиль ICQ

Зарегистрирован: 27 мар 2013, 08:12
Сообщения: 34
Хороший Вы, _2e_, человек, спасибо за все Ваши ответы и советы. Вот только задачи странно реализовываете :)
Давайте предположим, что это задачка по геометрии: "Решить методом от противного..." - т.е. результат можно получить разными путями, а вот нужно именно этим способом. :)


20 июл 2018, 17:56
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
Каждый кто дрочится с asa/ftd - ССЗБ.


20 июл 2018, 18:48
Профиль ICQ

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
если все настройки идентичны - попробуйте поместить их в "tunnel-group DefaultL2LGroup"


21 июл 2018, 17:34
Профиль

Зарегистрирован: 27 мар 2013, 08:12
Сообщения: 34
Т.е. tunnel-group DefaultL2LGroup - это некая группа по умолчанию?


23 июл 2018, 07:54
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
да. Если выполнить команду
Код:
sh run all tunnel-group
, то увидите какие настройки уже там есть
Код:
tunnel-group DefaultL2LGroup type ipsec-l2l
tunnel-group DefaultL2LGroup general-attributes
 no accounting-server-group
 default-group-policy DfltGrpPolicy
tunnel-group DefaultL2LGroup ipsec-attributes
 no ikev1 pre-shared-key
 peer-id-validate req
 no chain
 no ikev1 trust-point
 isakmp keepalive threshold 10 retry 2
 no ikev2 remote-authentication
 no ikev2 local-authentication


23 июл 2018, 10:58
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 7 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 47


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB