Одновременное использование VPN соединений между локальными сетями (lan2lan) и VPN соединений удаленного доступа (remote access) требуют особого внимания.
1. crypto isakmp key Pr3sh4r3DKEY address 89.123.45.6 no-xauth
Необходимо добавлять параметр no-xauth для IP адреса удаленного устройства в Lan2Lan VPN.
2. crypto map VPNMAP 65535 ipsec-isakmp dynamic DYNMAP
Используйте порядковый номер 65535 для удаленных пользователей что бы избежать конфликтов с другими VPN соединениями.
Пример конфигурации Cisco IOS рутера с двумя типами VPN соединений:
[code]
crypto isakmp policy 1
encr aes 256
authentication pre-share
group 2
crypto isakmp key Pr3sh4r3DKEY address 89.123.45.6 no-xauth
crypto isakmp client configuration group REMOTEGROUP
key
dns 10.18.19.2
pool REMOTEPOOL
acl 110
!
!
crypto ipsec transform-set REMOTEVPN esp-3des esp-sha-hmac
!
crypto dynamic-map DYNMAP 10
set transform-set REMOTEVPN
!
!
crypto map VPNMAP client authentication list vpnuserauth
crypto map VPNMAP isakmp authorization list vpngroupauthor
crypto map VPNMAP client configuration address respond
crypto map VPNMAP 5 ipsec-isakmp
set peer 213.219.124.154
set transform-set REMOTEVPN
set pfs group2
match address VPN_ACL
crypto map VPNMAP 65535 ipsec-isakmp dynamic DYNMAP
ip local pool REMOTEPOOL 192.168.100.10 192.168.100.20
[/code]
Hi, how I can see an example of the complete configuration, for a practiced packettracert or GNS3?
How to apply an extended ACL: VPN_ACL in NAT settings, to pass the traffic through the tunnel vpn ?, I use different ACLs for both purposes (NAT and VPN what do you recommend?