digital422
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Kernell32
Если нужно сделать входящий Peers (ikev2, static key):
1. Group - Add Cient1, Add Cient2, Add Cient3
2. Peers-Add New (passive)
3. Identities - выбираем Peer, Group - Cient1, Generate Policy -NO.
4. Тоже самое для Cient2 и Cient3
Теперь смотрим Active Peer - авторизация должна проходить, это фаза 1 и после отключаться, т.к. нет фазы 2, а именно адресов.
5. Bridge - add Bridge-client1,add Bridge-client2,add Bridge-client3
6. Address - Bridge-client1 - 10.0.0.1/32, Bridge-client2 - 10.0.0.5/32, Bridge-client3 - 10.0.0.9/32
7. Ipsec - Polices -Add - Template+ Group Cient1 Src address: 10.0.0.0/30, Dst address: 10.0.0.0/30
После подключения клиента под Template появится строка:
Src address: 10.0.0.2/32, Dst address: 10.0.0.1/32, PH2 State: established. Это установилась фаза 2(PH2).
Итог: каждый клиент - своя группа, свой Identities, и свой Template с соотв.группой.
На один Identities с static key больше 1 клиента повесить нельзя, для этого надо делать авторизацию с сертификатами+Mode configs, чтобы не прописывать IP адреса у клиента.
Цитата:| нужно еще три policies для одного пира - всё это связывается с циской. |
На Cisco надо так же создать: loopback - 3 шт. с маской /32,
crypto ikev2 keyring keys
peer Client1
pre-shared-key key1
peer Client2
pre-shared-key key2
peer Client3
pre-shared-key key3
!
crypto ikev2 profile ikev2profile
identity local key-id NAME_CLIENT1 (NAME_CLIENT1 - указать в микротике в Identities-Remote ID)!
А вот здесь вопрос - если 3 трубки подключены в одну Cisco, зачем 3 подключения ipsec ? |
Всего записей: 354 | Зарегистр. 19-04-2003 | Отправлено: 07:29 21-04-2024 | Исправлено: digital422, 07:42 21-04-2024 |
|
