Имеется cisco маршрутизатор на котором поднят ipsec с конфигурацией для динамических клиентов:
Код: Выделить всё
crypto isakmp policy 5
encr aes
hash md5
authentication pre-share
group 2
crypto isakmp key ciscoKey address 0.0.0.0
!
!
crypto ipsec transform-set VPN-ELTEX esp-aes esp-md5-hmac
mode tunnel
!
!
!
crypto dynamic-map IP-SEC-SITE-TO-SITE-VPN 10
set security-association lifetime seconds 86400
set transform-set VPN-ELTEX
match address VPN-ELTEX-TRAFFIC1
crypto dynamic-map IP-SEC-SITE-TO-SITE-VPN 20
set security-association lifetime seconds 86400
set transform-set VPN-ELTEX
match address VPN-ELTEX-TRAFFIC2
!
!
!
crypto map VPN-ELTEX-MAP 10 ipsec-isakmp dynamic IP-SEC-SITE-TO-SITE-VPN
!
interface gi0/0
ip address 1.1.1.1
no ip redirects
no ip proxy-arp
crypto map VPN-ELTEX-MAP
!
ip access-list extended VPN-ELTEX1-TRAFFIC
permit ip any 10.10.10.0 0.0.0.255
!
ip access-list extended VPN-ELTEX2-TRAFFIC
permit ip any 10.10.11.0 0.0.0.255
!И несколько ESR-10 с такой конфигурацией:
Код: Выделить всё
interface gigabitethernet 1/0/1
ip address dhcp
ip firewall disable
exit
interface gigabitethernet 1/0/2
ip firewall disable
ip address 10.10.10.1/24
exit
security ike proposal ike_propl
authentication algorithm md5
encryption algorithm aes128
dh-group 2
exit
security ike policy ike_pol1
pre-shared-key ascii-text encrypted 9FBD1063GFTEBF2F19
proposal ike_propl
exit
security ike gateway ike_gw1
ike-policy ike_pol1
local interface gi1/0/1
local network 10.10.10.0/24
remote address 1.1.1.1
[u]remote network 10.10.0.0/16[/u]
mode policy-based
exit
security ipsec proposal ipsec_prop1
authentication algorithm md5
encryption algorithm aes128
exit
security ipsec policy ipsec_pol1
proposal ipsec_prop1
exit
security ipsec vpn ipsec1
mode ike
ike establish-tunnel immediate
ike gateway ike_gw1
ike ipsec-policy ipsec_pol1
enable
exitсессии поднимаются и ESR прекрасно доступны, но загвостка заключается в этой строчке remote network 10.10.0.0/16. По замыслу хочется, чтобы траффик с одного ESR попал на vpn сервер cisco и по ipsec отправился в на другой ESR, но не хочется прописывать все удалённые сети по отдельности на каждом ESR. Но при записи сети с 16 маской в политиках ipsec становится недоступна сама локальная connected сеть, кажется, что пакеты отправляются в ipsec туннель(не нашёл как это проверить), например, 10.10.10.2 становится недоступен. Как только прописываю remote network 10.10.11.0/24; remote network 10.10.12.0/24; remote network 10.10.13.0/24 сеть 10.10.10.0/24 становится доступна с того самого ESR где она подключена напрямую. Можно ли как-то указывая remote network 10.10.0.0/16 исключить свою собственную сеть или повысить приоритет маршрутов по отношению к ipsec политике?