cancelar
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
Comunicados
Bem-vindo à Comunidade de Suporte da Cisco, gostaríamos de ter seus comentários.
New Member

Conexão Matriz/Filial com VPN IPSec via ASA5510 e Roteador C1905

Olá a todos, tenho uma situação onde preciso conectar dois escritórios (matriz e filial) de uma empresa por um túnel IPSec onde no lado matriz possuo um link Internet corporativo com o ISP (com endereçamento IP fixo) conectado à um firewall ASA5510 com a feature de VPN IPSec habiltada. Neste firewall já recebo conexões remotas via VPN Client da Cisco e L2L de uma das filiais via Mikrotik RB1200 que está conectado à Internet através de um link ADSL com atribuição de endereçamento IP dinâmico na mesma operador (ou seja, uso modo aggressive para conectar à Matriz).

Agora preciso interligar outra filial que possui o mesmo tipo de conexão à Internet (link ADSL com endereçamento IP dinâmico), só que através de um roteador Cisco 1905 com o IOS 15.0 e com a feature de security habilitada no mesmo e até agora não consegui configurar este roteador para autenticar no túnel VPN através do modo "aggressive" e por isso, como o endereçamento IP é dinâmico, toda vez que há uma reconexão tenho que reconfigurar no ASA5510 o túnel e o peer da crypto map que está habilitada neste.

Já fiz configurações de crypto map dynamic mas mesmo assim não consigo fazer a conexão funcionar deste modo.

Alguém poderia indicar onde está o problema que venho enfrentando? Seguem abaixo as configurações utilizadas no roteador e no firewall:

ROTEADOR C1905:

crypto isakmp policy 10

encr 3des

hash md5

authentication pre-share

group 2

crypto isakmp key XXXXXXXXXX address <IP_FW_MATRIZ>

!

!

crypto ipsec transform-set ESP-3DES esp-3des esp-md5-hmac

!

crypto dynamic-map Filial2 10

set peer <IP_FW_MATRIZ>

set transform-set ESP-3DES

match address 100

!

crypto map Filial2 10 ipsec-isakmp

description Tunnel2Matriz

set peer <IP_FW_MATRIZ>

set transform-set ESP-3DES

match address 100

!

interface Dialer1

description $FW_OUTSIDE$

crypto map QualySantosDumont

!

access-list 100 permit ip 172.16.20.0 0.0.0.255 172.16.0.0 0.0.0.255

FIREWALL ASA5510:

crypto ipsec transform-set VPN_IPSEC esp-3des esp-md5-hmac

crypto ipsec transform-set VPN_IPSEC1 esp-aes-256 esp-sha-hmac

crypto ipsec transform-set VPN_IPSEC2 esp-aes esp-sha-hmac

crypto ipsec security-association lifetime seconds 3600

crypto ipsec security-association lifetime kilobytes 4608000

crypto dynamic-map VPN_CLIENT 10 set transform-set VPN_IPSEC

crypto dynamic-map TESTE 10 match address filial2-l2l-1

crypto dynamic-map TESTE 10 set transform-set VPN_IPSEC VPN_IPSEC1 VPN_IPSEC2

crypto dynamic-map TESTE 10 set security-association lifetime seconds 3600

crypto map outside_map 5 match address filial2-l2l-1

crypto map outside_map 5 set peer <IP_FILIAL2>

crypto map outside_map 5 set transform-set VPN_IPSEC

crypto map outside_map 5 set security-association lifetime seconds 3600

crypto map outside_map 65495 ipsec-isakmp dynamic TESTE

crypto map outside_map 65500 ipsec-isakmp dynamic VPN_CLIENT

crypto map outside_map interface outside

crypto map management_map interface management

tunnel-group <IP_FILIAL2> type ipsec-l2l

tunnel-group <IP_FILIAL2> ipsec-attributes

pre-shared-key *

access-list filial2-l2l-1 extended permit ip 172.16.0.0 255.255.255.0 172.16.20.0 255.255.255.0

==============================================================================

Nas configurações acima, a filial 1 (que possui o equipamento Mikrotik) conecta-se através das configurações da crypto dynamic-map "VPN_CLIENT" como é feito também para os usuários remotos (VPN client Cisco).

Já a filia 2 consegue conectar-se somente através das configurações da crypto map "outside_map".

Desde já agradeço qualquer ajuda, e estou à disposição para dúvidas.

Att.

Marlon

1 RESPOSTA
New Member

Conexão Matriz/Filial com VPN IPSec via ASA5510 e Roteador C190

Boa tarde, Marlon!

Você ainda está enfrentando esse problema? Caso não, favor marcar essa discussão como respondida.

Grande abraço,

Davi Garcia

2657
Apresentações
0
Kudo
1
Respostas