Just use global command "sysopt connection permit-vpn" and you can forget about ACL on incoming interface.

Здравствуйте, Мы находимся в процессе настройки топологии HUB-and-SPOKE с использованием IPsec VTI. Маршрутизатор HUB настроен с DVTI, а маршрутизатор SPOKE использует SVTI. Несмотря на наличие IP-соединения между маршрутизаторами, фаза 1 согласования IPsec завершается сбоем . Маршрутизатор HUB (ROUTER_HUB) не получает IP-пакеты от маршрутизатора SPOKE (ROUTER_SPOKE). Мы проанализировали множество документов и руководств и на их основе пришли к выводу, что конфигурация выглядит правильной. Конфигурация и результаты тестирования приведены ниже для справки. Буду очень благодарен за любую помощь, которую вы сможете оказать. EDIT: Я добавил файл с решением для будущего использования. Спасибо за все

Уважаемое сообщество Cisco! Я настраиваю VPN между CISCO ASA + JUNIPER SRX VPN, но согласование не удалось. Пожалуйста, обратите внимание на сообщение об ошибке ниже: 12 мая 2025 г. 13:19:37: %ASA-7-713906: Приемник IKE: пакет получен на 10.X.X.X:500 от 52.X.X.X:500 12 мая 2025 г. 13:19:37: %ASA-5-750002: Локальный: 10.X.X.X:500 Удаленный: 52.X.X.X:500 Имя пользователя: Неизвестно IKEv2 Получен запрос IKE_INIT_SA 12 мая 2025 г. 13:20:53: %ASA-4-750003: Локальный: 10.X.X.X:500 Удаленный: 52.X.X.X:500 Имя пользователя: неизвестно IKEv2 Переговоры прерваны из-за ОШИБКИ: не удалось получить сообщение AUTH до истечения времени ожидания Обратите внимание, что у меня не настроено имя пользователя, поэтому я не понимаю, почему отображается «Имя пользователя: неизвестно». У нас есть настройка предварительно совместно используемого ключа, которая одинакова для обеих сторон и ранее работала на Cisco ASA, но после установки VPN на Juniper перестала работать. С уважением, chiguy123

Здравствуйте, Я переношу туннель IKEv2 с ASA на FTD. В конфигурации ASA этот туннель использует разные предварительно совместно используемые ключи для локальной и удаленной аутентификации, например: tunnel-group x.x.x.x. ipsec-attributes peer-id-validate nocheck ikev2 remote-authentication pre-shared-key aaaaaaaaaaaaaaaaaa ikev2 local-authentication pre-shared-key bbbbbbbbbbbbbbbbbb Однако в FMC я не вижу опции для добавления предварительно разделенных ключей для удаленной и локальной аутентификации. См. рисунок. Кто-нибудь знает, как это ввести? Должен ли я использовать flex-config? ![Ikev2_policy.jpg] Спасибо /Chess [image: 5b55d55daba05e7f22049419e0ff7fc0b85f9109.jpg]

Я перенес Cisco AnyConnect с флешки Cisco ASA на TFTP-сервер, он оказался файлом .PKG. Моим намерением было скопировать установщик Cisco AnyConnect с ASA, а затем использовать его для установки клиента Cisco AnyConnect на Linux Ubuntu. Файл, который я перенес на TFTP, мне не нужен. Ниже приведена команда, которую я использовал. AS#copy flash:/anyconnect-linux64-4.5.00058-webdeploy-k9.pkg tftp Имя исходного файла [anyconnect-linux64-4.5.00058-webdeploy-k9.pkg]? (введите) Адрес или имя удаленного хоста []? 10.101.x.x Имя файла назначения [anyconnect-linux64-4.5.00058-webdeploy-k9.pkg]? (введите) 20148996 байт скопировано за 11,220 секунд (1831726 байт/сек)

Этот калькулятор является причиной этого вопроса: https://ipsec-overhead-calculator.netsec.us/ Если у вас есть два маршрутизатора Cisco с туннелем «сайт-сайт», использующим следующую политику: crypto isakmp policy 1 encryption aes256 hash sha512 группа 16 authentication pre-share крипто isakmp ключ Pass123 адрес 1.1.1.1 крипто ipsec transform-set T1 esp-aes esp-sha-hmac режим tunnel крипто ipsec профиль P1 установить трансформационный набор T1 Какая часть соответствует какому полю в калькуляторе? В частности, поля AH, ESP - Encryption, ESP - Integrity... Спасибо!

Здравствуйте, кто-нибудь может подсказать, как лучше всего решить эту проблему? Я настроил Anyconnect, и он нормально работает для ряда пользователей, однако в последнее время все новые клиенты, подключающиеся к сети, получают ошибку «Внутренняя ошибка VPN-сервера». Пользователи могут без проблем пройти аутентификацию на веб-странице и загрузить клиент, но после установки и аутентификации появляется ошибка, и они не могут подключиться. Извините, это неверно, клиент возвращает ошибку VPN-сервера, как только вы нажимаете «Подключиться». В настоящее время он настроен на аутентификацию через SAML, но при переходе на локальный или TACACs я получаю точно такую же ошибку при тестировании. У нас очень мало пользователей (6), а на устройстве есть 8 лицензий (5508-x в режиме отказоустойчивости HA и 4 лицензии на каждое устройство, итого 8 доступных). Однако даже после тестирования, когда никто другой не был подключен, возникает та же ошибка, поэтому я не думаю, что это проблема с лицензией. Я попробовал несколько разных версий AnyConnect, от 4.7.04056 4.8.03036 и 4.9.00086 Все они дают ту же ошибку.

Я хотел бы запретить доступ через Cisco AnyConnect - Secure Client и через веб-HTTPS к Firepower для определенных IP-адресов. Насколько я видел, контроль доступа или любая политика безопасности может быть применена после входа в VPN. Я бы предпочел запретить некоторым IP-адресам вход в систему или доступ к веб-интерфейсу. По сути, я хотел бы, чтобы Firepower был недоступен для определенных интернет-адресов. Есть ли способ сделать это через веб-менеджер Firepower или через cli?

Может ли кто-нибудь объяснить мне, как загрузить Cisco AnyConnect с брандмауэра Cisco ASA? У меня есть Cisco AnyConnect в My ASA Flash, и я скопировал файл .pkg с ASA на TFTP-сервер. Однако файл, который я загрузил на TFTP-сервер, бесполезен, он не оказался установщиком. Мне нужен этот установщик, чтобы загрузить и установить Cisco Anyconnect на ПК. См. информацию ниже и вложение. Спасибо CiscoASAt# sh flash: --#-- --length-- -----дата/время------ путь 142 30691264 30 августа 2017 г. 14:01:46 CiscoASA:/anyconnect-win-4.5.00058-webde ploy-k9.pkg 143 20148996 30 августа 2017 г. 14:02:22 CiscoASA:/ anyconnect-linux64-4.5.00058-w ebdeploy-k9.pkg 144 22876914 30 августа 2017 г. 14:03:04 CiscoASA:/anyconnect-macos-4.5.00058-web deploy-k9.pkg CiscoASA# copy flash:/anyconnect-linux64-4.5.00058-webdeploy-k9.pkg tftp Имя исходного файла [anyconnect-linux64-4.5.00058-webdeploy-k9.pkg]? (введите) Адрес или имя удаленного хоста []? 10.102.x.x Имя файла назначения [anyconnect-linux64-4.5.00058-webdeploy-k9.pkg]? (введите) !!!!!!!!!!!!!!!!!!! 20148996 байт скопировано за 11,220 секунд (1831726 байт/сек) [image: 030233e51d5dfdeb677a65df7f4382512047b758.png]

Прежде всего, в настоящее время мы тестируем различные сценарии IPsec. Это конкретное устройство (ROUTER_SPOKE_CRYPTO) оказывается особенно сложным, когда речь заходит об установлении соединения IPsec. Этот сценарий не предполагает использования VRF. У меня есть ROUTER_HUB, который успешно установил туннель с другим маршрутизатором-спицей с помощью SVTI. Сейчас я пытаюсь настроить второй туннель, но на этот раз с помощью Crypto Map (я знаю, что это немного устарело, но я должен его использовать). Я столкнулся с проблемой, которая кажется простой, но я не могу понять, почему она не работает. ![:disappointed_face:] Для справки: на этом устройстве работают другие VTI (ROUTER_SPOKE_CRYPTO), но ни один из них не использует Crypto Map. Вот некоторые подробности: Фаза 1 установлена Фаза 2: SA не устанавливаются - Ping работает, если мы не используем loopback в качестве источника — в этом случае тест ping завершается с ошибкой (более подробная информация находится в файле) Похоже, это проблема ACL, но я пробовал несколько разных конфигураций без успеха. Я также пробовал альтернативный метод применения криптографической карты, изменив некоторые команды, но все равно безрезультатно. Буду очень благодарен за любую помощь — я честно говоря застрял. У меня такое ощущение, что это что-то очевидное, чего я просто не вижу. [image: 9a6a1b33b498cad2a89966cc0dd3cbb41ecbfdfd.png]

Мне нужно импортировать новый сертификат в Cisco ASA, как это уже делалось в прошлые годы. У меня есть новый сертификат от Actalis, запрос CSR был создан с помощью команды openssl req -new -newkey rsa:2048 -nodes -keyout star.domain.it.key -out star.domain.it.csr (не из ASA). Полученный сертификат star.domain.it.cer также содержит промежуточный сертификат. Это звездный сертификат (*.domain.it), который успешно используется в других приложениях. Сертификат cer был преобразован в pkc12 с помощью команды openssl pkcs12 -export -out star.domanin.it.pfx -inkey star.domain.it.key -in star.domain.it.cer , конечно, с паролем. Как обычно, я установил новый сертификат с помощью интерфейса ASDM, но получил следующую ошибку: ОШИБКА: операция импорта PKC12 не удалась. Мне нужна помощь в решении этой проблемы. Спасибо. Фабрицио www.rfc.it

Я борюсь с этой проблемой, но Cisco не помогает, хотя билет открыт уже неделю. Переходим с ASA на FMC/FTD только для SSL Anyconnect VPN, и у нас все работает, КРОМЕ DTLS. Есть реальная проблема с устранением неполадок с помощью отладки и т. д. Я не могу найти, почему DTLS не работает. Использую FMC 7.3.1 и 7.3.1 FTD. DTLS v1.2 включен в настройках платформы и в политике RA VPN. У кого-нибудь есть советы по устранению этой проблемы?

Что должно совпадать в конфигурациях? У меня нет DNS в сети, и я хотел бы использовать PSK (без сертификатов). Я пробовал различные комбинации, но пока безрезультатно. SW IOS XE 17.3.3 Отладка IKEv2 все: ... 6 октября 17:26:53.833 CEST: IKEv2:(SESSION ID = 360,SA ID = 1):Проверка обнаружения NAT6 октября 17:26:53.833 CEST: IKEv2:(SESSION ID = 360,SA ID = 1):NAT не найден6 октября 17:26:53.833 CEST: IKEv2:(SESSION ID = 360,SA ID = 1):Поиск политики на основе идентификатора узла '10.214.0.68' типа 'IPv4 address'6 октября 17:26:53.833 CEST: IKEv2: найден соответствующий профиль IKEv2 «CRY_IKEV2_PROFILE»6 октября 17:26:53.833 CEST: IKEv2: % Получение предварительно согласованного ключа из связки ключей профиля CRY_IKEV2_KEYRING6 октября 17:26:53.833 CEST: IKEv2:(SESSION ID = 360,SA ID = 1):Поиск политики с fvrf 0, локальный адрес 10.214.0. 2556 октября 17:26:53.833 CEST: IKEv2: (SESSION ID = 360, SA ID = 1): Использование политики по умолчанию для предложения 6 октября 17:26:53.833 CEST: IKEv2: (SESSION ID = 360, SA ID = 1): Найденная политика «default»* 6 октября 17:26:53.833 CEST: IKEv2: не сеанс VPN-SIP6 октября 17: 26:53.833 CEST: IKEv2:(SESSION ID = 360,SA ID = 1):Проверка политики партнера6 октября 17:26:53.833 CEST: IKEv2: (SESSION ID = 360, SA ID = 1): Политика партнера проверена* 6 октября 17:26:53.833 CEST: IKEv2: (SESSION ID = 360, SA ID = 1): Получить метод аутентификации партнера* 6 октября 17:26:53.833 CEST: IKEv2:(SESSION ID = 360,SA ID = 1):Метод аутентификации соседа — «PSK»6 октября 17:26:53.833 CEST: IKEv2:(SESSION ID = 360,SA ID = 1):Получить предварительно согласованный ключ партнера для 10.214.0.686 октября 17:26:53.833 CEST: IKEv2: (SESSION ID = 360, SA ID = 1): Проверка данных аутентификации партнера* 6 октября 17:26:53.833 CEST: IKEv2-ERROR:(SESSION ID = 360,SA ID = 1):: Не удалось аутентифицировать IKE SA6 октября 17:26:53.833 CEST: IKEv2:(SESSION ID = 360,SA ID = 1):Проверка данных аутентификации соседа НЕ УДАЛАСЬ6 октября 17:26:53.834 CEST: IKEv2:(SESSION ID = 360,SA ID = 1):Отправка уведомления об ошибке аутентификации6 октября 17:26:53.834 CEST: IKEv2: (SESSION ID = 360, SA ID = 1): Создание пакета для шифрования. Содержимое полезной нагрузки: NOTIFY(AUTHENTICATION_FAILED) 6 октября 17:26:53.834 CEST: IKEv2:(SESSION ID = 360,SA ID = 1):Отправка пакета [К 10.214.240.10:500/От 10.214.0.255:500/VRF i0:f0] SPI инициатора: DC19B4254BB0C960 - SPI ответчика: 3F580AF81180425F Идентификатор сообщения: 1 IKEv2 IKE_AUTH Обмен RESPONSE Содержимое полезной нагрузки: ENCR 6 октября 17:26:53.834 CEST: IKEv2:(SESSION ID = 360,SA ID = 1):Auth exchange failed6 октября 17:26:53.834 CEST: IKEv2-ERROR:(SESSION ID = 360,SA ID = 1):: Ошибка обмена аутентификацией6 октября 17:26:53.834 CEST: IKEv2:(SESSION ID = 360,SA ID = 1):Прерывание обмена6 октября 17:26:53.834 CEST: IKEv2:(SESSION ID = 360,SA ID = 1):Удаление SA6 октября 17:26:53.834 CEST: IKEv2:(SA ID = 1):[IKEv2 -> PKI] Закрытие сеанса PKI6 октября 17:26:53.834 CEST: IKEv2: (SA ID = 1): [PKI -> IKEv2] Закрытие сеанса PKI ПРОЙДЕНО ... Конфигурация концентратора: ------------------------------------------------------- aaa authorization network AAA_FLEXVPN_LOCAL local ! crypto ikev2 authorization policy CRY_IKEV2_AUTHORIZATION route set interface route set access-list ACL_FLEXVPN_ROUTES ! crypto ikev2 keyring CRY_IKEV2_KEYRING peer ANY address 10.214.0.0 255.255.255.0 identity address 10.214.0.255 pre-shared-key asdf ! crypto ikev2 profile CRY_IKEV2_PROFILE match identity remote address 10.214.0.0 255.255.255.0 identity local address 10.214.0.255 authentication remote pre-share authentication local pre-share keyring local CRY_IKEV2_KEYRING aaa authorization group psk list AAA_FLEXVPN_LOCAL CRY_IKEV2_AUTHORIZATION virtual-template 1 ! crypto ipsec profile CRY_IPSEC_PROFILE set ikev2-profile CRY_IKEV2_PROFILE ! интерфейс Loopback1 ip адрес 10.214.0.255 255.255.255.255 ! интерфейс GigabitEthernet6 ip адрес 10.214.63.225 255.255.255.240 ! интерфейс Virtual-Template1 тип туннель ip unnumbered Loopback1 источник туннеля GigabitEthernet6 режим туннеля ipsec ipv4 назначение туннеля динамическая защита туннеля ipsec профиль CRY_IPSEC_PROFILE ! ip route 10.214.0.64 255.255.255.248 10.214.63.238 ip route 10.214.240.0 255.255.240.0 10.214.63.238 ! ip access-list standard ACL_FLEXVPN_ROUTES 10 permit any Конфигурация Spoke: ------------------------------------------------------- aaa authorization network AAA_FLEXVPN_LOCAL local ! crypto ikev2 authorization policy CRY_IKEV2_AUTHORIZATION route set interface route set access-list ACL_FLEXVPN_ROUTES ! crypto ikev2 keyring CRY_IKEV2_KEYRING peer ANY address 10.214.0.0 255.255.255.0 identity address 10.214.0.68 pre-shared-key asdf ! crypto ikev2 profile CRY_IKEV2_PROFILE match identity remote address 10.214.0.254 255.255.255.255 match identity remote address 10.214.0.255 255.255.255.255 идентичность локальный адрес 10.214.0.68 аутентификация удаленная предварительно разделенная аутентификация локальная предварительно разделенная ключевая коробка локальная CRY_IKEV2_KEYRING aaa группа авторизации psk список AAA_FLEXVPN_LOCAL CRY_IKEV2_AUTHORIZATION ! crypto ikev2 client flexvpn CRY_FLEX_CLIENT peer 1 10.214.0.254 peer 2 10.214.0.255 client connect Tunnel0 ! crypto ipsec profile CRY_IPSEC_PROFILE set ikev2-profile CRY_IKEV2_PROFILE ! интерфейс Loopback0 ip адрес 10.214.0.68 255.255.255.255 ! интерфейс Tunnel0 ip без номера Loopback0 ip mtu 1300 keepalive 10 3 туннель источник Cellular0/1/0 режим туннеля ipsec ipv4 туннель назначения динамическая защита туннеля ipsec профиль CRY_IPSEC_PROFILE ! интерфейс Cellular0/1/0 ip адрес согласованный ip tcp adjust-mss 1240 dialer внутриполосный dialer idle-timeout 0 dialer-group 1 ipv6 enable pulse-time 1 ! ip route 0.0.0.0 0.0.0.0 Cellular0/1/0 ip route 10.214.0.0 255.255.0.0 Tunnel0 250 ip route 10.214.0.255 255.255.255.255 Cellular0/1/0 250 ip ssh version 2 ip scp server enable ! ! ip access-list standard ACL_FLEXVPN_ROUTES 10 permit 10.214.0.68 ! dialer-list 1 protocol ip permit

Простите, если я что-то упустил, но у меня возникла проблема: я не могу опрашивать SNMP через туннель S2S. Появляется сообщение «нет данных» или «пустое свойство». Один конец туннеля — ASA, а другой — ISR 4k. Весь остальной трафик (который я обычно вижу) проходит нормально. Брандмауэры не являются моей сильной стороной, но я выполняю только базовую проверку на стороне ASA (без ACL интерфейса, только с использованием уровней безопасности inside/outside), а на стороне ISR у меня установлен довольно базовый ZBFW. В основном он настроен на проверку всего. Вот соответствующая конфигурация ISR ZBFW ! Class Maps class-map type inspect match-all Mgmt-cmap match access-group name Mgmt class-map type inspect match-any Internet-cmap match protocol icmp match protocol tcp match protocol udp match protocol http match protocol https match protocol pop3 match protocol pop3s match protocol smtp match protocol ntp match protocol snmp match protocol snmptrap match protocol ftp match protocol ftps class-map type inspect match-all ICMP-cmap match access-group name ICMP class-map type inspect match-all Inside-Out-Pass-VPN match access-group 102 class-map type inspect match-all Int-Dev-Mgmt match access-group name Int-Dev-Mgmt class-map type inspect match-all Ouside-In-Pass-VPN match access-group 101 class-map type inspect match-all Self-Out-cmap match protocol icmp class-map type inspect match-all IPSEC-cmap match access-group name ISAKMP_IPSEC ! Policy Maps policy-map type inspect Router-Outside-pmap class type inspect Self-Out-cmap inspect class class-default pass policy-map type inspect Inside-Outside-wVPN-pmap class type inspect ICMP-cmap inspect class type inspect Inside-Out-Pass-VPN pass class type inspect Internet-cmap inspect class type inspect Int-Dev-Mgmt inspect class class-default drop policy-map type inspect Outside-Router-pmap class type inspect ICMP-cmap inspect class type inspect IPSEC-cmap pass class type inspect Mgmt-cmap pass class class-default drop policy-map type inspect outside-inside-pmap class type inspect ICMP-cmap inspect class type inspect Ouside-In-Pass-VPN pass class class-default drop ! Zone config zone security inside zone security outside zone-pair security inside-to-outside source inside destination outside service-policy type inspect Inside-Outside-wVPN-pmap zone-pair security outside-to-inside source outside destination inside service-policy type inspect outside-inside-pmap zone-pair security outside-to-router source outside destination self service-policy type inspect Outside-Router-pmap zone-pair security router-to-outside source self destination outside service-policy type inspect Router-Outside-pmap ! Relevant ACLs ip access-list extended ICMP permit icmp any any echo permit icmp any any echo-reply permit icmp any any traceroute ip access-list extended ISAKMP_IPSEC permit udp any any eq isakmp permit ahp any any permit esp any any permit udp any any eq non500-isakmp ip access-list extended Int-Dev-Mgmt permit udp any any eq ntp permit udp any any eq snmp permit tcp any any eq 22 permit tcp any any eq msrpc ip access-list extended Mgmt permit tcp any any eq 22 ip access-list extended 101 permit ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255 ip access-list extended 102 permit ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255 ! relevant Interfaces int gi0/0 ip add 10.0.1.0 255.255.255.0 zone-member security inside ip nat inside int gi0/1 ip add x.x.x.x 255.255.255.0 zone-member security outside ip nat outside ! I didn't include the NAT config, but it's a basic overload. All inside traffic overloads to the ip on int gi0/1 (PAT). If it would be helpful I can post that too. А на стороне ASA она довольно простая: class-map inspection_default match default-inspection-traffic policy-map global_policy class inspection_default inspect dns preset_dns_map inspect h323 h225 inspect h323 ras inspect rsh inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect netbios inspect ip-options inspect ipsec-pass-thru inspect ftp inspect snmp inspect rtsp inspect tftp ! service-policy global_policy global interface GigabitEthernet1/1 nameif outside security-level 0 ip address x.x.x.x 255.255.255.0 ! interface GigabitEthernet1/2 nameif inside security-level 100 ip address 10.100.100.1 255.255.255.0 access-list SITE extended permit ip object-group HQ object-group SITE object-group network SITE network-object 10.0.1.0 255.255.255.0 object-group network HQ network-object 10.0.0.0 255.255.255.0 ! Also doing no-nat to pass it along through the vpn nat (inside,outside) source static HQ HQ destination static SITE SITE ! pretty run of the mill in the crypto map as well: crypto map outside_map 20 match address SITE crypto map outside_map 20 set peer x.x.x.x crypto map outside_map 20 set ikev1 transform-set ESP-AES-256-SHA У меня есть второй сервис L3VPN от ISP, который я могу использовать, и когда я настраиваю его, оба устройства попадают в «внутреннюю» зону ISR, и SNMP работает нормально. На стороне HQ на самом деле нет ZBFW или ACL, поэтому трафик может свободно проходить на этой стороне. Извините, если я что-то важное упустил, пожалуйста, дайте мне знать, если есть другая информация, которая может помочь в диагностике.

Всем привет, У меня возникла ситуация, когда мне нужно настроить IPSEC-туннель между двумя CISCO ASA. Основной CISCO ASA имеет только публичный IP-адрес, а удаленный ASA находится за устройством NAT (Starlink). Удаленный ASA будет инициировать соединение IPSEC-туннеля. Fortinet делает это очень хорошо и очень просто, но мне нужно настроить это в CISCO ASA. Модель ASA — 5525. Если кто-нибудь может помочь мне, предоставьте простые видео или документацию по настройке. Я провел некоторое исследование и узнал, что используется NAT-T, но у меня нет простых видео или документации по настройке. Спасибо прасад

Привет всем, Я видел здесь много сообщений с этой ошибкой, но не могу ее решить. Даже если моя служба «Cisco AnyConnect Secure Mobility Agent» запущена, ошибка остается. Я уже переустановил программу с перезагрузкой, но проблема не исчезла. Есть ли другие советы? С уважением, Родриго

Настройка аналогична недавнему проекту. Новый клиент, я подозреваю, что в настоящее время финансовые компании пытаются укрепить свою безопасность и обеспечить шифрование всех данных. Вот настройка, на этот раз все маршруты статические. Маршрутизатор головного офиса подключается по арендованной линии к удаленному офису — сети /30. Этот удаленный офис R2 подключается к третьему офису R3 через коммерческого интернет-провайдера. Связь от R2 к интернет-провайдеру — /29, используются только 2 адреса. То же самое и на соединении R3 с интернет-провайдером. Есть туннель gre от R3 к R2. В настоящее время трафик R3 проходит через туннель, чтобы добраться до R1. Теперь весь трафик от R3 к R1 необходимо шифровать. Какой подход будет оптимальным? 1. IPsec на существующем туннеле, а затем добавить еще один IPsec через туннель gre от R2 до штаб-квартиры? 2. Новый туннель gre от r3 до hq с IPsec поверх существующего gre? 3. Что-то еще? Их несколько, всего 5, соединения выглядят как рука на бумаге, lol

Я решил свою проблему! Ура!

Сценарий; - Удаленный доступ VPN, настроенный с MFA на Cisco FTD, аутентификация будет осуществляться с помощью SercurID и AD через ISE, авторизация осуществляется через AD. - Аутентификация SecurID проксируется через RADIUS с использованием сервера ISE в качестве промежуточного звена. Я могу успешно настроить аутентификацию по ISE, используя только AD или только SecurID, но не оба одновременно. Как мне настроить это в ISE, чтобы пользователи аутентифицировались по внешнему источнику идентификации SecurID, а затем по AD? Нужно ли настроить 2 разных набора политик? Один для SecurID и один для AD? Как отличить, что первый запрос аутентификации предназначен для SecurID? Насколько я понимаю, FW отправит первый запрос, а затем второй, однако, судя по моим попыткам устранить неполадку, сервер ISE видит их как запросы RADIUS от одного и того же хоста, поэтому я не могу определить/указать, как обрабатывать их отдельно.

Привет, после обновления приложение ASA SHIMO VPN перестало работать. Я заметил, что openconnect тоже перестал работать, и чтобы исправить эту проблему для openconnect, я просто добавил --useragent=AnyConnect, и он заработал. Я попытался добавить это в shimo в экспертном режиме, но не сработало. У кого-нибудь была такая же проблема? Как ее исправить?