Здравствуйте, Я настроил IPSEC VPN между двумя маршрутизаторами Cisco iOS. Он работает с IKEv2 (конфигурация ниже). VPN работает, трафик проходит, но PFS в фазе 2, судя по выводу ниже, не работает. R1#show crypto ikev2 sa detailed IPv4 Crypto IKEv2 SA Tunnel-id Local Remote fvrf/ivrf Status 1 10.10.10.1/500 10.10.10.2/500 none/none READY Encr: AES-GCM, keysize: 256, PRF: SHA512, Hash: None, DH Grp:24 , Auth sign: PSK, Auth verify: PSK R1#show crypto ipsec sa detail interface: Tunnel0 PFS (Y/N): N , DH group: none Конфигурация ниже довольно проста R1# crypto ikev2 proposal PROPOSAL encryption aes-gcm-256 prf sha512 group 24 ! crypto ikev2 policy POLICY proposal PRP-VPN ! crypto ikev2 keyring KEYRING peer R2 description R2 address 10.10.10.2 pre-shared-key local PSKEY pre-shared-key remote PSKEY ! ! crypto ikev2 profile PROFILE-P1 match identity remote address 10.10.10.0 255.255.255.0 match address local 10.10.10.1 identity local address 10.10.10.1 authentication remote pre-share authentication local pre-share keyring local KEYRING lifetime 28800 dpd 30 10 periodic ! crypto ipsec transform-set TFS esp-gcm 256 mode tunnel ! crypto ipsec profile PROFILE-P2 set security-association lifetime kilobytes disable set transform-set TFS set pfs group24 set ikev2-profile PROFILE-P1 ! interface Tunnel0 ip address 192.168.0.1 255.255.255.252 tunnel source 10.10.10.1 tunnel mode ipsec ipv4 tunnel destination 10.10.10.2 tunnel protection ipsec profile PROFILE-P2 Может ли кто-нибудь поделиться своим опытом о том, что может быть не так, что PFS не запускается, и как лучше всего устранить эту проблему? Должна ли выбранная группа DH соответствовать выбранному шифрованию фазы 1 и фазы 2? Оба устройства — Cisco ISR 881 с версией 159-3.M7 Спасибо Марк

Здравствуйте Я только что настроил два маршрутных VPN с помощью SVTI. Я хотел бы распределить нагрузку трафика между обоими туннелями и хотел бы узнать, какие есть варианты и какой способ рекомендуется для этого. В настоящее время используется FTD 7.4, управляемый через FMC. Спасибо

Привет всем, У меня есть многоконтекстный FTD, на котором работает код ASA, и я хотел бы подключить один из контекстов к нашей среде Azure с помощью маршрутизированного VPN-соединения между сайтами . Я создал новый контекст, предназначенный исключительно для VPN-туннеля , и настроил управление ресурсами на FTD (с собственным классом — vpn) . По-видимому, это необходимо сделать для запуска VPN-туннелей в многоконтекстном брандмауэре, поскольку класс по умолчанию этого не позволяет. Вся конфигурация выглядит нормально на обоих концах туннеля, однако он не запускается . Ниже приведена конфигурация FTD . 1. Интерфейсы / подсети Внешний IP-адрес ASA на месте: 200.20.30.40 Внутренние сети локальной сети: 10.0.0.0/16, 192.168.1.0 /24, 208.96.168.0/21 Общедоступный шлюз Azure: 100.1.1.1 Подсеть Azure: 172.16.0.0 /16 Предварительно общий ключ: keepitsaf 2. Объекты - объект-группа сети obj-LAN подсеть 192.168.1.0 255.255.255.0 подсеть 10.0.0.0 255.255.0.0 подсеть 208.96.168.0 255.255.248.0 - сеть объектов obj-AZURE подсеть 172.16.0.0 255.255.0.0 3. Списки доступа access-list AZURE-ACL line 1 extended permit ip object-group obj-LANobject obj-AZURE 4. NAT nat (any,outside) source static obj-LANobj-LAN destination static obj-AZUREobj-AZURE no-proxy-arp route-lookup 5. Политика IKEv2 crypto ikev2 policy 10 encryption aes-256 integrity sha256 group 14 prf sha256 lifetime seconds 28800 crypto ikev2 enable outside 6. Набор преобразований crypto ipsec ikev2 ipsec-proposal AZURE-PROPOSAL протокол esp шифрование aes-256 протокол esp целостность sha-256 7. Криптографическая карта crypto map AZURE-MAP 10 match address AZURE-ACL crypto map AZURE-MAP 10 set pfs crypto map AZURE-MAP 10 set peer 100.1.1.1 Криптографическая карта AZURE-MAP 10 set ikev2 ipsec-proposal AZURE-PROPOSAL Криптографическая карта AZURE-MAP 10 set security-association lifetime seconds 3600 Криптографическая карта AZURE-MAP интерфейс outside 8. Группа туннелей tunnel-group 100.1.1.1 type ipsec-l2l tunnel-group 100.1.1.1 ipsec-attributes ikev2 remote-authentication pre-shared-key keepitsafe ikev2 local-authentication pre-shared-key keepitsafe 9. Маршрутизация S* 0.0.0.0 0.0.0.0 [1/0] через 2.2.2.2, снаружи >>>>>>>>>>>>> ( 2.2.2.2 / 2.2.2.3 - основной коммутатор ) [1/0] через 2.2.2.3, снаружи S 172.16.0.0 255.255.0.0 [1/0] через 100.1.1.1, снаружи L 200.20.30.40 255.255.255.255 подключен напрямую, снаружи Кто-нибудь может помочь? Не понимаю, где я ошибаюсь?

У нас есть мультиконтекстный FTD3105 с кодом ASA версии 9.22, и мы пытаемся построить VPN между сайтами с помощью Azure . Не могли бы вы дать совет по следующему вопросу? 1 ) При попытке создать VPN между сайтами на основе ROUTE я не смог создать VTI, а затем прочитал , что это невозможно на FTD с кодом ASA . Кто-нибудь может это подтвердить? 2) Как лучше всего реализовать межконтекстную коммуникацию, когда трафик VPN между сайтами Azure, поступающий на внешний интерфейс контекста A, предназначен для сети, расположенной в контексте B? Спасибо

Всем привет! Я работаю над своей диссертацией и создаю IPsec VPN-туннель между двумя филиалами в Cisco Packet Tracer. Маршрутизация работает без IPsec, но после настройки туннеля связь между локальными сетями не работает , а IKE/IPsec SA не устанавливаются полностью. Вот моя топология: Сеть компании A Устройство Роль Интерфейс IP-адрес Маска подсети Шлюз по умолчанию Маршрутизатор A Шлюз LAN G0/0 192.168.1.1 255.255.255.0 — Маршрутизатор A WAN к интернет-маршрутизатору S0/0/0 10.1.1.2 255.255.255.252 — PC-A1 Клиент NIC 192.168.1.10 255.255.255.0 192.168.1.1 Сервер-A (опционально) DNS / Интранет Сетевая карта 192.168.1.20 255.255.255.0 192.168.1.1 Сеть компании B Роль устройства Интерфейс IP-адрес Маска подсети Шлюз по умолчанию Маршрутизатор B Шлюз LAN G0/0 192.168.2.1 255.255.255.0 — Маршрутизатор B WAN к интернет-маршрутизатору S0/0/0 10.1.2.2 255.255.255.252 — PC-B1 Клиент NIC 192.168.2.10 255.255.255.0 192.168.2.1 Сервер-B (опционально) DNS / Интранет Сетевая карта 192.168.2.20 255.255.255.0 192.168.2.1 ![] Интернет / Промежуточный маршрутизатор Роль устройства Интерфейс IP-адрес Маска подсети Маршрутизатор Интернета Транзитный маршрутизатор G0/0 10.1.1.1 255.255.255.252 Интернет-маршрутизатор Транзитный маршрутизатор G0/1 10.1.2.1 255.255.255.252 ![:white_heavy_check_mark:] Настройка статических маршрутов (требуется для полной связи) Маршрутизатор A: ip route 192.168.2.0255.255.255.010.1.1.1 Маршрутизатор B: ip route 192.168.1.0255.255.255.010.1.2.1 Интернет-маршрутизатор: ip route 192.168.1.0255.255.255.010.1.1.2 ip route 192.168.2.0255.255.255.010.1.2. Если вы знаете, как я могу это исправить, буду очень благодарен. ![] [image: 35f006fcfd0c2355d6404a4fb87281f2304365db.png] [image: 86db622e7564f74782bf4e9ff8bbe3d6d82255a9.png] [image: 01a0ccb0eaa8c8e75ff1c1ca16e03752af15251b.png] network-VPN.zip

В настоящее время я настраиваю VPN для Azure, который будет использоваться в качестве резервного копирования для Expressroute. Я планирую настроить входящую/исходящую маршрутную карту на BGP-пире, чтобы применить AS-Path prepending к отправленным и полученным маршрутам, чтобы обеспечить меньшую предпочтительность VPN-маршрута во время нормальной работы (FTD-пиры BGP к нашему ядру, которое будет видеть более длинный AS-путь). Я еще не тестировал это, но хотел бы проверить, поддерживает ли FTD добавление AS-Path к входящей маршрутной карте или только к исходящей?

Всем привет! У меня периодически возникает проблема с AnyConnect Client: иногда я не могу щелкнуть внутри раскрывающегося списка и ввести VPN для подключения, а иногда могу. Кажется, эта проблема появляется и исчезает без моего участия (насколько я могу судить). Заранее прошу прощения, если это простой вопрос.

Привет, сообщество! Можно ли настроить клиентский VPN с использованием IPsec без лицензии или использовать SSL-сертификат и ключ? Я нашел только эту ссылку: https://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/215532-configure-remote-access-vpn-on-ftd-manag.html С уважением!

Здравствуйте, Я планирую настроить новый туннель L2L между двумя брандмауэрами FTD, где одна сторона получает динамический IP-адрес от интернет-провайдера, а другая сторона имеет фиксированный IP-адрес. Я нашел несколько старых руководств, в которых рекомендуется использовать топологию VPN «Hub and Spoke», но в Peer to Peer VPN также есть возможность использовать динамический IP-адрес на одной стороне (см. ниже), поэтому я не совсем понимаю, в чем разница и что рекомендуется? ![Screenshot 2025-11-06 085934.jpg] Спасибо /Chess [image: 82dce955ca50531b3f4378e4f8beebb06d5e021f.jpg]

Здравствуйте, Мы хотим подключить FTD (со статическим публичным IP-адресом) и несколько маршрутизаторов Cisco (с динамическим IP-адресом) с помощью IPSEC IKEv2 L2L VPN с разными PSK для каждого VPN. Мы не можем найти на FTD, как проверить идентификатор получателя, который маршрутизатор будет отправлять для сопоставления с правильным туннелем. Смотрите этот документ: https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/118652-configure-asa-00.html В документе в части ASA идентификатор, отправленный маршрутизатором с динамическим IP, сопоставляется с именем группы туннелей, мне нужно сделать что-то похожее, но с FTD... вместо ASA. FTD v7.6.2 (управляется с помощью FMC). Буду благодарен за любую помощь. С уважением

Здравствуйте, У клиента возникли проблемы с асимметричной маршрутизацией после отключения электроэнергии на его локальном сайте. Он использует MPLS в качестве основного соединения с центром обработки данных и статическое соединение L2L VPN в качестве резервного. Через MPLS из центра обработки данных объявляется сеть /18. Эта сеть /18 разделена на несколько подсетей /24. По какой-то причине после отключения электроэнергии они перестали получать определенные сети /24 в BGP от провайдера MPLS, и вместо этого клиент видел только всю сеть /18. Это привело к тому, что резервная L2L VPN начала устанавливать туннели IPSec, и трафик выходил через туннель IPsec, но возвращался на интерфейс MPLS, вызывая асимметричную маршрутизацию. В качестве временного решения мы отключили VPN-туннель, и трафик снова начал проходить через интерфейс MPLS. Конечно, это не идеальный вариант, потому что мы больше не можем использовать VPN в качестве резервного варианта. Я заметил, что у них VPN-туннель настроен на использование обратного маршрутизации. Я подозреваю, что отключение этой функции может быть обходным решением, но не совсем уверен, не вызовет ли это другие проблемы, и остается вопрос, почему мы не видим более конкретные сети /24 в BGP. Буду рад узнать, если у кого-нибудь есть идеи по устранению этой проблемы. Спасибо /Chess

Здравствуйте, У клиента есть более 80 туннелей L2L VPN от головного офиса до небольших удаленных офисов. В основном подключение к этим удаленным офисам осуществляется через MPLS, а туннели VPN используются в качестве резервных. При просмотре FMC я вижу, что большинство туннелей имеют статус «неактивный», что кажется логичным, но я также заметил, что некоторые туннели имеют статус «неизвестный», и я не уверен, связано ли это с тем, что туннели никогда не были активны, или это проблема неправильной настройки? Трудно проверить, работает ли туннель должным образом, потому что для тестирования нам нужно отключить интерфейс MPLS на маршрутизаторе, и если есть проблема с резервным VPN-туннелем, мы прервем соединение с этим удаленным офисом. Кто-нибудь знает, что именно означают статусы «неизвестный» и «неактивный»? ![VPN tunnels.png] Спасибо /Chess [image: fe3bd0b87eb827782d24b8bd4d69e0ea32fbfbc1.png]

У меня есть ASA, настроенная для аутентификации сертификатов AlwaysON SSL-VPN, которая работает нормально, но я хочу перейти на аутентификацию на основе компьютера, и изменение, которое я сделал, заключается в изменении профиля подключения -> поле «Primary» --> изменение с «UPN» на «CN», и это не работает. Пожалуйста, помогите. ![NajibAkbari_0-1763602445370.png] Кроме того, что вы думаете об изменении аутентификации на основе сертификата пользователя на аутентификацию на основе сертификата компьютера? Это лучше с точки зрения безопасности? Причина, по которой я хочу внести изменения, заключается в том, что в случае аутентификации на основе пользователя пользователь должен как минимум один раз войти в систему и добавить сертификат или отправить его на аутентификацию из домена. [image: 37324eea141128220d5c7f8649351146bb9f9a9a.png]

Конфигурация NAT Exempt для трафика VPN Sit to Site на нашем устройстве Cisco Firepower, управляемом через FDM . В настоящее время FDM не допускает команды NAT в стиле ASA (такие как nat (...) ) в CLI или через FlexConfig. Эти команды заблокированы, поскольку FDM использует модель, основанную на политиках, и NAT необходимо настраивать через GUI NAT Policy . Не работает даже при попытке из GUI. Есть ли обходной путь? Проблема в том, что в FDM нельзя выбрать в translate packet. Нельзя выбрать опцию do not translate и нельзя оставить ее просто любой. В FDM: Перейдите в «Устройство» → «NAT ». Добавьте правило Manual NAT Rule : Исходный пакет: Источник интерфейса: Ethernet1/3 Интерфейс назначения: Ethernet1/1 Источник Адрес: объект Адрес назначения: объект Переведенный пакет: Источник: Не переводить не существует Назначение: Не переводить не существует

Привет, сообщество Cisco: VPN и AnyConnect, VPN Мы работаем над выпуском последних версий Cisco Secure Client. Недавно мы перенесли концентраторы VPN в нашей среде с устаревших ASA5555X на FirePower 4110. Ранее в ASA не было возможности целевого обновления модулей для наших клиентов. Вы загружали пакет на концентратор VPN, а затем подключающиеся клиенты загружали последние версии модулей VPN. Есть ли в Firewall Management Center дополнительные опции для целевых обновлений? То есть, для тестовых групп клиентов, есть ли способ обновить только часть клиентов, подключающихся к нашему концентратору, или это по-прежнему подход «все или ничего»? Для локальной установки мы уже используем ISE client provisioning для выпуска последней версии Secure Client, но у нас есть некоторые удаленные пользователи, которых нам нужно обновить, и мы беспокоимся, что у них могут возникнуть проблемы с правильным обновлением модулей. Заранее благодарю за любую помощь!

Здравствуйте, У меня к вам небольшой вопрос, так как я не совсем уверен, что вы сможете это сделать. В общем, мы соединяем два офиса и нам нужна более высокая пропускная способность между сайтами через VPN. Основной сайт имеет выделенную линию, а удаленный сайт имеет SDSL-соединение с вторичной ADSL-линией другого провайдера, настроенной в режиме отказоустойчивости. В главном отделении установлен Cisco ASA 5520, а в удаленном — 5510, с VPN между сайтами. Можно ли использовать резервную линию для увеличения пропускной способности через VPN между сайтами? Я имею в виду создание VPN-соединения, объединяющего две WAN? Draytek имеет функцию в своей серии 2930, которая позволяет сделать это, называемую VPN Trunk/Bonding. Мне было интересно, возможно ли это на Cisco ASA? Если нет, есть ли какой-нибудь способ достичь этого с помощью дополнительного оборудования? Я не хочу использовать Draytek для основного сайта, очевидно, потому что нагрузка, вероятно, выведет его из строя, но я не против использования этого на удаленном сайте перед ASA. Заранее спасибо.

Здравствуйте, Клиент сообщает, что вновь созданный пользователь VPN с удаленным доступом не может успешно подключиться и получает следующее сообщение об ошибке: «Вход запрещен, неавторизованный механизм подключения, обратитесь к администратору». Процесс аутентификации через Cisco ISE и DUO проходит нормально, включая ввод MFA OTP, но после этого подключение отклоняется. При устранении неполадки я заметил, что эта конкретная групповая политика не назначается ISE, как ожидалось, в отличие от других групповых политик. Кто-нибудь знает, как я могу устранить эту проблему? Спасибо /Chess

Проверенные конфигурации в Palo Alto. Маршрутизатор имеет крипто-карту, набор преобразований и ключ. Я постоянно вижу сообщения syslog с указанием %CRYPTO-4-RECVD_PKT_INV_SPI от источника туннеля, который постоянно выходит из строя. Время между ними варьируется. Я попробовал ввести команду #crypto isakmp invalid-spi-recovery в надежде, что это решит мою проблему. Пока что туннель держится, но сообщения syslog по-прежнему поступают. Я посмотрел и обнаружил, что политика ISAKMP не настроена. Может быть, она просто не нужна при использовании IKEv2 с Palo?

Здравствуйте, У меня есть FTD2140 с ASA, и я использую management0/0 для доступа к брандмауэру по SSH и HTTP, как локально, так и удаленно. В версии 9.12 мы можем управлять тем же брандмауэром, на который мы подключаемся, с помощью «management-access management». После обновления до версии 9.18 это перестало работать. ChatGPT предполагает, что есть несоответствия при использовании 0.0.0.0 в качестве ACL управления, поэтому я добавил дополнительные правила для диапазонов клиентов Anyconnect (безрезультатно). Он также предполагает, что для трафика плоскости управления требуется идентификационный NAT (хотя наши диапазоны VPN-клиентов в любом случае маршрутизируются в пределах нашего GRT), но это также не дало результата. В другой сессии ChatGPT теперь предполагается, что в версии 9.16 произошли изменения в поведении, которые рассматривают management0/0 как полностью OOB, и трафик плоскости данных просто не может достичь mangement0/0, однако он не может привести никаких примечаний к выпуску или полевых уведомлений, которые бы это подтверждали. Такое же поведение наблюдается и в версии 9.20. Кто-нибудь смог это заставить работать, или нам придется настраивать ACL управления для внутреннего интерфейса специально для удаленной работы? Спасибо

Всем привет, У нас есть пара FTD 2140 с версией 7.4.2.4, которые используются исключительно в качестве VPN-головных устройств. В настоящее время основная деятельность без проблем завершается на устройстве в его публичном домене. Однако проблема, с которой я столкнулся, заключается в том, что у нас есть отдельное подразделение, которое в настоящее время завершает работу на паре ASA, которые выходят из эксплуатации (EoL/EoS), и мы хотим объединить их на наших FTD 2140. Проблема заключается в том, что у них есть свой отдельный публичный домен. К сожалению, мы не можем использовать несколько сертификатов для одного и того же интерфейса доступа VPN, а также не можем добавить второй внешний интерфейс в неглобальном VRF, поскольку FMC выдает ошибку, говоря, что он должен быть из интерфейса в глобальном VRF. Мы думаем, что, возможно, нам придется заставить организацию использовать наш публичный домен, но могут быть договорные требования по использованию отдельных доменов. Одним из моих попыток было добавление CNAME в DNS, который указывает на основную запись публичного DNS бизнеса, но Secure Client выдает ошибку/предупреждение сертификата, поскольку домены различаются. Какие варианты у меня есть на данный момент, чтобы объединить эти VPN удаленного доступа в одном устройстве, которые я мог упустить из виду? Спасибо,