Здравствуйте, Мы хотим подключить FTD (со статическим публичным IP-адресом) и несколько маршрутизаторов Cisco (с динамическим IP-адресом) с помощью IPSEC IKEv2 L2L VPN с разными PSK для каждого VPN. Мы не можем найти на FTD, как проверить идентификатор получателя, который маршрутизатор будет отправлять для сопоставления с правильным туннелем. Смотрите этот документ:
https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/118652-configure-asa-00.html В документе в части ASA идентификатор, отправленный маршрутизатором с динамическим IP, сопоставляется с именем группы туннелей, мне нужно сделать что-то похожее, но с FTD... вместо ASA. FTD v7.6.2 (управляется с помощью FMC). Буду благодарен за любую помощь. С уважением

]]>https://sla247.ru/forum/topic/2382/динамические-vpn-l2l-ftdRSS for NodeFri, 15 May 2026 10:35:48 GMTMon, 02 Mar 2026 12:41:56 GMT60@babalao
создайте объект FlexConfig с новой группой туннелей с нуля, как показано в примере выше, и разверните его на FTD. Если нет конкретного имени группы туннелей, соответствующего отправленному идентификатору ключа, то соединение будет соответствовать группе туннелей L2L по умолчанию.

]]>https://sla247.ru/forum/post/16756https://sla247.ru/forum/post/16756Mon, 02 Mar 2026 12:42:00 GMTПривет, Роб. Ты имеешь в виду, что я должен сначала настроить все через графический интерфейс с помощью мастера, а затем отредактировать настройки через flexconfig, или же я должен сначала настроить все с нуля через flexconfig? И если первый вариант, могу ли я отредактировать уже созданное имя группы туннелей? Спасибо за ответ.

]]>https://sla247.ru/forum/post/16755https://sla247.ru/forum/post/16755Mon, 02 Mar 2026 12:41:59 GMTЗдравствуйте, есть какие-нибудь идеи по этому поводу? Спасибо.

]]>https://sla247.ru/forum/post/16754https://sla247.ru/forum/post/16754Mon, 02 Mar 2026 12:41:58 GMT@babalao
Я не думаю, что в графическом интерфейсе есть элегантное решение, но вы можете использовать FlexConfig для развертывания группы туннелей, которая соответствует идентификатору ключа, отправленному с маршрутизатора-спицы. В приведенном ниже примере TEST — это идентификатор ключа, настроенный в качестве идентификатора на маршрутизаторе spoke, а FTD имеет группу туннелей с именем TEST. ![RobIngram_0-1762704233017.png] «TEST» — это идентификатор ключа, указанный в качестве локальной идентификации на маршрутизаторе spoke. # ROUTER
crypto ikev2 profile IKEV2-PROFILE
match identity remote address 1.1.1.1 255.255.255.255
identity local key-id
TEST С FTD вы можете подтвердить, что запрос на подключение соответствует правильной группе туннелей (профилю подключения), используя команду
show vpn-sessiondb l2l #FTD DVTI HUB
FTD77# show vpn-sessiondb l2l
Session Type: LAN-to-LAN
Connection : TEST
Index : 86 IP Addr : 2.2.2.1
Protocol : IKEv2 IPsec
Encryption : IKEv2: (1)AES-GCM-256 IPsec: (1)AES-GCM-256
Hashing : IKEv2: (1)none IPsec: (1)none
Bytes Tx : 180 Bytes Rx : 192
Login Time : 16:01:07 UTC Sun Nov 9 2025
Duration : 0h:00m:20s
Tunnel Zone : 0 HTH

]]>https://sla247.ru/forum/post/16753https://sla247.ru/forum/post/16753Mon, 02 Mar 2026 12:41:57 GMT