Динамические VPN L2L FTD
-
Здравствуйте, Мы хотим подключить FTD (со статическим публичным IP-адресом) и несколько маршрутизаторов Cisco (с динамическим IP-адресом) с помощью IPSEC IKEv2 L2L VPN с разными PSK для каждого VPN. Мы не можем найти на FTD, как проверить идентификатор получателя, который маршрутизатор будет отправлять для сопоставления с правильным туннелем. Смотрите этот документ:
https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/118652-configure-asa-00.html В документе в части ASA идентификатор, отправленный маршрутизатором с динамическим IP, сопоставляется с именем группы туннелей, мне нужно сделать что-то похожее, но с FTD... вместо ASA. FTD v7.6.2 (управляется с помощью FMC). Буду благодарен за любую помощь. С уважением -
@babalao
Я не думаю, что в графическом интерфейсе есть элегантное решение, но вы можете использовать FlexConfig для развертывания группы туннелей, которая соответствует идентификатору ключа, отправленному с маршрутизатора-спицы. В приведенном ниже примере TEST — это идентификатор ключа, настроенный в качестве идентификатора на маршрутизаторе spoke, а FTD имеет группу туннелей с именем TEST. ![RobIngram_0-1762704233017.png] «TEST» — это идентификатор ключа, указанный в качестве локальной идентификации на маршрутизаторе spoke. # ROUTER
crypto ikev2 profile IKEV2-PROFILE
match identity remote address 1.1.1.1 255.255.255.255
identity local key-id
TEST С FTD вы можете подтвердить, что запрос на подключение соответствует правильной группе туннелей (профилю подключения), используя команду
show vpn-sessiondb l2l #FTD DVTI HUB
FTD77# show vpn-sessiondb l2l
Session Type: LAN-to-LAN
Connection : TEST
Index : 86 IP Addr : 2.2.2.1
Protocol : IKEv2 IPsec
Encryption : IKEv2: (1)AES-GCM-256 IPsec: (1)AES-GCM-256
Hashing : IKEv2: (1)none IPsec: (1)none
Bytes Tx : 180 Bytes Rx : 192
Login Time : 16:01:07 UTC Sun Nov 9 2025
Duration : 0h:00m:20s
Tunnel Zone : 0 HTH
-
Здравствуйте, есть какие-нибудь идеи по этому поводу? Спасибо.
-
Привет, Роб. Ты имеешь в виду, что я должен сначала настроить все через графический интерфейс с помощью мастера, а затем отредактировать настройки через flexconfig, или же я должен сначала настроить все с нуля через flexconfig? И если первый вариант, могу ли я отредактировать уже созданное имя группы туннелей? Спасибо за ответ.
-
@babalao
создайте объект FlexConfig с новой группой туннелей с нуля, как показано в примере выше, и разверните его на FTD. Если нет конкретного имени группы туннелей, соответствующего отправленному идентификатору ключа, то соединение будет соответствовать группе туннелей L2L по умолчанию.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти