Hallo,
ich versuch mal mein Problem zu beschreiben, auch wenn es vielleicht niemand weiß, es mal in Worte zu packen hilft ja immer
Wir haben schon eine CP Umgebung. Es wird ja hinter jedem Gateway die Encryption Domain (ED) definiert. Die Encryption Domain enthält irgendwelche Netze und Adressen die sich in meinem Netz befinden. Achja, die ED ist global definiert und nicht pro Tunnel möglich (soweit ich weiß).
Aus ED der dann während der IPSec Phase 2 Aushandlung die Phase Proxy-IDs gebildet werden. (Proxy-ID = die Crypto ACL die bei IOS in der Crypto map hinterlegt wird).
Also angenommen mein LAN hat die 192.168.1.0/24.
An einem schönen Tag baue ich einen Tunnel A zu 172.16.1.0/24 auf.
192.168.1.0/24 auf meiner Seite und 172.16.1.0/24 auf der anderen Seite. meine ED wäre damit 192.168.1.0/24
wenn Tunnel
Nun kommt die Anforderung einen Tunnel B zu 10.1.1.0/24 aufzubauen, allerdings soll in der Crypto-ACL auf meiner Seite aber nur die 192.168.1.1 stehen, weil der Geschäftspartner noch zu anderen 192.168er Adressen Tunnel hat.
Ich habe meine ED um die 192.168.1.1 erweitert, was zwar mit dem /24 überlappt, aber was solls.
Meine ED ist aber nun 192.168.1.0/24 und 192.168.1.1 und meine CP trägt immer fleißig das /24 Netz ein wenn ich den Tunnel zu 10.1.1.0/24 aufbaue.
Meine Frage ist nun, wie ich steuern kann was in der IPSec Aushandlung als Proxy-ID (Absende-Adresse in Phase 2) verwendet wird?
Meine einzige Idee wäre ein NAT auf eine Adresse zu machen, die ich eindeutig in die ED eintragen kann.
Danke
Gruß
Kiksen
das ist schon lange her. Was sind die Anforderungen für die VPN Terminierung?
/#9370
