In een cisco pix configuratie kan je verschillende policy's definieren voor de phase2 setup.
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 1
isakmp policy 10 lifetime 86400
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
isakmp policy 40 authentication pre-share
isakmp policy 40 encryption 3des
isakmp policy 40 hash md5
isakmp policy 40 group 2
isakmp policy 40 lifetime 86400
Ook kan je natuurlijk verschillende Phase 1 configs in de pix plaatsen:
crypto map vpn-map 10 ipsec-isakmp
crypto map vpn-map 10 match address vpn-uk
crypto map vpn-map 10 set pfs
crypto map vpn-map 10 set peer *********
crypto map vpn-map 10 set transform-set vpn-mac-***
crypto map vpn-map 20 ipsec-isakmp
crypto map vpn-map 20 match address vpn-de
crypto map vpn-map 20 set pfs
crypto map vpn-map 20 set peer *********
crypto map vpn-map 20 set transform-set vpn-mac-***
etc
Mijn vraag is eigenlijk, hoe forceer ik nu precies dat "crypto map vpn-map 10" gebruik maakt van phase 2 "policy 40"? Ik heb een beetje het gevoel dat hij van boven naar beneden de phase 2 settings probeert net zolang tot het goed gaat. Mijn vermoeden was eerder altijd dat als je een phase 1 configureert als volgt: "crypto map vpn-map 10", dat hij dan automatisch "isakmp policy 10" pakt omdat de waarde "10" overeenkomt. Echter begrijp ik dit niet helemaal omdat als er bijvoorbeeld geen phase2 policy bestaat met waarde "10" maar wel met andere waarde je dan toch gewoon een tunnel kan opzetten.
Kan iemand mij precies uitleggen hoe dit werkt?
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 1
isakmp policy 10 lifetime 86400
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
isakmp policy 40 authentication pre-share
isakmp policy 40 encryption 3des
isakmp policy 40 hash md5
isakmp policy 40 group 2
isakmp policy 40 lifetime 86400
Ook kan je natuurlijk verschillende Phase 1 configs in de pix plaatsen:
crypto map vpn-map 10 ipsec-isakmp
crypto map vpn-map 10 match address vpn-uk
crypto map vpn-map 10 set pfs
crypto map vpn-map 10 set peer *********
crypto map vpn-map 10 set transform-set vpn-mac-***
crypto map vpn-map 20 ipsec-isakmp
crypto map vpn-map 20 match address vpn-de
crypto map vpn-map 20 set pfs
crypto map vpn-map 20 set peer *********
crypto map vpn-map 20 set transform-set vpn-mac-***
etc
Mijn vraag is eigenlijk, hoe forceer ik nu precies dat "crypto map vpn-map 10" gebruik maakt van phase 2 "policy 40"? Ik heb een beetje het gevoel dat hij van boven naar beneden de phase 2 settings probeert net zolang tot het goed gaat. Mijn vermoeden was eerder altijd dat als je een phase 1 configureert als volgt: "crypto map vpn-map 10", dat hij dan automatisch "isakmp policy 10" pakt omdat de waarde "10" overeenkomt. Echter begrijp ik dit niet helemaal omdat als er bijvoorbeeld geen phase2 policy bestaat met waarde "10" maar wel met andere waarde je dan toch gewoon een tunnel kan opzetten.
Kan iemand mij precies uitleggen hoe dit werkt?
:strip_icc():strip_exif()/u/33428/image.jpg?f=community)
De PIX kijkt gewoon óf er passende settings aanwezig zijn om een tunnel op te zetten. Het is dus volgens mij niet mogelijk om dit te forceren.
:strip_icc():strip_exif()/u/25852/bowmore_18k.jpg?f=community)
/u/3626/front-kabels.png?f=community)
