vpn con 2 peer alternativi?

[rrroberto]

Buongiorno a tutti, ho il seguente problema:
ho n sedi in giro per l'italia, tutte connesse a internet tramite hdsl, e connesse tra di loro tramite vpn (vari pix 501 e 506, un 515 nella sede centrale)
ora sto cambiando in blocco tutte le hdsl, passando ad un altro gestore.
avrò attive in parallelo 2 linee per sede pertanto.
vorrei passare su quelle nuove nel modo più indolore possibile dal punto di vista della continuità del servizio.

è possibile per ogni crypto map associare più di un peer? che poi sarebbero gli indirizzi pubblici nuovo e vecchio che andrebbe ad avere l'altro capo della vpn?
in questo modo passando un pix da una linea ad un'altra, cambiando quindi l'ip, non dovrei avere grosse interruzioni, e non dovrei andare a mettere ogni volta mano ai pix.
corretto?

in sintesi il codice che mi fa la vpn è:

Codice: Seleziona tutto

crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac 
crypto map outside_map 10 ipsec-isakmp
crypto map outside_map 10 match address acl1
crypto map outside_map 10 set peer miopeer
crypto map outside_map 10 set transform-set ESP-DES-MD5
isakmp enable outside
isakmp key ******** address miopeer netmask 255.255.255.255 no-xauth no-config-mode 
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400

di isakmp key posso già impostarla per più indirizzi ip diversi, giusto?
basta aggiungere un altra riga con l'ip nuovo della stessa macchina no?

per mettere un'altro peer a disposizione per una stessa crypto map invece come posso fare? se sì può fare?

grazie
Roberto

[MaiO]

Hai accesso ai router davanti?
Sono Cisco?

Nel caso queste 2 domande siano positive, poi creare delle interfaccie tunnel verso le quali far puntare i pix per stabilire le S2S, e gestire in maniera dinamica delle connettività. Ho uno schizzo di configurazione (non verificata) che fà una cosa simile con delle ADSL + ISDN.

Altrimenti guarda questo:
http://www.cisco.com/en/US/products/hw/ ... d450.shtml
http://www.cisco.com/en/US/products/hw/ ... 880b.shtml


Ciao

[rrroberto]

sono cisco ma purtroppo ho accesso solo a quelli nuovi.
quelli vecchi sono di proprietà del provider e non posso toccarli.

[Wizard]

Direi che puoi dare un secondo peer per la vpn con "set peer" e chiaramente aggiugere la riga per la pre-shared

[rrroberto]

cioé pensi che una cosa del tipo:

Codice: Seleziona tutto

crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac 
crypto map outside_map 10 ipsec-isakmp 
crypto map outside_map 10 match address acl1 
crypto map outside_map 10 set peer PEER_INDIRIZZO_VECCHIO 
crypto map outside_map 10 set peer PEER_INDIRIZZO_NUOVO
crypto map outside_map 10 set transform-set ESP-DES-MD5 
isakmp enable outside 
isakmp key ******** address ER_INDIRIZZO_VECCHIO netmask 255.255.255.255 no-xauth no-config-mode 
isakmp key ******** address PEER_INDIRIZZO_NUOVO netmask 255.255.255.255 no-xauth no-config-mode 
isakmp policy 10 authentication pre-share 
isakmp policy 10 encryption des 
isakmp policy 10 hash md5 
isakmp policy 10 group 2 
isakmp policy 10 lifetime 86400 

il fatto è che la seconda volta che faccio "crypto map outside_map 10 set peer ...."
mi riscrive il primo.
di contro se creo un'altra crypto map non mi permette di associarla alla stessa rete oltre la vpn.

[Wizard]

Devi fare:

clear crypto map outside_map 20 set peer
crypto map outside_map 20 set peer 2.2.2.2 1.1.1.1
clear crypto map outside_map client configuration address
clear crypto map outside_map client authentication
crypto map outside_map interface outside