konfiguracia Cisco VPN

Mam vytvorenu VPNku, ale ked sa prihlasim tak po urcitej dobe (asi necinnost) znova vypyta heslo. Zatial som stale pripojeny. Ak ho nezadam do cca 5 min, tak prerusi spojenie. Ako nastavit tuto prodlevu ason na 6-8 hod? pristup na router mam, len neviem aky je to prikaz a kde ho najdem.

Předmět	Autor	Datum
Nenapsals typ, takže obecně: Verify Idle/Session Timeout If the idle timeout is set to 30 minutes… touchwood 08.12.2010 19:44	touchwood	08.12.2010 19:44
mal by to byt SR-520 a to som googlil aj ja . . .ale asi zle, ked vlastne ani neviem co hladam tululumko 08.12.2010 19:50	tululumko	08.12.2010 19:50
tady máš manuál: http://www.cisco.com/en/US/docs/routers/access/500 /520/software/configuration/guid… touchwood 08.12.2010 22:01	touchwood	08.12.2010 22:01
no to je tazko, ucit sa na zariadeni cez ktore sa pripaja cela dcera k matke . . . mam tam jeden hua… tululumko 08.12.2010 22:12	tululumko	08.12.2010 22:12
Tak to si na to raději někoho pozvi :-) I když je to IMHO zásah na 5 minut a potřeba jsou opravdu j… touchwood 08.12.2010 22:44	touchwood	08.12.2010 22:44
kuknem na to . . . odkial si? poyzyvam ta na jedno orosene . . . alebo aj dve :-) tululumko 08.12.2010 22:54	tululumko	08.12.2010 22:54
:-) touchwood 09.12.2010 08:18	touchwood	09.12.2010 08:18
akurat ze z domu ma tam nechce pripojit . . . :-( tululumko 09.12.2010 21:28	tululumko	09.12.2010 21:28
Volal som do tej firmy co nam to konfigurovali a nejak sa mi to nezda . . . odpoved asi v tomto zmys… tululumko 09.12.2010 21:33	tululumko	09.12.2010 21:33
crypto ipsec security atd som nenasiel, ale je tam crypto isakmp policy 1 a k nemu prisluchajuci zap… moj_dotaz 02.02.2011 13:50	moj_dotaz	02.02.2011 13:50
vim sa pozriet na akt. konfig., ale ako ju dostanem k sebe na notebook? ako txt subor, pripojenie na… poslední moj_dotaz 02.02.2011 14:26	moj_dotaz	02.02.2011 14:26
Ua som pozeral aj nejake skolenie, ale ked som nasiel cenu okolo 4000-6000 euro, uz si to nepametam… tululumko 08.12.2010 22:13	tululumko	08.12.2010 22:13
Ja toto nechapem, firma si kupi nejaky cisco router asi kvoli vpn za strasne vela eur a uz nema par… fleg 08.12.2010 22:49	fleg	08.12.2010 22:49
nebolo to strasne vela eur, bolo to v podstate snad nieco najlacnejsie co po konzultacii s firmou sm… tululumko 08.12.2010 22:53	tululumko	08.12.2010 22:53
Nerad by som ta podcenoval, ale laik konfiguraciu Cisca len tak nezvladne a ani Cisca nie su bezudrz… fleg 08.12.2010 23:06	fleg	08.12.2010 23:06
ja viem, co to som uz nasiel na nete . . . takze: myslel som to tak, ze prihlasit sa viem, len nevie… tululumko 08.12.2010 23:30	tululumko	08.12.2010 23:30
No ved prave...;o). A este aj na bezudrzbove zariadenia treba dohliadat aspon sem tam mrknut do logo… fleg 09.12.2010 08:22	fleg	09.12.2010 08:22
spravovanie Cisca na dialku . . . ako? tululumko 25.01.2011 11:01	tululumko	25.01.2011 11:01
přes VPN to nejde? Normálně by ses měl nakonektit do VPN a pak běžným konfiguračním postupem, dle to… touchwood 25.01.2011 16:15	touchwood	25.01.2011 16:15
praveze sa neviem pripojit nielenze z domu(aj VPN), ale ani z firemnej siete . . . putty - telnet, s… tululumko 25.01.2011 17:07	tululumko	25.01.2011 17:07
ano, je to možné. Záleží na tom, kdo a jak to nakonfiguroval. touchwood 25.01.2011 18:36	touchwood	25.01.2011 18:36
no, ani srnka netusi . . . takze predpokladam: - konzolovym vstupon sa tam dostanem vzdy - telnet ne… tululumko 25.01.2011 19:03	tululumko	25.01.2011 19:03

Nenapsals typ, takže obecně:

Verify Idle/Session Timeout
If the idle timeout is set to 30 minutes (default), it means that it drops the tunnel after 30 minutes of no traffic passes through it. The VPN client gets disconnected after 30 minutes regardless of the setting of idle timeout and encounters the PEER_DELETE-IKE_DELETE_UNSPECIFIED error.
Configure idle timeout and session timeout as none in order to make the tunnel always be up and so that the tunnel is never dropped.
PIX/ASA 7.x and later
Enter the vpn-idle-timeout command in group-policy configuration mode or in username configuration mode in order to configure the user timeout period:
hostname(config)#group-policy DfltGrpPolicy attributes
hostname(config-group-policy)#vpn-idle-timeout none
Configure a maximum amount of time for VPN connections with the vpn-session-timeout command in group-policy configuration mode or in username configuration mode:
hostname(config)#group-policy DfltGrpPolicy attributes
hostname(config-group-policy)#vpn-session-timeout none
Cisco IOS Router
Use the crypto ipsec security-association idle-time command in global configuration mode or crypto map configuration mode in order to configure the IPsec SA idle timer. By default IPsec SA idle timers are disabled.
crypto ipsec security-association idle-time
seconds
Time is in seconds, which the idle timer allows an inactive peer to maintain an SA. Valid values for the seconds argument range from 60 to 86400.

mal by to byt SR-520

a to som googlil aj ja . . .ale asi zle, ked vlastne ani neviem co hladam

tady máš manuál: http://www.cisco.com/en/US/docs/routers/access/500 /520/software/configuration/guide/520scg.pdf

a tady referenční příručku: http://www.cisco.com/en/US/docs/ios/12_3/security/ command/reference/srgbk.pdf

popř. rovnou: http://www.cisco.com/en/US/docs/ios/12_3/security/ command/reference/sec_c2g.html#wp1101321

Předpokládám, že alespoň základy ovládání IOS znáš?

no to je tazko, ucit sa na zariadeni cez ktore sa pripaja cela dcera k matke . . . mam tam jeden huawey, ale to je nieco ine, aj ked podobne . . .

chcelo by to normalne sprostu postupnost po lopate . . . ale ked nebude, pokusim sa nieco vymysliet . . .

Tak to si na to raději někoho pozvi

I když je to IMHO zásah na 5 minut a potřeba jsou opravdu jen ty základy. Tenhle kousek jsem nikdy neviděl, ale předpokládám, že se to nastaví nějak takto:

1. přihlásit se
2. enable
- před kejkly bych si zazálohoval konfig: copy startup-config back-config (např. tftp)
3. config t
- osobně bych se kouknul pomocí sh run na aktuální konfiguraci
4. crypto ipsec security-association idle-time 28800
5. quit
- ověřit funkčnost, pokud to bude fungovat opravdu dobře, pak:
6. copy running-config startup-config

kuknem na to . . .
odkial si? poyzyvam ta na jedno orosene . . . alebo aj dve

akurat ze z domu ma tam nechce pripojit . . .

Volal som do tej firmy co nam to konfigurovali a nejak sa mi to nezda . . . odpoved asi v tomto zmysle: Po konzultacii blablabla to vyzera tak, ze ked sa vam to odpaja, tak to bude niekde inde nejaky problem, ktory bude treba lokalizovat. Neda sa to napravit bejakym prikazom. Ak teda suhlasite, mozem zadat poziadavku do systemu . . . ale bude to na dlhsie skumanie.

Tak neviem ci ma vlastne pochopili co chcem. Nech mi nikto nevravi, ze sa to neda nastavit, aj ked niecom cisco expert

crypto ipsec security atd som nenasiel, ale je tam crypto isakmp policy 1 a k nemu prisluchajuci zapis lifetime 3600 . . . . . nemohlo by to byt ono?

vim sa pozriet na akt. konfig., ale ako ju dostanem k sebe na notebook? ako txt subor, pripojenie na konzolu routra

Ua som pozeral aj nejake skolenie, ale ked som nasiel cenu okolo 4000-6000 euro, uz si to nepametam presne, tak ma presla chut na nejake skolenie

Ja toto nechapem, firma si kupi nejaky cisco router asi kvoli vpn za strasne vela eur a uz nema par sussnov, aby im to niekto spravoval? Nehovorim, ze zrovna ty, ale snad ked sa jedna o vacsiu firmu musia mat nejake IT oddelenie a manazovat cisca mozeme aj prekvapivo aj na dialku.

nebolo to strasne vela eur, bolo to v podstate snad nieco najlacnejsie co po konzultacii s firmou sme nasli podla zhruna nasich pozriadaviek co by sme od toho chceli . . . . ide o to, ze nam to dodali, nakonfigurovali, vsetko to v podsatte bezi bezudrzbovo . . . akurat po case sa vyskytol tento problemik a skorej nez im zavola, skusam ci by som to nezvladol sam . . . aj by som sa nieco naucil . . . takze skusam, ci by to bola schodna cesta . . . ak zistim ze nie, firma dokonfiguruje . . . . takze uvidim

Nerad by som ta podcenoval, ale laik konfiguraciu Cisca len tak nezvladne a ani Cisca nie su bezudrzbove stroje ako sa casto na internete traduje.

ja viem, co to som uz nasiel na nete . . . takze: myslel som to tak, ze prihlasit sa viem, len neviem kde aky prikaz napisat, takze ak niekto napise postupnost, takm by som to zvkladol . .. ak nie, nastupi firma
ad: bezudrzbove: myslel som to tak, ze to mame nakonfigurovane, a zatial to bezi bez problemov, ak do toho nezacne niekto rypat

No ved prave...;o).
A este aj na bezudrzbove zariadenia treba dohliadat aspon sem tam mrknut do logov a pod, ci sa nedeje nieco co nema.

spravovanie Cisca na dialku . . . ako?

přes VPN to nejde? Normálně by ses měl nakonektit do VPN a pak běžným konfiguračním postupem, dle toho, co zařízení podporuje (telnet, ssh, http(s),snmp,...)

praveze sa neviem pripojit nielenze z domu(aj VPN), ale ani z firemnej siete . . . putty - telnet, ssh . . . je mozne zeby bolo taketo pripojenie zakazane?

ano, je to možné. Záleží na tom, kdo a jak to nakonfiguroval.

no, ani srnka netusi . . .
takze predpokladam:
- konzolovym vstupon sa tam dostanem vzdy
- telnet nemusi byt nalonfigurovany
- je mozne sa pripojit inym sposobom po sieti? mam neoverenu info ze sa nieco dorabalo, a robili to z tej firmy po sieti na nasom routri

chcel by som si stiahnut a ulozit aspon aktualnu konfiguraciu - zalohu

Zpět do poradny Odpovědět na původní otázku Nahoru