» Cisco VPN Client static IP

Cisco VPN Client подключается к маршрутизатору Cisco 2811. Авторизация клиентов производится на Cisco ACS радиус-сервере. Для каждого клиента на ACS прописан параметр framed-ip-address, тем не менее клиенту назначается адрес из локального пула маршрутизатора.
Для клиентских подключений нужны статические адреса. Варианты с написанием отдельных isakmp групп и пулов для каждого клиентского подключения не хотелось бы использовать - не удобно и не красиво.
Кто-нибудь борол такую проблему? Подскажите как правильно или какие есть варианты?

Конфиг на роутере такой

aaa new-model
aaa authentication login userlist local group radius
aaa authorization exec default local
aaa authorization network grouplist local group radius
aaa session-id common
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group group1
key ciscokey
pool vpnpool
save-password
!
crypto ipsec transform-set 3dessha esp-3des esp-sha-hmac
!
crypto dynamic-map dyn 10
set transform-set 3dessha
!
crypto map dyn client authentication list userlist
crypto map dyn isakmp authorization list grouplist
crypto map dyn client configuration address respond
crypto map dyn 1 ipsec-isakmp dynamic dyn

!
interface FastEthernet0/0
crypto map dyn

Навскидку, единственное решение, которое мне попадалось, это создать для каждого юзера, которому требуется статический айпи, отдельную configuration group, с пулом состоящим из одного адреса.
Так что с некрасивостью придется смириться в ожидании, когда на цискодроме поправят ситуацию

На форуме cisco есть ссылка такая:

Цитата:

Re: Static IP address in Remote Access VPN
See the below config example:-
http://www.cisco.com/en/US/customer/products/ps6120/products_configuration_example09186a0080a7afb2.shtml

К сожалению посмотреть документ не удалось - не тот уровень доступа. Если у кого есть не гостевой доступ к сайту cisco, расскажите пожалуйста о чем там пишут. Как бы не про концентратор VPN3000.

Надежда найти разумное решение меня пока не оставляет.

Я использовал вариант с отдельными группами кофигурации и отдельными пулами (с один IP адресом), другой способ не нашел, т.к. radius не хочу. Адреса из локального пула у вас выдаются по причине:
crypto isakmp client configuration group group1
pool vpnpool

Ссылка на pdf вашего документа (но там для ASA/PIX): http://narod.ru/disk/17348391000/%5BIPSec%5D%20asa-vpn-static-asdm-config.pdf.html

Спасибо за документик! И правда бесполезен он.

Мне как раз с радиусом и нужно. Можно ли расценивать Ваш ответ, что с радиусом другой способ существует? На cisco в документации писали, что через радиус можно клиенту передавать индивидуальные настройки, отличные от групповых и тогда они будут применяться. К сожалению нет для этого варианта примера конфигурации под IOS. На форуме cisco есть старые сообщения от 03 года - утверждают, что работает такое только на VPN3000 или PIX.

В дебаге не видно, чтобы на этапе согласования второй фазы ISAKMP параметры использовались, хотя видно, что они приходят с радиуса при аутентификации.

TO: nsc

Поделись пож куском конфига как сделать отдельные группы конфргураций и отдельными пулами.

ssl_236@mail.ru

антологичный вопрос
но в связке Cisco Secure ACS5 + ASA + Cisco VPN
необходимо переедать клиенту VPN статический IP адрес, я никак немого найти параметр радиуса который это передает. В CSCS 3 был отдельный пункт в настройках Client IP Address Assignment.

я понимаю, что каждому юзеру надо создавать отдельное правило

Добавлено:

сам отвечу на свой вопрос параметр называется Framed-IP-Address