Синтаксис

mode [tunnel | transport] 

no mode

tunnel

параметр, устанавливающий туннельный режим

transport

параметр, устанавливающий транспортный режим

Режимы команды

Сrypto transform configuration

Значение по

умолчанию

туннельный режим.

Рекомендации по

использованию

Используйте команду mode для явного указания режима, используемого набором преобразований или для восстановления режима по умолчанию.

•      Если команда mode введена без параметров, то будет установлено значение по умолчанию.

•      Если созданные наборы преобразований будут использоваться одной и той же записью криптографической карты (см. команду set transform-set), то эти наборы преобразований должны иметь один и тот же режим.

Примечание

если устанавливается транспортный режим и при этом используется NAT, то в применяемых с обеих сторон соединения фильтрах, не должно быть ограничения по портам и протоколам.

Предупреждение для С-Терра Юнит

Использование транспортного режима вместе с NAT запрещено. Попытка создания такого соединения блокируется с соответствующей диагностикой в журнале аудита.

Это значение по умолчанию, заданное в файле /opt/VPNagent/etc/agent.ini в параметре NATTransport.
Данный параметр может принимать следующие значения:
0 - запрещает создание IPsec SA в транспортном режиме при наличии NAT;
1 - разрешает создание IPsec SA в транспортном режиме при наличии NAT.

Для того что бы разрешить создание IPsec SA в транспортном режиме при наличии NAT, администратору необходимо:
1. Изменить значение параметра "NATTransport" с 0 на 1 в файле /opt/VPNagent/etc/agent.ini.
2. Пересчитать контрольную сумму файла, выполнив команду:

 integr_mgr calc -f /opt/VPNagent/etc/agent.ini

3. Перезапустить сервис vpngate:

 service vpngate restart

Пример

Router(config)#crypto ipsec transform-set inner-tunnel esp-gost28147 esp-gost3411-hmac

 Router(cfg-crypto-trans)#mode tunnel

 Router(cfg-crypto-trans)# exit