https://www.opennet.ru/openforum/vsluhforumID6/17299.html Всем здравствуйте.<br><br>Есть два вышеозначенных роутера, соединённых напрямую патчкордом, на обоих поднят IPSEC и очень нужен GRE-тоннель, вывод комманды #show int tun0:<br><br>Cisco 1841<br><br>Tunnel0 is up, line protocol is up<br> Hardware is Tunnel<br> Description: ToMainOffice<br> Internet address is 10.50.2.2/24<br> MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,<br> reliability 255/255, txload 1/255, rxload 1/255<br> Encapsulation TUNNEL, loopback not set<br> Keepalive set (10 sec), retries 3<br> Tunnel source 10.100.2.2, destination 10.100.2.1<br> Tunnel protocol/transport GRE/IP<br> Key disabled, sequencing disabled<br> Checksumming of packets disabled<br> Tunnel TTL 255<br> Fast tunneling disabled<br> Tunnel transmit bandwidth 8000 (kbps)<br> Tunnel receive bandwidth 8000 (kbps)<br> Last input 00:00:04, output 00:00:03, output hang never<br> Last clearing of "show interface" counters never<br> Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 151<br> Queueing strategy: fifo<br> Output queue: 0/0 (size/max)<br> https://www.opennet.ru/openforum/vsluhforumID6/17299.html#7 Wed, 08 Oct 2008 19:17:49 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; ip mtu 1400 <br>&gt;&gt;&gt; tunnel source 10.100.2.2 <br>&gt;&gt;&gt; tunnel destination 10.100.2.1 <br>&gt;&gt;&gt; tunnel protection ipsec profile some_profile <br>&gt;&gt;&gt;end <br>&gt;&gt;<br>&gt;&gt;tunnel mode ipsec ipv4 на туннельных интерфейсах <br>&gt;<br>&gt;сорри на дебаг внимание не обратил. <br>&gt;crypto isakmp key SOMEVERYSECRETKEY address 10.100.2.1 no-xauth <br><br>Господа, у всех прошу прощения, всё из-за невнимательности, ключ, на втором роутере, прописал на его же интерфейс.<br>Всем огромное спасибо.<br> https://www.opennet.ru/openforum/vsluhforumID6/17299.html#6 Wed, 08 Oct 2008 15:06:00 GMT &gt;[оверквотинг удален]<br>&gt;&gt;! <br>&gt;&gt;interface Tunnel0 <br>&gt;&gt; ip address 10.50.2.2 255.255.255.252 <br>&gt;&gt; ip mtu 1400 <br>&gt;&gt; tunnel source 10.100.2.2 <br>&gt;&gt; tunnel destination 10.100.2.1 <br>&gt;&gt; tunnel protection ipsec profile some_profile <br>&gt;&gt;end <br>&gt;<br>&gt;tunnel mode ipsec ipv4 на туннельных интерфейсах <br><br>сорри на дебаг внимание не обратил.<br>crypto isakmp key SOMEVERYSECRETKEY address 10.100.2.1 no-xauth<br> https://www.opennet.ru/openforum/vsluhforumID6/17299.html#5 Wed, 08 Oct 2008 14:58:41 GMT &gt;[оверквотинг удален]<br>&gt;crypto ipsec profile some_profile <br>&gt; set transform-set some_set <br>&gt;! <br>&gt;interface Tunnel0 <br>&gt; ip address 10.50.2.2 255.255.255.252 <br>&gt; ip mtu 1400 <br>&gt; tunnel source 10.100.2.2 <br>&gt; tunnel destination 10.100.2.1 <br>&gt; tunnel protection ipsec profile some_profile <br>&gt;end <br><br>tunnel mode ipsec ipv4 на туннельных интерфейсах<br> https://www.opennet.ru/openforum/vsluhforumID6/17299.html#4 Wed, 08 Oct 2008 09:58:58 GMT Пример конфига для организации GRE over IPSEC.<br><br>Роутер A:<br><br>crypto isakmp policy 10<br> encr 3des<br> authentication pre-share<br> group 2<br>!<br>crypto isakmp key SOMEVERYSECRETKEY address 10.100.2.2<br>!<br>crypto ipsec transform-set some_set esp-3des esp-sha-hmac<br> mode transport<br>!<br>crypto ipsec profile some_profile<br> set transform-set some_set<br>!<br>interface Tunnel0<br> ip address 10.50.2.1 255.255.255.252<br> ip mtu 1400<br> tunnel source 10.100.2.1<br> tunnel destination 10.100.2.2<br> tunnel protection ipsec profile some_profile<br>end<br><br>Роутер B:<br><br>crypto isakmp policy 10<br> encr 3des<br> authentication pre-share<br> group 2<br>!<br>crypto isakmp key SOMEVERYSECRETKEY address 10.100.2.1<br>!<br>crypto ipsec transform-set some_set esp-3des esp-sha-hmac<br> mode transport<br>!<br>crypto ipsec profile some_profile<br> set transform-set some_set<br>!<br>interface Tunnel0<br> ip address 10.50.2.2 255.255.255.252<br> ip mtu 1400<br> tunnel source 10.100.2.2<br> tunnel destination 10.100.2.1<br> tunnel protection ipsec profile some_profile<br>end<br> https://www.opennet.ru/openforum/vsluhforumID6/17299.html#3 Wed, 08 Oct 2008 09:49:52 GMT &gt;*Oct 7 07:50:09.643: ISAKMP (0:134217729): ID payload <br>&gt;*Oct 7 07:50:09.643: ISAKMP:(0:1:SW:1):: peer matches *none* of the profiles <br>&gt;*Oct 7 07:50:09.643: ISAKMP:(0:1:SW:1): processing SIG payload. message ID = 0 <br>&gt;<br>&gt;*Oct 7 07:50:09.643: %CRYPTO-3-IKMP_QUERY_KEY: Querying key pair failed. <br>&gt;*Oct 7 07:50:09.643: ISAKMP (0:134217729): process_rsa_sig: Querying key pair failed. <br>&gt;Что они от меня хотят? <br>&gt;Спасибо. <br><br>Либо крипто-карты не совпадают, либо ключи, либо и то и то. <br> https://www.opennet.ru/openforum/vsluhforumID6/17299.html#2 Tue, 07 Oct 2008 07:52:40 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt; 0 output errors, 0 collisions, 0 interface <br>&gt;&gt;resets <br>&gt;&gt; 0 output buffer failures, 0 output buffers <br>&gt;&gt;swapped out <br>&gt;&gt;<br>&gt;&gt;Почему в случае с 3845 "line protocol is down"? <br>&gt;&gt;Что такое "Fast tunneling enabled/disabled", и как этой опцией управлять? <br>&gt;<br>&gt;Проверяйте маршрутизацию. <br><br>проверил, выяснилось, что не работает ipsec :)<br>перенастроил, всё равно не работает<br><br>ping router1 -&gt; router2<br><br>router1#debug crypto isakmp<br>*Oct 7 07:15:58.907: ISAKMP: received ke message (1/1)<br>*Oct 7 07:15:58.907: ISAKMP:(0:0:N/A:0): SA request profile is (NULL)<br>*Oct 7 07:15:58.907: ISAKMP: Created a peer struct for 10.100.2.1, peer port 500<br>*Oct 7 07:15:58.911: ISAKMP: New peer created peer = 0x637F639C peer_handle = 0x80000007<br>*Oct 7 07:15:58.911: ISAKMP: Locking peer struct 0x637F639C, IKE refcount 1 for isakmp_initiator<br>*Oct 7 07:15:58.911: ISAKMP: local port 500, remote port 500<br>*Oct 7 07:15:58.911: ISAKMP: set new node 0 to QM_IDLE<br>*Oct 7 07:15:58.911: insert sa https://www.opennet.ru/openforum/vsluhforumID6/17299.html#1 Fri, 03 Oct 2008 07:46:46 GMT &gt;[оверквотинг удален]<br>&gt;0 overrun, 0 ignored, 0 abort <br>&gt; 15172 packets output, 728256 bytes, 0 underruns <br>&gt;<br>&gt; 0 output errors, 0 collisions, 0 interface <br>&gt;resets <br>&gt; 0 output buffer failures, 0 output buffers <br>&gt;swapped out <br>&gt;<br>&gt;Почему в случае с 3845 "line protocol is down"? <br>&gt;Что такое "Fast tunneling enabled/disabled", и как этой опцией управлять? <br><br>Проверяйте маршрутизацию.<br><br>