https://www.opennet.me/openforum/vsluhforumID6/17575.html Уважаемые форумчане. Имеется 3 роутера c1841 в центральном офисе c871 в одном филиале, c831 в другом филиале. В c1841 два провайдера, один для интернета, второй для VPN. Были до этого настроены 2 IPSEC туннеля типа точка-точка соответственно с1841-&gt;c871 c1841-&gt;c831 со статическим роутингом. Решил перейти на GRE-туннели с динамической маршрутизацией на RIP. Создал пока без шифрования. Туннели поднялись, но в подсети 192.168.1.0 пингуются теперь только 2 хоста, на обычном IPSEC пинговались все. Пробовал использовать статическую маршрутизацию, тоже самое. Проблема соответственно между c1841 и c831. У кого какие мысли и какую часть (части, весь) конфиг приводить? <br> https://www.opennet.me/openforum/vsluhforumID6/17575.html#9 Fri, 21 Nov 2008 09:26:10 GMT &gt;&gt;&gt;А на 192.168.1.17 шлюз по умолчанию правильно прописан? <br>&gt;&gt;<br>&gt;&gt;Я взял для теста 192.168.1.32, он тоже пингуется с c831 и не <br>&gt;&gt;пингуется с c1841. Там шлюз прописан правильно. Но когда я на <br>&gt;&gt;на него залез по RDP и попинговал 192.168.0.10, все отлично, но <br>&gt;&gt;когда я залезаю на 192.168.0.10 по RDP и пытаюсь пропинговать 192.168.1.32, <br>&gt;&gt;то он не пингуеться. Куда дальше копать? <br>&gt;<br>&gt;Копать в сторону отключения брэндмауэра в винде... <br><br>Ладно, с этим разобрался, оказался виноват касперский, всю жизнь портил :-)<br>Вопрос номер 2, пытаюсь вешать криптоммэпы на интерфейсы, все сразу отрубается, снимаю, все нормально, где ошибка?<br><br>c831:<br>crypto isakmp policy 10<br> encr 3des<br> authentication pre-share<br> group 2<br> lifetime 3600<br>crypto isakmp key KEY address 0.0.0.0 0.0.0.0<br>!<br>!<br>crypto ipsec transform-set 3des_trans esp-3des esp-sha-hmac<br> mode transport<br>!<br>crypto map mapvpn 10 ipsec-isakmp<br> set peer IP-ISP-2<br> set transform-set 3des_trans<br> match address 110<br><br>access-list 110 permit gre host IP-FILIAL-1 https://www.opennet.me/openforum/vsluhforumID6/17575.html#8 Fri, 21 Nov 2008 08:32:27 GMT &gt;&gt;&gt;А на 192.168.1.17 шлюз по умолчанию правильно прописан? <br>&gt;&gt;<br>&gt;&gt;Я взял для теста 192.168.1.32, он тоже пингуется с c831 и не <br>&gt;&gt;пингуется с c1841. Там шлюз прописан правильно. Но когда я на <br>&gt;&gt;на него залез по RDP и попинговал 192.168.0.10, все отлично, но <br>&gt;&gt;когда я залезаю на 192.168.0.10 по RDP и пытаюсь пропинговать 192.168.1.32, <br>&gt;&gt;то он не пингуеться. Куда дальше копать? <br>&gt;<br>&gt;Копать в сторону отключения брэндмауэра в винде... <br><br>Отключено, даже драйвера залез поменял, результат такой же.<br> https://www.opennet.me/openforum/vsluhforumID6/17575.html#7 Fri, 21 Nov 2008 07:30:01 GMT &gt;&gt;А на 192.168.1.17 шлюз по умолчанию правильно прописан? <br>&gt;<br>&gt;Я взял для теста 192.168.1.32, он тоже пингуется с c831 и не <br>&gt;пингуется с c1841. Там шлюз прописан правильно. Но когда я на <br>&gt;на него залез по RDP и попинговал 192.168.0.10, все отлично, но <br>&gt;когда я залезаю на 192.168.0.10 по RDP и пытаюсь пропинговать 192.168.1.32, <br>&gt;то он не пингуеться. Куда дальше копать? <br><br>Копать в сторону отключения брэндмауэра в винде...<br> https://www.opennet.me/openforum/vsluhforumID6/17575.html#6 Thu, 20 Nov 2008 16:26:31 GMT &gt;А на 192.168.1.17 шлюз по умолчанию правильно прописан? <br><br>Я взял для теста 192.168.1.32, он тоже пингуется с c831 и не пингуется с c1841. Там шлюз прописан правильно. Но когда я на на него залез по RDP и попинговал 192.168.0.10, все отлично, но когда я залезаю на 192.168.0.10 по RDP и пытаюсь пропинговать 192.168.1.32, то он не пингуеться. Куда дальше копать?<br> https://www.opennet.me/openforum/vsluhforumID6/17575.html#5 Thu, 20 Nov 2008 15:21:11 GMT А на 192.168.1.17 шлюз по умолчанию правильно прописан?<br> https://www.opennet.me/openforum/vsluhforumID6/17575.html#4 Thu, 20 Nov 2008 14:52:21 GMT &gt;Уберите crypto map mapsigon из второго конфига... А туннели поднимаются? <br><br>Извиняюсь за задержку, там где удаленная циска, что-то делали и связь пропала :-).<br>Убрал, ничего не поменялось. Тунели поднимаються но как-то странно работают, как я писал в начале, пингуються только 2 хоста из подсети 192.168.1.0 когда делаешь пинг из центрального офиса, хотя в предыдущей конфигурации пинговались все. Вот вывод:<br>c831:<br>sh arp<br>Protocol Address Age (min) Hardware Addr Type Interface<br>Internet 192.168.1.41 45 000e.a6b2.1595 ARPA Ethernet0<br>Internet 192.168.1.44 39 00e0.7da5.6cba ARPA Ethernet0<br>Internet 192.168.1.33 1 0016.17ce.54c9 ARPA Ethernet0<br>Internet 192.168.1.32 0 000c.6ed7.0d7f ARPA Ethernet0<br>Internet 192.168.1.34 65 0019.db86.4dd5 ARPA Ethernet0<br>Internet 192.168.1.37 29 0019.dbab.d5be ARPA Ethernet0<br>Internet 192.168.1.36 19 0019.dbaa.f344 ARPA Ethernet0<br>Internet 192.168.1.9 https://www.opennet.me/openforum/vsluhforumID6/17575.html#3 Thu, 13 Nov 2008 18:49:01 GMT Уберите crypto map mapsigon из второго конфига... А туннели поднимаются?<br> https://www.opennet.me/openforum/vsluhforumID6/17575.html#2 Thu, 13 Nov 2008 16:02:56 GMT &gt;Давайте все конфиги, а там разберемся... <br><br>Центральная циска c1841, криптокарты пока не задействованы<br><br>Current configuration : 6292 bytes<br>!<br>version 12.4<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>no service password-encryption<br>!<br>hostname HOSTNAME<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>no logging buffered<br>enable secret 5 PASSWORD<br>!<br>no aaa new-model<br>!<br>resource policy<br>!<br>!<br>!<br>ip cef<br>!<br>!<br>ip flow-cache timeout active 1<br>ip name-server NS-1-ISP-1<br>ip name-server NS-2-ISP-2<br>ip sla 1<br> icmp-echo GW-ISP-2 source-interface FastEthernet1<br> timeout 2000<br> frequency 3<br>ip sla schedule 1 life forever start-time now<br>!<br>!<br>crypto pki trustpoint TP-self-signed-507021174<br> enrollment selfsigned<br> subject-name cn=IOS-Self-Signed-Certificate-507021174<br> revocation-check none<br> rsakeypair TP-self-signed-507021174<br>!<br>!<br>crypto pki certificate chain TP-self-signed-507021174<br> certificate self-signed 01<br> 30820243 308201AC A0030201 02020101 300D0609 2A864886 F70D0101 0405 https://www.opennet.me/openforum/vsluhforumID6/17575.html#1 Thu, 13 Nov 2008 15:15:43 GMT Давайте все конфиги, а там разберемся...<br>