https://ssl.opennet.dev/openforum/vsluhforumID6/17759.html Здравствуйте, возникла проблема при настройки VPN(Ipsec+GRE) туннеля между двумя офисами с реальными ip адресами. Эти конфигурации работали раньше, когда провайдер делал нам отдельную подсеть между ними. Ну, то есть с одной стороны адрес 172.16.0.5, а с другой 172.16.0.2. Сейчас новый провайдер с двух сторон разные адреса итд. Привожу конфигурации. За любой совет спасибо.<br>вот схема:<br>Офис1<br>внутренний адрес 192.168.1.251<br>внешний 78.107.219.163<br>офис2<br>внутр. адрес 192.168.0.1<br>внешний 78.107.133.178<br><br>офис1<br><br>version 12.4<br>no service pad<br>service tcp-keepalives-in<br>service tcp-keepalives-out<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>service password-encryption<br>no service dhcp<br>!<br>hostname sevast-corb<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>logging buffered 51200<br>!<br>no aaa new-model<br>clock timezone PCTime 3<br>!<br>crypto pki trustpoint TP-self-signed-889844593<br> enrollment selfsigned<br> subject-name cn=IOS-Self-Signed-Certificate-889844593<br> revocation-check none<br> rsa https://ssl.opennet.dev/openforum/vsluhforumID6/17759.html#10 Wed, 17 Dec 2008 04:49:53 GMT &gt;пинги пошли а вот RDP не работает... <br>&gt;побывал MTU FastEthernet4 выставить 1444 не помогает. <br>&gt;telnet по 3389 порту работает.. что может быть? <br><br>Аналогичная ситуация и схожие конфиги.<br>Внутренний интерфейс кошки и сетка за ней пингуется<br>только с одной стороны. А с другой нет, хоть убейся...<br> Как решили проблему с пропинговкой ???<br>Кстати RADMIN рулит, но опять же только с одной стороны...<br><br> https://ssl.opennet.dev/openforum/vsluhforumID6/17759.html#9 Tue, 09 Dec 2008 12:33:01 GMT пинги пошли а вот RDP не работает...<br>побывал MTU FastEthernet4 выставить 1444 не помогает.<br>telnet по 3389 порту работает.. что может быть?<br> https://ssl.opennet.dev/openforum/vsluhforumID6/17759.html#8 Mon, 08 Dec 2008 13:42:08 GMT &gt;&gt;Исправил) спасибо большое! <br>&gt;&gt;Теперь интерфейсы с цисок пингуются а в локальной сети адреса нет. <br>&gt;&gt;Наверно с маршрутами что то не то? <br>&gt;<br>&gt;давай покажи свою маршрутизацию явно не дописал куда какие сети рулить. <br><br>на 1 роутере<br>ip route 0.0.0.0 0.0.0.0 78.107.133.177<br>ip route 192.168.1.0 255.255.255.0 Tunnel0<br><br>на втором<br><br>ip route 0.0.0.0 0.0.0.0 78.107.219.161<br>ip route 192.168.0.0 255.255.255.0 Tunnel0<br><br>ещё что интересно, с роутера1 пингуется внутренний интерфейс циски на другом конце, а с роутера2 нет<br><br>sevast-corb#ping 192.168.0.1<br><br>Type escape sequence to abort.<br>Sending 5, 100-byte ICMP Echos to 192.168.0.1, timeout is 2 seconds:<br>.....<br>Success rate is 0 percent (0/5)<br><br> https://ssl.opennet.dev/openforum/vsluhforumID6/17759.html#7 Mon, 08 Dec 2008 13:31:08 GMT &gt;Исправил) спасибо большое! <br>&gt;Теперь интерфейсы с цисок пингуются а в локальной сети адреса нет. <br>&gt;Наверно с маршрутами что то не то? <br><br>давай покажи свою маршрутизацию явно не дописал куда какие сети рулить.<br> https://ssl.opennet.dev/openforum/vsluhforumID6/17759.html#6 Mon, 08 Dec 2008 12:01:42 GMT Исправил) спасибо большое!<br>Теперь интерфейсы с цисок пингуются а в локальной сети адреса нет.<br>Наверно с маршрутами что то не то?<br> https://ssl.opennet.dev/openforum/vsluhforumID6/17759.html#5 Mon, 08 Dec 2008 09:12:02 GMT Ты бы листами прикрыл свое счастье (access 23) а то тебя на изнанку ща вывернут с чесными ай-пи адресами<br> https://ssl.opennet.dev/openforum/vsluhforumID6/17759.html#4 Mon, 08 Dec 2008 08:58:59 GMT &gt;проблема не решена, помогите пожалуйста... <br><br>есть 2 способа приготовить сосиску правильно - сварить, неправильно гвозди на проводах проткнуть и включить в 220 :)<br><br>криптомапы на реальных интерфейсах ужо не актуально :) <br>Делаем так:<br><br>crypto isakmp policy 10<br> encr ххххххх<br> hash ххххххх<br> authentication pre-share<br>crypto isakmp key ВАШ_КЕЙ address ВАШ_РЕМОУТ_БЕЛЫЙ АЙПИ<br><br>!<br>!<br>crypto ipsec transform-set ИМЯ_ТРСЕТА ххххх-политики шифрования<br>!<br>crypto ipsec profile ИМЯ_ПРОФАЙЛА<br> set transform-set ИМЯ_ТРСЕТА<br><br><br>Далее по вашему конфигу чуток изменим на первой циске<br><br>interface Tunnel0<br>ip address 192.168.100.1 255.255.255.252<br>ip mtu 1400<br>ip virtual-reassembly<br>tunnel source FastEthernet4<br>tunnel destination 78.107.219.163<br>tunnel path-mtu-discovery<br>tunnel protection ipsec profile ИМЯ_ПРОФАЙЛА<br>crypto ipsec df-bit clear<br><br>на второй циске<br><br>interface Tunnel0<br>ip address 192.168.100.2 255.255.255.252<br>ip mtu 1400<br>ip virtual-reassembly<br>tunnel source FastEthernet4<br>tunnel destination 78.107.219.163<br> https://ssl.opennet.dev/openforum/vsluhforumID6/17759.html#3 Mon, 08 Dec 2008 07:13:52 GMT проблема не решена, помогите пожалуйста...<br><br><br> https://ssl.opennet.dev/openforum/vsluhforumID6/17759.html#2 Fri, 05 Dec 2008 14:45:51 GMT &gt;А почему бы не сделать вот так? <br>&gt;<br>&gt;<br>&gt;interface Tunnel0 <br>&gt; crypto map CM <br>&gt;<br>&gt;access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 <br><br>а с gre как быть? заменить просто этим?<br><br><br>