https://www.opennet.dev/openforum/vsluhforumID6/19625.html Добрый вечер, столкнулся с проблемой :)<br>был поднят gre+ipsec туннель между роутерами циско 850, сменился провайдер, и я просто поменял ip адреса,но туннель перестал подниматься. Внешние интерфейсы пингуются на цисках.<br>как понять в чем проблема?<br>офис1<br>[code]<br>router1#sh run<br>Building configuration...<br><br>Current configuration : 2436 bytes<br>!<br>version 12.4<br>no service pad<br>service tcp-keepalives-in<br>service tcp-keepalives-out<br>service timestamps debug datetime msec localtime show-timezone<br>service timestamps log datetime msec localtime show-timezone<br>service password-encryption<br>service sequence-numbers<br>no service dhcp<br>!<br>hostname router1<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>logging buffered 51200 debugging<br>logging console critical<br>enable secret 5 хххххххххххххххххххххххххххх<br>!<br>no aaa new-model<br>!<br>resource policy<br>!<br>clock timezone PCTime 3<br>no ip subnet-zero<br>no ip source-route<br>!<br>!<br>ip cef<br>ip tcp synwait-time 10<br>no ip bootp server<br>no ip domain lookup<br>ip ssh time-out 60<br>ip ssh authenticat https://www.opennet.dev/openforum/vsluhforumID6/19625.html#8 Thu, 17 Sep 2009 09:15:11 GMT <br>&gt;[/code]Подскажите пожалуйста а как дебаг включить и какой именно, чтобы посмотреть куда <br>&gt;пакеты уходят... <br><br>debug buffering 4096 - это для того чтобы дебаг в буфере сохранялся<br> https://www.opennet.dev/openforum/vsluhforumID6/19625.html#7 Wed, 16 Sep 2009 09:31:07 GMT &gt; no ip subnet-zero<br><br>Это тоже абсолютно лишнее!<br> https://www.opennet.dev/openforum/vsluhforumID6/19625.html#6 Wed, 16 Sep 2009 09:25:35 GMT &gt; no ip classless<br><br>А вот это вам зачем?!<br><br>sh crypto isakmp sa<br>sh crypto ipsec sa<br><br>debug ip icmp<br>debug crypto isakmp<br><br> https://www.opennet.dev/openforum/vsluhforumID6/19625.html#5 Wed, 16 Sep 2009 07:35:02 GMT &gt;[оверквотинг удален]<br>&gt;&gt; set peer 81.94.153.хх<br>&gt;<br>&gt;... <br>&gt;&gt;<br>&gt;&gt;interface Tunnel0<br>&gt;&gt;...<br>&gt;&gt; tunnel destination 81.94.152.хх<br>&gt;&gt; access-list 101 permit gre host 81.94.143.хх host 81.94.153.хх<br>&gt;<br>&gt;Адрес в tunnel destination - это реальный конфиг, или опечатка? <br><br> Спасибо большое, реальная опечатка)) Только работать не стало после этого:)<br>От пинга ответы идут не понятные<br>[code]<br>router1#ping 192.168.1.231<br><br>Type escape sequence to abort.<br>Sending 5, 100-byte ICMP Echos to 192.168.1.231, timeout is 2 seconds:<br>UUUUU<br>Success rate is 0 percent (0/5)<br><br>[/code]Подскажите пожалуйста а как дебаг включить и какой именно, чтобы посмотреть куда пакеты уходят...<br><br><br> https://www.opennet.dev/openforum/vsluhforumID6/19625.html#4 Wed, 16 Sep 2009 06:48:59 GMT А еще я бы рекомендовал GRE over IPSEC настраивать примерно таким образом:<br><br>crypto ipsec transform-set aes-sha-transport esp-aes esp-sha-hmac <br> mode transport<br><br>crypto ipsec profile GREIPSEC<br> set transform-set aes-sha-transport <br><br>interface Tunnel3<br> tunnel source xxx<br> tunnel destination xxx<br> tunnel protection ipsec profile GREIPSEC<br><br>Суть та же, а конфиг компактнее и нагляднее.<br>Crypto map формируется динамически, где ipsec peer и access-list подставляется исходя из tunnel source и destination.<br> https://www.opennet.dev/openforum/vsluhforumID6/19625.html#3 Wed, 16 Sep 2009 06:31:54 GMT &gt;[оверквотинг удален]<br>&gt;&gt; set peer 81.94.153.хх<br>&gt;<br>&gt;... <br>&gt;&gt;<br>&gt;&gt;interface Tunnel0<br>&gt;&gt;...<br>&gt;&gt; tunnel destination 81.94.152.хх<br>&gt;&gt; access-list 101 permit gre host 81.94.143.хх host 81.94.153.хх<br>&gt;<br>&gt;Адрес в tunnel destination - это реальный конфиг, или опечатка? <br><br>перепутали айпи походу.<br><br> https://www.opennet.dev/openforum/vsluhforumID6/19625.html#2 Wed, 16 Sep 2009 06:16:49 GMT Router1:<br>&gt;crypto isakmp key superpassword address 81.94.153.хх no-xauth<br>&gt;<br>&gt;crypto map CM 10 ipsec-isakmp<br>&gt; set peer 81.94.153.хх<br><br>...<br>&gt;<br>&gt;interface Tunnel0<br>&gt;...<br>&gt; tunnel destination 81.94.152.хх<br>&gt; access-list 101 permit gre host 81.94.143.хх host 81.94.153.хх<br><br>Адрес в tunnel destination - это реальный конфиг, или опечатка?<br> https://www.opennet.dev/openforum/vsluhforumID6/19625.html#1 Wed, 16 Sep 2009 04:00:58 GMT &gt;пс раньше провайдер был через выделеную линию а теперь черз адсл <br>&gt;модем. <br><br>а дебаг что говорит?<br>конфиг вроде нормальный<br><br>