https://www.opennet.ru/openforum/vsluhforumID6/21133.html Есть конфигурация- 1 маршрутизатор 2801 подключен к 2 маршрутизаторам 7204<br>конфиги 7204 однотипные, но при этом на 2801 тунель с 1 7204 поднимается со 2-м нет<br>Второй туннель должен подниматься при отключении интерфейса смотрящего на 1-й 7204. <br><br>В логах выдает ошибку<br>%CRYPTO-6-IKMP_MODE_FAILURE: Processing of Quick mode failed with peer at 172.28.0.5 <br><br>Вот конфиги 2801<br><br>crypto isakmp policy 1<br> encr 3des<br> authentication pre-share<br> group 2<br>crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0<br>crypto isakmp keepalive 10<br>!<br>crypto ipsec transform-set T1 esp-3des esp-sha-hmac <br>!<br>crypto map VPNmap 1 ipsec-isakmp <br> set peer 172.28.0.1<br> set transform-set T1 <br> match address 100<br>crypto map VPNmap 2 ipsec-isakmp <br> set peer 172.28.0.5<br> set transform-set T1 <br> match address 100<br>!<br>interface Serial0/2/0:1<br> description ## to Site 1 ##<br> ip address 172.28.0.2 255.255.255.252<br> ip virtual-reassembly<br> encapsulation ppp<br> crypto map VPNmap<br>!<br>interface Serial0/2/1:1<br> description ## to Site 2 ##<br> ip addr https://www.opennet.ru/openforum/vsluhforumID6/21133.html#9 Wed, 09 Jun 2010 05:50:11 GMT В общем разобрался- проблема была в том, что <br>cryptomap VPNmap 1<br>cryptomap VPNmap 2<br><br>это один и тот же криптомап, только с разными порядковыми номерами.<br><br>Решил проблему так:<br>Создал второй криптомап и повесил его на второй интерфейс, после этого все заработало.<br>итоговый конфиг стал таким<br>crypto isakmp policy 1<br> encr 3des<br> authentication pre-share<br> group 2<br>crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0<br>crypto isakmp keepalive 10<br>!<br>!<br>crypto ipsec transform-set T1 esp-3des esp-sha-hmac <br>!<br>crypto map VPNmap 1 ipsec-isakmp <br> set peer 172.28.0.1<br> set transform-set T1 <br> match address 100<br>!<br>crypto map VPNmap1 1 ipsec-isakmp <br> set peer 172.28.0.5<br> set transform-set T1 <br> match address 100<br><br>interface Serial0/2/0:1<br> description ## to Site 1 ##<br> ip address 172.28.0.2 255.255.255.252<br> ip virtual-reassembly<br> encapsulation ppp<br> crypto map VPNmap<br>!<br>interface Serial0/2/1:1<br> description ## to Site 2 ##<br> ip address 172.28.0.6 255.255.255.252<br> ip virtual-reassembly<br> encapsulation ppp<br> i https://www.opennet.ru/openforum/vsluhforumID6/21133.html#8 Tue, 08 Jun 2010 13:07:18 GMT &gt;Кстати выяснил такую вещь если на 2801 удалить 1 криптомап <br>&gt;<br>&gt;crypto map VPNmap 1 ipsec-isakmp <br>&gt;<br>&gt;то схема работает, второй туннель нормально поднимается. <br>&gt;<br>&gt;Т.е. получается, что второй туннель не поднимается из-за первого криптомапа <br><br>У меня сделано так<br>gre туннель и к нему ipsec <br>на cryptomap только одно соединение, но вроде как для одного cryptomap можно задать несколько peer, или я неправ, может у тебя конфликт в названиях (у меня как то было). Попробуй изменить название второго cryptomap на VPNmap2 (без пробела)<br> https://www.opennet.ru/openforum/vsluhforumID6/21133.html#7 Tue, 08 Jun 2010 11:53:01 GMT Кстати выяснил такую вещь если на 2801 удалить 1 криптомап<br><br>crypto map VPNmap 1 ipsec-isakmp <br><br>то схема работает, второй туннель нормально поднимается.<br><br>Т.е. получается, что второй туннель не поднимается из-за первого криптомапа<br> https://www.opennet.ru/openforum/vsluhforumID6/21133.html#6 Tue, 08 Jun 2010 11:18:46 GMT &gt;это правило для 172.28.1.0/24 а вам нужно еще 172.28.0.5 <br>&gt;279482: Jun 7 15:01:05 UZB: ISAKMP (0:134217747): received packet from 172.28.0.5 <br>&gt;dport 500 sport 500 Global (R) QM_IDLE <br><br>Не нужно, потому что тунеллироваться должен только трафик 172.28.1.0/24 <br><br>Кроме того первый туннель с 172.28.0.1 все нормально работает с текущим аксесс-листом.<br> https://www.opennet.ru/openforum/vsluhforumID6/21133.html#5 Tue, 08 Jun 2010 08:06:26 GMT &gt;&gt; так попробуй access-list 100 permit ip 172.28.1.0 0.0.255.255 any <br>&gt;<br>&gt;Зачем у меня уже есть: <br>&gt; access-list 100 permit ip 172.28.1.0 0.0.0.255 any <br><br>это правило для 172.28.1.0/24 а вам нужно еще 172.28.0.5<br>279482: Jun 7 15:01:05 UZB: ISAKMP (0:134217747): received packet from 172.28.0.5 dport 500 sport 500 Global (R) QM_IDLE<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/21133.html#4 Tue, 08 Jun 2010 07:09:41 GMT &gt; так попробуй access-list 100 permit ip 172.28.1.0 0.0.255.255 any <br><br>Зачем у меня уже есть:<br> access-list 100 permit ip 172.28.1.0 0.0.0.255 any <br> https://www.opennet.ru/openforum/vsluhforumID6/21133.html#3 Mon, 07 Jun 2010 18:11:40 GMT так попробуй access-list 100 permit ip 172.28.1.0 0.0.255.255 any<br><br> https://www.opennet.ru/openforum/vsluhforumID6/21133.html#2 Mon, 07 Jun 2010 16:15:35 GMT &gt;А интерфейсы пингают друг друга? Софты на 72-ых одинаковые? <br><br>Пинги между интерфейсами ходят. Софт одинаковый.<br> https://www.opennet.ru/openforum/vsluhforumID6/21133.html#1 Mon, 07 Jun 2010 14:46:18 GMT А интерфейсы пингают друг друга? Софты на 72-ых одинаковые?<br>