https://www.opennet.ru/openforum/vsluhforumID6/21953.html Добрый вечер Коллеги!<br>Столкнулся с следующей проблемой (самостоятельно решить не получается):<br>Центральный офис: 10.0.4.0/24 - Cisco 871<br>Удаленный Офис: 10.0.5.0/24 - Cisco 881<br>В центральном офисе был настроен Remote VPN Access для Cisco VPN Клиентов.<br>Добавляю впн лан-2-лан статический, соответственно, удаляю старую криптомапу создаю 2 новые, объединяю, вешаю на внешний интерфейс, указываю пиры, убираю НАТ с внутренних подсетей. (конфиги приведены ниже).<br>Результат - LAN-2-LAN - не работает,<br>sh crypto session detail (с терминирующей циски в центральном офисе) говорит следующее:<br>Interface: FastEthernet4<br>Session status: DOWN<br>Peer: 172.19.124.199 port 500 fvrf: (none) ivrf: (none)<br> Desc: (none)<br> Phase1_id: (none)<br> IPSEC FLOW: permit ip 10.0.4.0/255.255.255.0 10.0.5.0/255.255.255.0<br> Active SAs: 0, origin: crypto map<br> Inbound: #pkts dec'ed 0 drop 0 life (KB/Sec) 0/0<br> Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 0/0<br><br>sh crypto ipsec sa (с нее же)<br>#sh crypto ipsec s https://www.opennet.ru/openforum/vsluhforumID6/21953.html#10 Wed, 24 Nov 2010 21:01:51 GMT Проблема так и не побеждается... (((<br>Коллеги, посмотрите конфиг плз, мб вы найдете где факап.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/21953.html#9 Tue, 23 Nov 2010 08:12:05 GMT &gt; Не хватает рутинга между внутренними сетями...<br>&gt; У вас, кошки, похоже, не знают куда пакет слать...<br>&gt; Так, ладно, фик с ним....<br>&gt; Давайте попробуем другой вариант (с GRE):<br><br>Отвечаю на предыдущее сообщение - тер мон ключал в головном,<br>шоу логгинг говорит "Хозин, все ок, все запишем дорогой" - при этом даже позывов на коннект со стороны удаленной циски не наблюдается, но стоит начать подключение из вне циско впн клиентом - логи сыпятся как из рога изобилия...<br><br>По поводу приведенного Вами конфига:<br>у меня на одном интерфейсе третьего уровня должен быть и нат (для доступа в инет из внутренней сети) и впн Лан-2-Лан (статиченская мапа) и FromAny-2-Lan (динамическая мапа).<br>других интерфейсов так чтобы вот интерфейс для динамической мапы, вот интерефейс для статической нет.<br><br>вот такая вот ситуевина, Коллега.<br> https://www.opennet.ru/openforum/vsluhforumID6/21953.html#8 Mon, 22 Nov 2010 23:05:39 GMT <br>Не хватает рутинга между внутренними сетями...<br>У вас, кошки, похоже, не знают куда пакет слать...<br><br>Так, ладно, фик с ним....<br>Давайте попробуем другой вариант (с GRE):<br><br><br>"Main"<br><br>interface Tunnel10<br> description TO REMOTE<br> ip address 10.255.140.1 255.255.255.252<br> ip mtu 1400<br> tunnel source 172.18.124.159<br> tunnel destination 172.19.124.199<br><br>ip route 10.0.5.0 255.255.255.0 10.255.140.2 <br><br><br><br>"Remote"<br><br><br>interface Tunnel10<br> description TO MAIN<br> ip address 10.255.140.2 255.255.255.252<br> ip mtu 1400<br> tunnel source 172.19.124.199<br> tunnel destination 172.18.124.159<br> <br> ip route 10.0.4.0 255.255.255.0 10.255.140.1<br> <br><br>"Main"<br>ping 10.255.140.2<br>ping 10.0.5.1 source 10.0.4.1<br><br>"Remote"<br>ping 10.255.140.1<br>ping 10.0.4.1 source 10.0.5.1<br><br><br>Если все проходит, будем "прикручивать" шифрование.....<br> https://www.opennet.ru/openforum/vsluhforumID6/21953.html#7 Mon, 22 Nov 2010 22:41:07 GMT Идиотский вопрос....<br>ter mon в "головном" включали?<br>sh logging в ЦО что рассказывает?<br><br>Опубликуйте конфиг, при котором у вас связь между офисами работает....<br>Или, оно никогда не работало?<br><br> https://www.opennet.ru/openforum/vsluhforumID6/21953.html#6 Mon, 22 Nov 2010 22:28:42 GMT <br><br>&gt; Дайте, для начала, debug crypto isakmp c ЦО в момент подключения....<br><br>А вот нет дебага (( <br>Не стучится вообще циска из доп офиса в ХедОфис (((<br>дебаг включал на стороне хед офиса:<br>debug crypto isakmp<br>debug crypto ipsec<br>debug crypto engine<br><br>загадочно, блин...<br><br> https://www.opennet.ru/openforum/vsluhforumID6/21953.html#5 Mon, 22 Nov 2010 22:20:36 GMT Прошу пощения...<br>Как и говорил "много букв"..<br>"Выжимка" конфига:<br><br>Центральный офис: 10.0.4.0/24 - Cisco 871<br>Удаленный Офис: 10.0.5.0/24 - Cisco 881<br><br>Конфиг Циски с ЦО (принимающая подключение):<br><br><br>crypto isakmp policy 1<br>encr 3des<br>authentication pre-share<br>group 2<br><br>crypto isakmp policy 10<br>hash md5<br>authentication pre-share<br>crypto isakmp key *ключ* address 172.19.124.199 no-xauth<br>crypto isakmp client configuration address-pool local dynpool<br>crypto isakmp xauth timeout 60<br><br><br>crypto isakmp client configuration group vpn-clients<br>key *ключ*<br>pool dynpool<br>acl 150<br>netmask 255.255.255.0<br><br>crypto ipsec transform-set transform-2 esp-3des esp-md5-hmac<br><br>crypto dynamic-map dynmap 10<br>set transform-set transform-2<br>reverse-route<br><br>crypto map clientmap client authentication list userlist<br>crypto map clientmap isakmp authorization list vpn-clients<br>crypto map clientmap client configuration address respond<br>crypto map clientmap 1 ipsec-isakmp<br>set peer 172.19.124.199<br>set transform-set transform-2<br>ma https://www.opennet.ru/openforum/vsluhforumID6/21953.html#4 Mon, 22 Nov 2010 22:03:47 GMT &gt; Так... Народ недогадливый ;)<br>&gt; Уточняю вопрос ;)<br>&gt; &lt;&lt;Результат - LAN-2-LAN - не работает,&gt;&gt;<br>&gt; crypto map clientmap 1 ipsec-isakmp<br>&gt; set peer 172.19.124.199<br>&gt; &lt;&lt;Конфиг циски Доп Офиса (подключающаяся): &gt;&gt;<br>&gt; crypto map statmap 10 ipsec-isakmp<br>&gt; set peer 172.18.124.159<br><br>Так, или я уже вообще что-то очень не понимаю, либо...<br>у меня на роутере в ЦО 2 криптомапы:<br>одна динамическая - с большим приоритетом,<br>и одна статическая - с меньшим...<br><br>crypto map clientmap 1 ipsec-isakmp<br>set peer 172.19.124.199<br>set transform-set transform-2<br>match address 100<br>crypto map clientmap 10 ipsec-isakmp dynamic dynmap<br><br>так для динамических впн клиентов ипользуется dynmap<br>для статических:<br>crypto map clientmap 1 ipsec-isakmp<br>set peer 172.19.124.199<br>set transform-set transform-2<br>match address 100<br>Которая объединена в crypto map clientmap 10<br><br>вот результат вывода sh crypto isakmp policy:<br>(кстати совпадает с выводом на 2м роутере)<br><br>Global IKE policy<br>Protection suite of priority 1<br> encryption algorithm https://www.opennet.ru/openforum/vsluhforumID6/21953.html#3 Mon, 22 Nov 2010 21:50:07 GMT Так... Народ недогадливый ;)<br><br>Уточняю вопрос ;) <br><br>&lt;&lt;Результат - LAN-2-LAN - не работает,&gt;&gt;<br><br>crypto map clientmap 1 ipsec-isakmp<br>set peer 172.19.124.199<br><br>&lt;&lt;Конфиг циски Доп Офиса (подключающаяся): &gt;&gt;<br><br>crypto map statmap 10 ipsec-isakmp<br>set peer 172.18.124.159<br> https://www.opennet.ru/openforum/vsluhforumID6/21953.html#2 Mon, 22 Nov 2010 21:23:38 GMT &gt;[оверквотинг удален]<br>&gt; set peer 172.19.124.199<br>&gt; set transform-set transform-2<br>&gt; match address 100<br>&gt; crypto map clientmap 10 ipsec-isakmp dynamic dynmap<br>&gt; &lt;&lt;Конфиг циски Доп Офиса (подключающаяся): &gt;&gt;<br>&gt; crypto map statmap 10 ipsec-isakmp<br>&gt; set peer 172.18.124.159<br>&gt; set transform-set transform-2<br>&gt; match address 100<br>&gt; Comments?!!<br><br>ну так для статической мапы то создан отдельный 10й криптомап на терминирующем роутере:<br><br>crypto isakmp policy 10<br>hash md5<br>authentication pre-share<br><br>и вот ответная на spoke так сказать:<br>rypto map statmap 10 ipsec-isakmp<br>&gt; set peer 172.18.124.159<br>&gt; set transform-set transform-2<br>&gt; match address 100