Есть две Cisco 2651XM между ними организован IPSEC туннель.
При попытке повесить на внешний интерфейс ip access-group FIREWALL in блокируется внутренняя адресация сетей.
*Nov 30 12:35:39: %SEC-6-IPACCESSLOGDP: list FIREWALL denied icmp 10.0.3.2 -> 10.0.0.200 (0/0), 3 packets

Решение: permit ip 10.0.3.2 0.0.0.255 any на внешнем интерфейсе естественно не устраивает.
Вопрос: как запретить access-list'у смотреть внутрь канала?

• Access-list блокирует IPSEC,Andrey, 13:23 , 30-Ноя-16
  • Access-list блокирует IPSEC,daemon80, 14:03 , 30-Ноя-16
    • Access-list блокирует IPSEC,Roman, 17:58 , 30-Ноя-16
    • Access-list блокирует IPSEC,Andrey, 21:17 , 30-Ноя-16
      • Access-list блокирует IPSEC,daemon80, 08:24 , 01-Дек-16
        • Access-list блокирует IPSEC,Andrey, 09:49 , 01-Дек-16
          • Access-list блокирует IPSEC,daemon80, 10:00 , 01-Дек-16
            • Access-list блокирует IPSEC,Andrey, 11:34 , 01-Дек-16
              • Access-list блокирует IPSEC,daemon80, 13:56 , 01-Дек-16

> Есть две Cisco 2651XM между ними организован IPSEC туннель.
> При попытке повесить на внешний интерфейс ip access-group FIREWALL in блокируется внутренняя
> адресация сетей.
> *Nov 30 12:35:39: %SEC-6-IPACCESSLOGDP: list FIREWALL denied icmp 10.0.3.2 -> 10.0.0.200
> (0/0), 3 packets
> Решение: permit ip 10.0.3.2 0.0.0.255 any на внешнем интерфейсе естественно не устраивает.
> Вопрос: как запретить access-list'у смотреть внутрь канала?

Используя телеппатию, можно казать что у вас в access-list FIREWALL нет разрешения для протоколов входящих в группу IPSec.
Либо показывайте конфигурации интерфейсов и ACL, либо самостоятельно.

> Используя телеппатию, можно казать что у вас в access-list FIREWALL нет разрешения
> для протоколов входящих в группу IPSec.
> Либо показывайте конфигурации интерфейсов и ACL, либо самостоятельно.

ip access-list extended FIREWALL
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
permit esp any any
permit ahp any any
permit tcp any any eq 22
permit ip host "Встречная-Cicso" any
permit ip 10.0.3.0 0.0.0.255 any - Строка которую хочется выкинуть, но без нее выше указанная беда.
deny ip any any log

interface FastEthernet0/0
ip address XX.XX.XX.XX 255.255.255.248
ip access-group FIREWALL in
no ip mroute-cache
duplex auto
speed auto
no cdp enable
crypto map aesmap

gre over ipsec?

>[оверквотинг удален]
> без нее выше указанная беда.
>  deny ip any any log
> interface FastEthernet0/0
>  ip address XX.XX.XX.XX 255.255.255.248
>  ip access-group FIREWALL in
>  no ip mroute-cache
>  duplex auto
>  speed auto
>  no cdp enable
>  crypto map aesmap

Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но из документа можно понять почему у вас так происходит.

>[оверквотинг удален]
>> interface FastEthernet0/0
>>  ip address XX.XX.XX.XX 255.255.255.248
>>  ip access-group FIREWALL in
>>  no ip mroute-cache
>>  duplex auto
>>  speed auto
>>  no cdp enable
>>  crypto map aesmap
> Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но
> из документа можно понять почему у вас так происходит.

Что происходит в общем-то понятно. access-list видит на интерфейсе адрес 10.0.3.X и блокирует.
Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить?

>[оверквотинг удален]
>>>  no ip mroute-cache
>>>  duplex auto
>>>  speed auto
>>>  no cdp enable
>>>  crypto map aesmap
>> Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но
>> из документа можно понять почему у вас так происходит.
> Что происходит в общем-то понятно. access-list видит на интерфейсе адрес 10.0.3.X и
> блокирует.
> Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить?

Табличку из cisco document id 6209 поняли полностью?

>[оверквотинг удален]
>>>>  duplex auto
>>>>  speed auto
>>>>  no cdp enable
>>>>  crypto map aesmap
>>> Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но
>>> из документа можно понять почему у вас так происходит.
>> Что происходит в общем-то понятно. access-list видит на интерфейсе адрес 10.0.3.X и
>> блокирует.
>> Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить?
> Табличку из cisco document id 6209 поняли полностью?

Я так понимаю при поступлении пакета идет ЧЕК- ДЕКРИПТ - еще раз ЧЕК который как раз и блокирует?

>[оверквотинг удален]
>>>>>  no cdp enable
>>>>>  crypto map aesmap
>>>> Логично. Найдите cisco document id 6209. Там упор сделан на NAT, но
>>>> из документа можно понять почему у вас так происходит.
>>> Что происходит в общем-то понятно. access-list видит на интерфейсе адрес 10.0.3.X и
>>> блокирует.
>>> Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить?
>> Табличку из cisco document id 6209 поняли полностью?
> Я так понимаю при поступлении пакета идет ЧЕК- ДЕКРИПТ - еще раз
> ЧЕК который как раз и блокирует?

Получается да. Если администрируете обе стороны, попробуйте перейти на конструкцию:
interface Tunnel <num>
...
tunnel protection ipsec profile <IPSec_Profile>

Гораздо проще и при появлении дополнительного IPSec подключения не нужно будет передергивать crypto-map на физическом интерфейсе.

>[оверквотинг удален]
>>>> Вопрос зачем он лезет внутрь IPSEC канала и как ему это запретить?
>>> Табличку из cisco document id 6209 поняли полностью?
>> Я так понимаю при поступлении пакета идет ЧЕК- ДЕКРИПТ - еще раз
>> ЧЕК который как раз и блокирует?
> Получается да. Если администрируете обе стороны, попробуйте перейти на конструкцию:
> interface Tunnel <num>
>  ...
>  tunnel protection ipsec profile <IPSec_Profile>
> Гораздо проще и при появлении дополнительного IPSec подключения не нужно будет передергивать
> crypto-map на физическом интерфейсе.

А вот это интересная мысль! Спасибо. Буду пробовать.