https://www.opennet.me/openforum/vsluhforumID6/13880.html Здравствуйте многоуважаемые.<br>Поднимаю ipsec между двумя кошкам и вроде бы все поднимается и работает но только при условии прохождения первого пакета с нужной стороны. Поясняю подробнее на примерах.<br>Шифруем траф между сетями 10.0.0.0/24 и 10.0.254.0/24. Канал поднят между двумя loopback интерфейсами. На физических интерфейсах так же реальные ипы.<br>Поле настройки как и полагается сессии опущены<br>Interface: Loopback0<br>Session status: DOWN<br><br>Если я на пытаюсь пинговать с 10.0.0.10 -&gt; 10.0.254.1 то пинги не идут но сессии переходят в состояние<br>Interface: Loopback0<br>Session status: UP-IDLE<br>И это с обоих сторон.<br>Как только я пускаю пинг с 10.0.254.1 на 10.0.0.10 то сесии сразу становятся активными и начинают ходить пинги.<br>Interface: Loopback0<br>Session status: UP-ACTIVE<br>Peer: 80.250.218.2 port 500<br> IKE SA: local 82.148.15.64/500 remote 80.250.218.2/500 Active<br><br>То есть начинает все сразу работать если я пущу пакеты с всегде одной стороны. Хоть пинги оставляй что бы канал не падал. =(<br>Надеюсь я понятно об https://www.opennet.me/openforum/vsluhforumID6/13880.html#3 Sat, 13 Mar 2010 07:55:40 GMT &gt;[оверквотинг удален]<br>&gt;обе стороны как и положено. <br>&gt;<br>&gt;crypto map VPN local-address Loopback0 <br>&gt;crypto map VPN client configuration address respond <br>&gt;crypto map VPN 10 ipsec-isakmp <br>&gt;set peer a.a.a.a <br>&gt;set transform-set BRANCH_VPN <br>&gt;&gt;&gt;set pfs group2<br>&gt;match address VPN_MO9 <br>&gt;reverse-route remote-peer a.a.a.a static <br><br>У меня сейчас точно такая же проблема, но pfs group нету ни на одной стороне =/<br><br> https://www.opennet.me/openforum/vsluhforumID6/13880.html#2 Fri, 29 Jun 2007 08:09:10 GMT Нашел в чем проблема была. Даже самому обидно что столько времени убил.<br>Лишнюю строчку пометил. После ее удаления и переинициализации криптосессии все разаботало в обе стороны как и положено.<br><br>crypto map VPN local-address Loopback0<br>crypto map VPN client configuration address respond<br>crypto map VPN 10 ipsec-isakmp<br>set peer a.a.a.a<br>set transform-set BRANCH_VPN<br>&gt;&gt;set pfs group2<br>match address VPN_MO9<br>reverse-route remote-peer a.a.a.a static<br> https://www.opennet.me/openforum/vsluhforumID6/13880.html#1 Thu, 28 Jun 2007 18:49:05 GMT Вот логи установки соединения той стороны которая 10.0.254.0/24<br>Jun 28 18:10:57.491: ISAKMP:(0:28:HW:2):deleting SA reason "No reason" state (R) QM_IDLE (peer 80.250.218.2)<br>Jun 28 18:10:57.491: ISAKMP:(0:28:HW:2):deleting node 687874368 error FALSE reason "Informational (in) state 1"<br>Jun 28 18:10:57.491: ISAKMP:(0:28:HW:2):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL<br>Jun 28 18:10:57.491: ISAKMP:(0:28:HW:2):Old State = IKE_P1_COMPLETE New State = IKE_DEST_SA<br><br>Jun 28 18:10:57.495: ISAKMP:(0:28:HW:2):deleting SA reason "No reason" state (R) QM_IDLE (peer 80.250.218.2)<br>Jun 28 18:10:57.495: ISAKMP: Unlocking IKE struct 0x658C3FD0 for isadb_mark_sa_deleted(), count 0<br>Jun 28 18:10:57.495: ISAKMP: Deleting peer node by peer_reap for 80.250.218.2: 658C3FD0<br>Jun 28 18:10:57.495: ISAKMP:(0:28:HW:2):deleting node 876229975 error FALSE reason "IKE deleted"<br>Jun 28 18:10:57.495: ISAKMP:(0:28:HW:2):deleting node 687874368 error FALSE reason "IKE deleted"<br>Jun 28 18:10:57.495: ISAKMP:(0:28:HW:2):Input = IKE