https://www.opennet.ru/openforum/vsluhforumID6/15212.html Имеется 2 удаленных офиса подсоединенные к центральному. В одном офисе стоит Cisco857, за ней 192.168.8.0/24 сетка. В другом стоит Линуксоподобный роутер Микротик, за ним 192.168.2.0/24 сетка. В ЦО стоит 3845 циска, за ней 172.16.0.0/16 сетка. <br>Все это настроено так, чтобы 3845 маршрутизировал между удаленными сетками и они видели друг друга. Микротик запихивает весь траффик в туннель до ЦО и все. Конфиги цисок такие:<br><br>857:<br>crypto isakmp policy 1<br> encr 3des<br> hash md5<br> authentication pre-share<br> group 2<br>crypto isakmp key 0192837465 address X.X.X.X<br>crypto isakmp invalid-spi-recovery<br>!<br>!<br>crypto ipsec transform-set CO esp-3des esp-sha-hmac<br>!<br>crypto map OFFICE 10 ipsec-isakmp<br> set peer X.X.X.X<br> set transform-set CO<br> set pfs group2<br> match address 100<br><br>ip route 172.16.0.0 255.255.0.0 X.X.X.X<br>ip route 192.168.2.0 255.255.255.0 X.X.X.X<br><br>access-list 100 permit ip 192.168.8.0 0.0.0.255 172.16.0.0 0.0.255.255<br>access-list 100 permit tcp 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255<br>access-list 100 p https://www.opennet.ru/openforum/vsluhforumID6/15212.html#8 Fri, 11 Jan 2008 11:11:06 GMT &gt;Приватные IP фигурируют с одной стороны (при связи с одним из филиалов), <br>&gt;именно поэтому приходится прокладывать туннель через центральный офис. На втором филиале <br>&gt;ИПшники публичные и пользователи НАТятся в Интернет. Там используется другой ACL, <br>&gt;сюда не выложеный, и в нем указывается что не нужно натить <br>&gt;от 192.168.8.0 до 192.168.2.0.<br><br>По неволе будешь телепатом .<br><br>Может у Вас еще GRE туннели дополнительно настроены?<br><br>crypto isakmp key 0192837465 address 10.0.23.42<br>crypto isakmp key 0192837465 address 10.1.17.106<br><br>Вот эти приватные адреса как попадают на 3845? <br> <br>&gt;Приведенный роутинг необходим для поднятия туннелей, сколько с IPSecом не работала, они <br>&gt;всегда были необходимы. <br><br>Интересно зачем, если офисы удаленные, связанные публичным Internet?<br><br>Для 857: X.X.X.X - это рубличный адрес 3845. <br>857 имеет отдельный линк с 3845 ?<br><br>Для 3845: Y.Y.Y.Y - это адрес 857 ? <br><br>Где pre-share key для Y.Y.Y.Y в конфиге 3845? <br><br>Микротик имеет IPSec туннель с 3845. Микротик умеет сбрасывать df https://www.opennet.ru/openforum/vsluhforumID6/15212.html#7 Fri, 11 Jan 2008 10:22:03 GMT Приватные IP фигурируют с одной стороны (при связи с одним из филиалов), именно поэтому приходится прокладывать туннель через центральный офис. На втором филиале ИПшники публичные и пользователи НАТятся в Интернет. Там используется другой ACL, сюда не выложеный, и в нем указывается что не нужно натить от 192.168.8.0 до 192.168.2.0.<br>Приведенный роутинг необходим для поднятия туннелей, сколько с IPSecом не работала, они всегда были необходимы.<br><br> https://www.opennet.ru/openforum/vsluhforumID6/15212.html#6 Fri, 11 Jan 2008 09:47:35 GMT &gt;Выключила ip cef на обоих цисках и добавила crypto ipsec df-bit clear <br>&gt;на интерфейсы. Перестали пропадать пинги (до этого если пускаешь трейс от <br>&gt;одного хоста до одругого он мог одуплиться только на 29 хопе, <br>&gt;хз где пролетав 28), но РДП так и не хочет! :( <br><br>Включите crypto ipsec df-bit clear временно глобально.<br>У Вас там приватные IP фигурируют (10.1.3.242). NAT включен?<br>Если включен, что он натит (ACL)?<br><br>Типичные ошибки с IPSec , по своему опыту , это ошибки с ACL типа 100 и 102 . <br>Минимизируйте эти ACL, сначала только для icmp трафика. Потом остального.<br><br>Еще обратите внимание на <br>ip route 172.16.0.0 255.255.0.0 X.X.X.X<br>ip route 192.168.2.0 255.255.255.0 X.X.X.X<br>Этот роутинг точно нужен , или достаточно default ?<br> <br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/15212.html#5 Fri, 11 Jan 2008 03:45:23 GMT Выключила ip cef на обоих цисках и добавила crypto ipsec df-bit clear на интерфейсы. Перестали пропадать пинги (до этого если пускаешь трейс от одного хоста до одругого он мог одуплиться только на 29 хопе, хз где пролетав 28), но РДП так и не хочет! :(<br>При этом с центрального офиса спокойно залезаю и туда и туда РДПхой по тем же каналам...<br>Что еще можно вырубить/врубить?<br>В других местах тоже говорят выруби ip cef и будет тебе счастье.. счастья нет.<br> https://www.opennet.ru/openforum/vsluhforumID6/15212.html#4 Thu, 10 Jan 2008 11:09:00 GMT &gt;На 857 добавить или на обе циски? <br>&gt;CrAzOiD, я обяз почитаю еще, но если вкратце - ip cef для <br>&gt;чего используется? <br><br>ip cef включает Cisco Express Forwarding для всего маршрутизатора<br>http://www.cisco.com/en/US/tech/tk827/tk831/technologies_white_paper09186a00800a62d9.shtml<br><br> https://www.opennet.ru/openforum/vsluhforumID6/15212.html#3 Thu, 10 Jan 2008 09:54:37 GMT На 857 добавить или на обе циски?<br>CrAzOiD, я обяз почитаю еще, но если вкратце - ip cef для чего используется?<br> https://www.opennet.ru/openforum/vsluhforumID6/15212.html#2 Thu, 10 Jan 2008 09:26:00 GMT &gt;&gt;В чем может быть прикол? <br>&gt;<br>&gt;В MTU. <br>&gt;Добавь <br>&gt;crypto ipsec df-bit clear <br><br>мне это не помогает<br>только либо глобальное отключение cef либо с интерфейса на котором висит криптомэп<br>причем даже пинги криво ходят - много дропов<br> https://www.opennet.ru/openforum/vsluhforumID6/15212.html#1 Thu, 10 Jan 2008 09:22:19 GMT &gt;В чем может быть прикол? <br><br>В MTU.<br>Добавь <br>crypto ipsec df-bit clear<br>