https://www.opennet.ru/openforum/vsluhforumID6/17938.html Настраиваю site-to-site между пиксом и роутером, все делаю по руководству циско http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a0080094498.shtml<br><br>Туннель не поднимается, устройства друг друга не видят.<br>Виню во всем пикс, т.к. не прописывается команда sysopt connection permit-ipsec, она вводится, но не видна в конфиге потом.<br><br>Подскажите, плиз, в чем проблема?<br> https://www.opennet.ru/openforum/vsluhforumID6/17938.html#10 Tue, 30 Dec 2008 15:37:04 GMT Ну вот теперь показывайте конфиги. Только не вырезайте ничего.<br> https://www.opennet.ru/openforum/vsluhforumID6/17938.html#9 Tue, 30 Dec 2008 12:16:09 GMT вернее даже пинга нет<br> https://www.opennet.ru/openforum/vsluhforumID6/17938.html#8 Tue, 30 Dec 2008 11:25:42 GMT &gt;<br>&gt;Ничего странного. Пикс в сети 192.168.1.0, а роутер 192.168.2.0 <br><br>Вот я идиот )))<br>Пинг пошел, но туннеля нет.<br><br>pixfirewall# ping 10.2.2.1<br> ICMP echo request from 192.168.1.1 to 10.2.2.1 ID=4388 seq=49961 len=72<br>Type escape sequence to abort.<br>Sending 5, 100-byte ICMP Echos to 10.2.2.1, timeout is 2 seconds:<br>?ICMP echo request from 192.168.1.1 to 10.2.2.1 ID=4388 seq=49961 len=72<br>?ICMP echo request from 192.168.1.1 to 10.2.2.1 ID=4388 seq=49961 len=72<br>?ICMP echo request from 192.168.1.1 to 10.2.2.1 ID=4388 seq=49961 len=72<br>?ICMP echo request from 192.168.1.1 to 10.2.2.1 ID=4388 seq=49961 len=72<br>?<br>Success rate is 0 percent (0/5)<br>pixfirewall# sh isa<br>pixfirewall# sh isakmp <br><br>There are no isakmp sas<br><br>Global IKE Statistics<br>Active Tunnels: 0<br>Previous Tunnels: 0<br>In Octets: 1312<br>In Packets: 6<br>In Drop Packets: 2<br>In Notifys: 0<br>In P2 Exchanges: 0<br>In P2 Exchange Invalids: 0<br>In P2 Exchange Rejects: 0<br>In P2 Sa Delete Requests: 0<br>Out Octets: 352<br>Out Packets: 4<br>Out D https://www.opennet.ru/openforum/vsluhforumID6/17938.html#7 Tue, 30 Dec 2008 11:16:47 GMT <br>&gt;вопрос снимается. Есть другой: <br>&gt;-сделал nat 0, но при попытке пинга пишет No route to host <br>&gt;192.168.2.1. Странно, в одной подсети и роутер и пикс находятся..... <br>&gt;<br><br>Ничего странного. Пикс в сети 192.168.1.0, а роутер 192.168.2.0<br> https://www.opennet.ru/openforum/vsluhforumID6/17938.html#6 Tue, 30 Dec 2008 09:10:32 GMT &gt;вопрос: а при permit any any и без указания ненатирования сетей <br>&gt;не должно подниматься (да и нету у меня nat)? <br><br>вопрос снимается. Есть другой:<br>-сделал nat 0, но при попытке пинга пишет No route to host 192.168.2.1. Странно, в одной подсети и роутер и пикс находятся.....<br> <br> https://www.opennet.ru/openforum/vsluhforumID6/17938.html#5 Tue, 30 Dec 2008 08:21:09 GMT &gt;crypto map MAP 10 match address XXXXXX <br>&gt;<br>&gt;Причем acl XXXXX должен быть ассиметричен acl 100 на роутере. Плюс к <br>&gt;этому, поставьте не any any, а полностью сети. Плюс, сделайте на <br>&gt;пиксе, чтобы эти сети не натились. <br>&gt;<br>&gt;И внимательнее читайте то, что написано. Там жирными букаффками выделено то, что <br>&gt;НЕОБХОДИМО для поднятия туннельчега. <br><br>crypto map MAP 10 match address XXXXXX - это есть, просто сюда не скопировал<br><br>вопрос: а при permit any any и без указания ненатирования сетей не должно подниматься (да и нету у меня nat)?<br><br> https://www.opennet.ru/openforum/vsluhforumID6/17938.html#4 Tue, 30 Dec 2008 07:28:56 GMT crypto map MAP 10 match address XXXXXX<br><br>Причем acl XXXXX должен быть ассиметричен acl 100 на роутере. Плюс к этому, поставьте не any any, а полностью сети. Плюс, сделайте на пиксе, чтобы эти сети не натились.<br><br>И внимательнее читайте то, что написано. Там жирными букаффками выделено то, что НЕОБХОДИМО для поднятия туннельчега.<br> https://www.opennet.ru/openforum/vsluhforumID6/17938.html#3 Mon, 29 Dec 2008 14:41:23 GMT Вот конфиги девайсов:<br><br>Пикс:<br>PIX Version 7.2(2) <br>!<br>hostname pixfirewall<br>enable password 8Ry2YjIyt7RRXU24 encrypted<br>names<br>!<br>interface Ethernet0<br> nameif inside<br> security-level 100<br> ip address 10.1.1.1 255.255.255.0 <br>!<br>interface Ethernet1<br> nameif outside<br> security-level 0<br> ip address 192.168.1.1 255.255.255.0 <br>!<br>passwd 2KFQnbNIdI.2KYOU encrypted<br>ftp mode passive<br><br>access-list PING extended permit ip any any <br><br>pager lines 24<br>mtu inside 1500<br>mtu outside 1500<br>no failover<br>icmp unreachable rate-limit 1 burst-size 1<br>no asdm history enable<br>arp timeout 14400<br>timeout xlate 3:00:00<br>timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02<br>timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00<br>timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00<br>timeout uauth 0:05:00 absolute<br>no snmp-server location<br>no snmp-server contact<br>snmp-server enable traps snmp authentication linkup linkdown coldstart<br><br>crypto ipsec transform-set SET esp https://www.opennet.ru/openforum/vsluhforumID6/17938.html#2 Fri, 26 Dec 2008 08:47:55 GMT Если хотите, чтобы вам помогли, приведите хотя бы конфиги устройств. Информации, что просто не поднимается туннель - недостаточно.<br>