https://www.opennet.me/openforum/vsluhforumID6/19322.html Не получается настроить VPN между 2871 и 871.<br>Оба роутера имеют реальный IP.<br>Друг друга пингуют, но VPN упорно не хотят поднимать.<br>Привожу вырезку из конфига:<br>-------<br>-2871-<br>-------<br>aaa new-model<br>!<br>!<br>aaa authentication login default local<br>aaa authentication login sdm_vpn_xauth_ml_1 local<br>aaa authentication login sdm_vpn_xauth_ml_2 local<br>aaa authorization exec default local <br>aaa authorization network sdm_vpn_group_ml_1 local <br>aaa authorization network sdm_vpn_group_ml_2 local <br>!<br>!<br>aaa session-id common<br>!<br>!<br>ip cef<br>!<br>!<br>ip auth-proxy max-nodata-conns 3<br>ip admission max-nodata-conns 3<br>ip domain name c2821.tgs.ru<br>!<br>multilink bundle-name authenticated<br>vpdn enable<br>!<br>vpdn-group 1<br>! Default PPTP VPDN group<br> accept-dialin<br> protocol pptp<br> virtual-template 1<br> l2tp tunnel receive-window 1024<br>!<br>!<br>!<br>crypto pki trustpoint tti<br> revocation-check crl<br> rsakeypair tti<br>!<br>!<br>!<br>!<br><br>username 111111 password 0 111111<br>archive<br> log config<br> hidekeys<br>! <br>!<br>crypto isakmp policy 1<br> encr https://www.opennet.me/openforum/vsluhforumID6/19322.html#5 Mon, 03 Aug 2009 08:20:52 GMT &gt;Да в 2871 настроен PPTP для Cisco VPN Client. <br>&gt;И я хочу поднять тунель для соединения 2871 и 871. <br>&gt;Сегодня сделаю как вы говорите, но есть один вопрос, мне оставить текущий <br>&gt;<br>&gt;Tunnel0 и PPTP, а новые тунели делать в режиме IPSec? <br><br>Спасибо jgt!:)<br>Проблема решена.<br> https://www.opennet.me/openforum/vsluhforumID6/19322.html#4 Mon, 27 Jul 2009 04:09:29 GMT Да в 2871 настроен PPTP для Cisco VPN Client.<br>И я хочу поднять тунель для соединения 2871 и 871.<br>Сегодня сделаю как вы говорите, но есть один вопрос, мне оставить текущий <br>Tunnel0 и PPTP, а новые тунели делать в режиме IPSec?<br> https://www.opennet.me/openforum/vsluhforumID6/19322.html#3 Fri, 24 Jul 2009 09:05:19 GMT Я дико извеняюсь но в конфиге 2821 некая каша... Я так понимаю что у вас PPTP сервер, и поверх PPTP вы хотите гонять IPSec, причем одна криптомапа на PPTP клиентов и на IPSec до 871... Если судить по конфигу 871 то там после того как вы убрали криптомапу с тоннель интерфейса ваш IPSec должен был подняться, но скорее всего он, не поднимается из-за каши в криптомапе на 2821... Предлагаю следующий вариант, оставить тоннели, но перевести эти тоннели из режима gre в режим IPSec, и использовать не криптомапы а IPSec профили защиты тоннеля. Примеры я уже приводил, но не поленюсь привести их снова<br><br>1. http://www.iplogic.nl/ipsec-over-gre-part-ii/<br>2. http://dreamcatcher.ru/cisco/004_vti.html<br><br>Удачи.<br> https://www.opennet.me/openforum/vsluhforumID6/19322.html#2 Thu, 23 Jul 2009 14:24:30 GMT Убрал<br>crypto map SDM_CMAP_1 <br><br>------<br>-2821-<br>------<br>sh cry isa sa<br>------------------------------------------------------------------------------------<br><br>IPv4 Crypto ISAKMP SA<br>dst src state conn-id slot status<br><br>IPv6 Crypto ISAKMP SA<br>------------------------------------------------------------------------------------<br><br>sh cry ipsec sa<br>------------------------------------------------------------------------------------<br>interface: GigabitEthernet0/1.1<br> Crypto map tag: SDM_CMAP_1, local addr 87.251.157.146<br><br> protected vrf: (none)<br> local ident (addr/mask/prot/port): (87.251.157.148/255.255.255.255/47/0)<br> remote ident (addr/mask/prot/port): (84.253.91.126/255.255.255.255/47/0)<br> current_peer 84.253.91.126 port 500<br> PERMIT, flags={origin_is_acl,}<br> #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0<br> #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0<br> #pkts compressed: 0, #pkts decompressed: 0<br> #pkts not compressed: 0, #pkts compr. fai https://www.opennet.me/openforum/vsluhforumID6/19322.html#1 Thu, 23 Jul 2009 10:10:27 GMT &gt;interface Tunnel2 <br>&gt; ip address 192.168.16.1 255.255.255.0 <br>&gt; ip mtu 1400 <br>&gt; tunnel source GigabitEthernet0/1.1 <br>&gt; tunnel destination 84.253.91.125 <br>&gt; crypto map SDM_CMAP_1 <br><br>Криптомапа на tunnel интерфейсе?<br>Делайте IPSec при помощи VTI, легко и красиво.<br>http://dreamcatcher.ru/cisco/004_vti.html<br>