https://89.19.215.112/openforum/vsluhforumID6/19704.html Приветствую! Есть cisco2811 c2800nm-advipservicesk9-mz.124-25b.bin<br><br>Настраиваю тунель, до товарища, находясь за NAT<br><br>crypto isakmp policy 10<br> encr 3des<br> authentication pre-share<br> group 2<br> lifetime 28800<br>crypto isakmp key masterkey"z" address 212.212.212.212<br>crypto isakmp keepalive 100 3<br>!<br>!<br>crypto ipsec transform-set z_vpn esp-3des esp-sha-hmac<br>!<br>crypto map dzetta_vpn 10 ipsec-isakmp<br> set peer 212.212.212.212<br> set security-association lifetime seconds 28800<br> set transform-set z_vpn<br> set pfs group2<br> match address vpn_z<br>!<br><br>interface FastEthernet0/0<br> crypto map dzetta_vpn<br><br>Нат, route делаю как мне нужно...<br><br>начинаю пинговать, происходит поднятие тунеля<br><br>....<br>Oct 1 00:45:51.828 MSD: ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 1 against priority 10 policy<br>Oct 1 00:45:51.828 MSD: ISAKMP: encryption 3DES-CBC<br>Oct 1 00:45:51.828 MSD: ISAKMP: hash SHA<br>Oct 1 00:45:51.828 MSD: ISAKMP: default group 2<br>Oct 1 00:45:51.828 MSD: ISAKMP: auth pre-share<br>Oct 1 00:45 https://89.19.215.112/openforum/vsluhforumID6/19704.html#5 Thu, 01 Oct 2009 17:51:51 GMT использовал crypto isakmp identity hostname и испытывал проблемы... <br><br>вся трабла была в немного кривом натировании портов до меня... блин. стоит Pfsense и жестко не указал 1 к 1 проброс с внешнего на мой ничего не заработало<br><br><br>всем спасибо!<br> https://89.19.215.112/openforum/vsluhforumID6/19704.html#4 Thu, 01 Oct 2009 14:25:29 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;1. Покажите конфиги с обоих сторон (внп, асл, нат) <br>&gt;2. Вы находитесь за натом? Тунель соответственно строится с внешним ип который <br>&gt;транслируется в вашу циску? Если да то с AH не будет <br>&gt;работать IPSEC. Соответствено трансформсет попробуйте сделать только с ESP. Ну и <br>&gt;NAT каких портов/протоколов осуществляется. Да и по дебагу циска должна сказать <br>&gt;что она определила что она за натом. <br>&gt;3. Ну и если есть возможность - смотрите дебаг сразу с двух <br>&gt;сторон. С одной стороны он может быть малоинформативным если отбивает другая <br>&gt;сторона. <br><br>Чуть поспешил. У вас же нет AH, с вашим трансформсетом должно работать.<br> https://89.19.215.112/openforum/vsluhforumID6/19704.html#3 Thu, 01 Oct 2009 14:10:42 GMT &gt;&gt;покажи acl vpn_z <br>&gt;<br>&gt;ip access-list extended vpn_z <br>&gt; permit ip 192.168.100.0 0.0.0.255 192.168.101.0 0.0.0.255 <br>&gt;<br>&gt;нат при пинге, показывает src=172.16.0.1 -&gt; 192.168.100.1, dst=192.168.101.222<br><br>1. Покажите конфиги с обоих сторон (внп, асл, нат)<br>2. Вы находитесь за натом? Тунель соответственно строится с внешним ип который транслируется в вашу циску? Если да то с AH не будет работать IPSEC. Соответствено трансформсет попробуйте сделать только с ESP. Ну и NAT каких портов/протоколов осуществляется. Да и по дебагу циска должна сказать что она определила что она за натом. <br>3. Ну и если есть возможность - смотрите дебаг сразу с двух сторон. С одной стороны он может быть малоинформативным если отбивает другая сторона.<br><br> https://89.19.215.112/openforum/vsluhforumID6/19704.html#2 Thu, 01 Oct 2009 07:17:57 GMT &gt;покажи acl vpn_z <br><br>ip access-list extended vpn_z<br> permit ip 192.168.100.0 0.0.0.255 192.168.101.0 0.0.0.255<br><br>нат при пинге, показывает src=172.16.0.1 -&gt; 192.168.100.1, dst=192.168.101.222<br> https://89.19.215.112/openforum/vsluhforumID6/19704.html#1 Thu, 01 Oct 2009 04:28:15 GMT покажи acl vpn_z<br>