https://www.opennet.ru/openforum/vsluhforumID6/201.html Доброго дня.<br><br>Просьба помочь советом, мой мозг уже не в состоянии что то понять ))<br><br>При попытке пропинговать хост Компании Б туннель не поднимается, в дебагах тишина. <br>Когда со стороны Компании Б пингуют хост из нашей локальной сети - все сразу начинает работать. Нужные сети (компании Б) в таблице маршрутизации появляются. <br><br>Доступ к хостам нужных подсетей регулируется ACL 106.<br><br>Есть такая схема:<br> <br> internet<br>Компания А &lt;======================&gt; Компания Б<br> &#124; &#124;<br> &#124; &lt;=================&gt; &#124;<br> site to site ipsec VPN<br><br>С моей стороны (Компания А), стоит Cisco 3660 (C3660-IK9S-M), Version 12.3(14)T7.<br><br>Настройки следующие:<br><br>crypto isakmp policy 10<br> encr 3des<br> authentication pre-share<br> group 5<br>crypto isakmp key @@@@@@@@ address 92.xx.xx.xx<br>crypto isakmp keepalive 30 periodic<br>no crypto isakmp ccm<br>!<br>!<br>crypto ipsec transform-set Sxxxxx esp-3des esp-md5-hmac <br>!<br>crypto map Sxxxxxx 10 ip https://www.opennet.ru/openforum/vsluhforumID6/201.html#10 Fri, 12 Oct 2012 12:04:25 GMT &gt;&gt;&gt; Весь sh run не вижу смысла <br>&gt;&gt; Ну... ок <br>&gt; Если есть вопросы касательно конфига постараюсь ответить.<br>&gt; Кстати, после замены IOS в конфиге появилась строчка : resource policy.<br>&gt; Она никаким образом не могла повлиять?<br><br> ИХОХОО!!! ПРОБЛЕМА РЕШЕНА!! оказывается в старом IOS команда reverse-route подразумевала собой reverse-route static. Вновой версии софта надо ее было прописать явно, как: reverse-route static.<br><br>Все заработало моментально!! <br> https://www.opennet.ru/openforum/vsluhforumID6/201.html#9 Fri, 12 Oct 2012 11:50:15 GMT &gt;&gt; На удаленной стороне стоит PIX ASA, это уже не моя зона ответственности.<br>&gt;&gt; Пока к сожалению не могу выложить конфиг удаленной стороны <br>&gt; свой!<br><br>)))) да понятно что свой. но не стоит исключать что причина трабла на противоположной стороне, хоть по их утверждениям они ничего не изменяли в конфиге... <br> https://www.opennet.ru/openforum/vsluhforumID6/201.html#8 Fri, 12 Oct 2012 11:49:17 GMT &gt;&gt; Весь sh run не вижу смысла <br>&gt; Ну... ок <br><br>Если есть вопросы касательно конфига постараюсь ответить.<br><br>Кстати, после замены IOS в конфиге появилась строчка : resource policy.<br>Она никаким образом не могла повлиять?<br><br> https://www.opennet.ru/openforum/vsluhforumID6/201.html#7 Fri, 12 Oct 2012 11:28:10 GMT <br>&gt; Весь sh run не вижу смысла <br><br>Ну... ок<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/201.html#6 Fri, 12 Oct 2012 11:26:25 GMT &gt; На удаленной стороне стоит PIX ASA, это уже не моя зона ответственности. <br>&gt; Пока к сожалению не могу выложить конфиг удаленной стороны <br><br>свой!<br> https://www.opennet.ru/openforum/vsluhforumID6/201.html#5 Fri, 12 Oct 2012 11:05:00 GMT На удаленной стороне стоит PIX ASA, это уже не моя зона ответственности. Пока к сожалению не могу выложить конфиг удаленной стороны<br><br> https://www.opennet.ru/openforum/vsluhforumID6/201.html#4 Fri, 12 Oct 2012 11:02:50 GMT <br>&gt; сделай нормальный <br>&gt; sho run <br>&gt; (без белых ip) <br><br>Весь sh run не вижу смысла выкладывать здесь, ибо очень длинная простыня получиться. <br><br>В посте кусок конфига со всеми настройками относящимися к реализации site-to -site IPSEC VPN <br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/201.html#3 Fri, 12 Oct 2012 10:54:54 GMT <br><br>&gt; Так мне кажется в соответствии с вашими натсройками так и должно работать. <br>&gt; Удалите reverse-route и пропишите маршруты в удалённую сеть статикой.<br><br>Так то и странно что все работало. <br>А потом как всегда: никто ничего не менял, а не работает. ((<br> https://www.opennet.ru/openforum/vsluhforumID6/201.html#2 Fri, 12 Oct 2012 10:25:09 GMT &gt; Доброго дня.<br>&gt; Просьба помочь советом, мой мозг уже не в состоянии что то понять <br><br>сделай нормальный <br>sho run<br><br>(без белых ip)<br><br><br>