https://www.opennet.ru/openforum/vsluhforumID6/20905.html Добрый день.<br><br>Есть проблема с организацией vpn-соединения между офисом и филиалом.<br>Схема подключения такова:<br><br>LAN 10.0.0.0/8 --- Cisco 3825 ---INTERNET---- Vigor Draytek--- LAN 192.168.100.32/28<br><br>Первая фаза IPSec проходит успешно, а вот вторая, при которой криптуются пакеты - нет. <br><br>debug cry ipsec показывает данную ошибку<br>IPSEC(epa_des_crypt): decrypted packet failed SA identity check<br><br>При этом sh cry ipsec<br><br>#send errors 0, #recv errors 528<br><br>На форумах говорят. что данная проблема связана с ошибками в access-list, но я уже 100 раз на них смотрел и не вижу ошибки. <br><br>Любые идеи - welcome.<br><br>Конфиги cisco:<br><br>crypto isakmp policy 23<br>encr aes<br>authentication pre-share<br>group 2<br>lifetime 28800<br>crypto isakmp key 123123 address 11.11.11.11 no-xauth<br><br>crypto ipsec transform-set 24_AES-SHA esp-aes esp-sha-hmac <br>crypto map A24 23 ipsec-isakmp <br>set peer 11.11.11.11<br>set transform-set 24_AES-SHA <br>match address 123<br><br>ip nat inside source list AL interface fa 0/1 overload<br><br>access-list 123 per https://www.opennet.ru/openforum/vsluhforumID6/20905.html#2 Tue, 20 Apr 2010 10:36:29 GMT Спасибо за ответ.<br>к сожалению не помогло. Правильно ли я составил аксес листы при данной схеме? Может свежий взгляд поможет найти решение данного вопроса.<br><br> https://www.opennet.ru/openforum/vsluhforumID6/20905.html#1 Tue, 20 Apr 2010 08:01:54 GMT &gt;[оверквотинг удален]<br>&gt;int fa 0/0 <br>&gt;ip nat inside <br>&gt;ip address 10.1.11.1 255.0.0.0 <br>&gt;<br>&gt;int fa 0/1 <br>&gt;ip nat outside <br>&gt;ip address *********** <br>&gt;crypto map A24 <br>&gt;<br>&gt;На Vigor сконфигурирована подcеть 192.168.100.32/28 с правильной маской, логи неинформативны. <br><br>Вот ссылка может поможет<br>http://www.draytek.com/user/SupportAppnotesDetail.php?ID=180<br>http://www.draytek.com/user/SupportAppnotesDetail.php?ID=181<br><br>