https://ssl.opennet.dev/openforum/vsluhforumID6/21058.html Добрый день.<br><br>Возникла проблема с подключение cisco3825 и cisco870. Соединение между ними есть, туннель вроде устанавливается, пакеты не бегают. Гляньте свежим взглядом. Заранее спасибо.<br><br>Схема подключения<br><br>LAN 192.168.100.144/28---Cisco870----INET----Cisco3825-----LAN 10.0.0.0/8<br> &#124;_________LAN 172.30.0.0/16<br><br>Необходима связь между данными подсетями, т.е. между 192.168.100.144/28 и 172.30.0.0/16 и 10.0.0.0/8.<br><br>sh ver c870-advsecurityk9-mz.124-15.T12.bin<br>sh ver c3825-advipservicesk9-mz.124-9.T6.bin<br><br>Cisco3825<br><br>crypto isakmp policy 23<br> encr aes<br> authentication pre-share<br> group 2<br> lifetime 28800<br>crypto isakmp key ************** address ***** no-xauth<br><br>crypto ipsec transform-set APT24_AES-SHA esp-aes esp-sha-hmac <br><br>crypto map APT24 29 ipsec-isakmp <br> description tunnel_to_<br> set peer **********<br> set transform-set APT24_AES-SHA <br> match address APT24PL-1<br><br>ip nat inside source list al interface GigabitEthernet0/1.40 overload<br><br>ip acce https://ssl.opennet.dev/openforum/vsluhforumID6/21058.html#8 Tue, 25 May 2010 14:04:49 GMT Вопрос решен.<br><br>Поскольку маршрут по умолчанию уходил на ISA-сервер, маршрут в подсеть 192.168.100.144/28 пришлось прописать таки.<br><br>В моей ситуации канал подключенный в Интернет не являлся маршрутом по умолчанию =&gt; все пакеты шли на ISA и там рубались. Объяснение довольно сумбурное, но более/менее понятно для меня.<br> https://ssl.opennet.dev/openforum/vsluhforumID6/21058.html#7 Tue, 25 May 2010 13:02:01 GMT &gt;Маршруты то вы и не показали... где они? <br>&gt;ИМХО делайте GRE с IPSec -профайлом + динамической маршрутизацией. <br>&gt;Намного проще, наглядней и удобнее... <br><br>traceroute с моего компа<br><br>sudo traceroute 192.168.100.145<br>traceroute to 192.168.100.145 (192.168.100.145), 30 hops max, 60 byte packets<br> 1 ciscod01.office (10.1.11.1) 0.548 ms 0.582 ms 0.620 ms<br> 2 vishnu.office (192.168.253.2) 1.047 ms 1.029 ms 1.018 ms<br> 3 * * *<br> 4 * * *<br> https://ssl.opennet.dev/openforum/vsluhforumID6/21058.html#6 Tue, 25 May 2010 12:57:12 GMT <br>&gt;Покажите как настроена маршрутизация <br><br>sh ip ro 192.168.100.144<br>% Subnet not in table<br><br>#sh ip ro 0.0.0.0<br>Routing entry for 0.0.0.0/0, supernet<br> Known via "static", distance 1, metric 0, candidate default path<br> Redistributing via eigrp 10<br> Advertised by eigrp 10<br> Routing Descriptor Blocks:<br> * 192.168.3.1<br> Route metric is 0, traffic share count is 1<br><br>Это выход на маршрут по умолчанию на ISA2006<br> https://ssl.opennet.dev/openforum/vsluhforumID6/21058.html#5 Mon, 24 May 2010 15:42:06 GMT &gt;Уберите явное "deny ip any any" на 3825. <br><br>А смысл его убирать? По любому в конце acl есть deny. а так я хоть посмотрю число отказов на создание впн-трафика.<br> https://ssl.opennet.dev/openforum/vsluhforumID6/21058.html#4 Mon, 24 May 2010 15:39:47 GMT &gt;<br>&gt;Покажите как настроена маршрутизация <br><br>явные маршруты в подсети VPN НЕ прописаны. так как vpn-трафик генерируется по требованию.<br> https://ssl.opennet.dev/openforum/vsluhforumID6/21058.html#3 Mon, 24 May 2010 08:14:29 GMT Уберите явное "deny ip any any" на 3825.<br> https://ssl.opennet.dev/openforum/vsluhforumID6/21058.html#2 Mon, 24 May 2010 05:44:58 GMT Маршруты то вы и не показали... где они?<br>ИМХО делайте GRE с IPSec -профайлом + динамической маршрутизацией.<br>Намного проще, наглядней и удобнее...<br> https://ssl.opennet.dev/openforum/vsluhforumID6/21058.html#1 Mon, 24 May 2010 04:00:07 GMT &gt;[оверквотинг удален]<br>&gt; <br>&gt; <br>&gt; <br>&gt; &#124;_________LAN 172.30.0.0/16 <br>&gt;<br>&gt;Необходима связь между данными подсетями, т.е. между 192.168.100.144/28 и 172.30.0.0/16 и 10.0.0.0/8. <br>&gt;<br>&gt;<br>&gt;<br>&gt;Если есть идеи - welcome. <br><br>Покажите как настроена маршрутизация<br><br><br>