https://opennet.dev/openforum/vsluhforumID6/23859.html Добрый день.<br>Настраиваю VPN IPSec туннель между маршрутизатором cisco 1841 и zyxel usg 50. <br>Туннель устанавливается без ошибок, пакеты шифруются. Проверяю на cisco <br>ping 10.0.3.1(адрес zyxel usg 50) so 10.0.1.1 (адрес cisco 1841) хост 10.0.3.1 доступен.<br>Однако, если пинговать ping 10.0.3.1 то хост 10.0.3.1 не доступен. В чем может быть дело?<br><br>Cisco 1841<br>version 12.4<br>no service pad<br>service tcp-keepalives-in<br>service tcp-keepalives-out<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>no service password-encryption<br>service sequence-numbers<br>no service dhcp<br>!<br>hostname Router1<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>no aaa new-model<br>!<br>resource policy<br><br>vpdn enable<br>!<br>!<br>!<br>username admin password 0 1234<br>!<br>! <br>!<br>crypto isakmp policy 10<br> authentication pre-share<br> group 5<br>crypto isakmp key pass address 1.1.1.1<br>!<br>!<br>crypto ipsec transform-set vpn esp-des esp-sha-hmac <br>!<br>crypto ipsec profile vpn<br> set security-association lifetime seconds 300<br> set transform-s https://opennet.dev/openforum/vsluhforumID6/23859.html#6 Mon, 11 Jun 2012 07:05:44 GMT &gt;[оверквотинг удален]<br>&gt;&gt; двоечник :) <br>&gt; Про команды дебага впн я в курсе :) <br>&gt;&gt; И надо добавить еще одну запись в ацл VPNtoOffice <br>&gt;&gt; permit ip 192.168.250.0 0.0.0.255 10.0.3.0 0.0.0.255 <br>&gt;&gt; и на зухеле соответственно <br>&gt; К сожалению это не помогло. Это правило не срабатывает: <br>&gt; Extended IP access list VPNtoOffice <br>&gt; 10 permit ip 10.0.1.0 0.0.0.255 10.0.3.0 0.0.0.255 (20 <br>&gt; matches) <br>&gt; 20 permit ip 192.168.250.0 0.0.0.255 10.0.3.0 0.0.0.255 <br><br>Ну что дебажь тогда. <br>1. на всякий случа й перепиши ацл Nat<br>ip access-list ext Nat<br>deny ip 192.168.0.0 0.0.255.255 10.0.3.0 0.0.0.255<br>permit ip 192.168.0.0 0.0.255.255 any<br><br>2. Покажи что в дебаге sh crypto session det<br>меня интересуют эти строчки<br> Inbound: #pkts dec'ed 37405 drop 0 life (KB/Sec) 4464207/1012<br> Outbound: #pkts enc'ed 41382 drop 0 life (KB/Sec) 4463951/1012<br>т.е. трафик твой вообще криптуеться.<br><br>неплохо было бы на весь конфиг еще раз взглянуть.<br> https://opennet.dev/openforum/vsluhforumID6/23859.html#5 Fri, 08 Jun 2012 13:59:34 GMT &gt; Комманда для дебага sh ip crypto sess <br>&gt; двоечник :) <br><br>Про команды дебага впн я в курсе :) <br><br>&gt; И надо добавить еще одну запись в ацл VPNtoOffice <br>&gt; permit ip 192.168.250.0 0.0.0.255 10.0.3.0 0.0.0.255 <br>&gt; и на зухеле соответственно <br><br>К сожалению это не помогло. Это правило не срабатывает:<br>Extended IP access list VPNtoOffice <br> 10 permit ip 10.0.1.0 0.0.0.255 10.0.3.0 0.0.0.255 (20 matches)<br> 20 permit ip 192.168.250.0 0.0.0.255 10.0.3.0 0.0.0.255<br> <br> https://opennet.dev/openforum/vsluhforumID6/23859.html#4 Fri, 08 Jun 2012 13:00:47 GMT &gt; Все же немного не понятно каким образом получить доступ из подсети <br>&gt; 192.168.250.0/24 <br>&gt; к подсети 10.0.3.0/24.<br><br>ip access-list extended VPNtoOffice<br>permit ip 10.0.1.0 0.0.0.255 10.0.3.0 0.0.0.255<br>permit ip 10.0.3.0 0.0.0.255 10.0.1.0 0.0.0.255 ! эта строка необязательна на циске достаточно указать интересны трафик откуда -&gt; куда, а вот для Win-реализации надо указывать в 2 направления, как на зухеле незнаю<br><br>И надо добавить еще одну запись в ацл VPNtoOffice<br>permit ip 192.168.250.0 0.0.0.255 10.0.3.0 0.0.0.255<br>и на зухеле соответственно<br><br>Комманда для дебага sh ip crypto sess<br>двоечник :)<br> https://opennet.dev/openforum/vsluhforumID6/23859.html#3 Fri, 08 Jun 2012 10:32:47 GMT Все же немного не понятно каким образом получить доступ из подсети 192.168.250.0/24<br>к подсети 10.0.3.0/24.<br> https://opennet.dev/openforum/vsluhforumID6/23859.html#2 Fri, 08 Jun 2012 04:52:49 GMT &gt; Дело, однако, в том что циска подставляет в качестве сорса, по-умолчанию, ИП <br>&gt; который ближе всего к дестенейшину т.е. ИП Dialer1 ну а делее <br>&gt; по смылу... о как однако :) <br><br>Ясно,однако :) Спасибо за информацию.<br><br> https://opennet.dev/openforum/vsluhforumID6/23859.html#1 Thu, 07 Jun 2012 14:25:57 GMT Дело, однако, в том что циска подставляет в качестве сорса, по-умолчанию, ИП который ближе всего к дестенейшину т.е. ИП Dialer1 ну а делее по смылу... о как однако :)<br>