https://www.opennet.ru/openforum/vsluhforumID6/23907.html Добрый день <br>Помогите решить проблему <br>Есть два офиса которые надо перевязать и также организовать доступ сотрудников в один из офисов через интернет. <br><br>Схема вот http://i009.radikal.ru/1206/40/e050d2cf7d3f.jpg <br><br>На ASA в офисе 2 настраиваю IPSEC Site-to-Site VPN, в офисе 1 на маршрутизаторе настраиваю Remote Acces VPN для сотрудников и Site-to-Site для второго офиса. <br>Сотрудники цепляются нормально, vpn живет без проблем. А вот с l2l туннелем проблема. Если первым инициирует туннель офис 2 то он подымается, а если первым инициирует офис 1 то туннель ни в какую не хочет подыматься. <br>Debug почему-то ничего не показывает <br>debug crypto isakmp ha <br>debug crypto ipsec ha <br>debug crypto engine <br><br>конфиг ASA <br>interface Ethernet0/1 <br> description ISP1 <br> speed 100 <br> duplex full <br> nameif backup <br> security-level 0 <br> ip address 62.183.1.1 255.255.255.240 <br>! <br>interface Ethernet0/0 <br> description Inside <br> speed 100 <br> nameif inside <br> security-level 100 <br> ip address 192.168.0.1 255.255.254.0 https://www.opennet.ru/openforum/vsluhforumID6/23907.html#3 Sat, 07 Jul 2012 15:29:46 GMT Проблему помогли решить на другом форуме<br>Решение проблемы:<br><br>Маршрутизатор: <br><br>aaa new-model <br>! <br>aaa authentication login XAUTH local <br>aaa authorization network AUTHOR local <br>! <br>username admin password 0 admin <br>! <br>crypto keyring ASA <br> pre-shared-key address 172.16.1.2 key password <br>! <br>crypto isakmp policy 5 <br> encr aes 256 <br> authentication pre-share <br> group 5 <br> hash sha <br>! <br>crypto isakmp policy 10 <br> encr aes 256 <br> authentication pre-share <br> group 2 <br> hash sha <br>! <br>crypto isakmp client configuration group REMOTE <br> key password <br> pool POOL <br> save-password <br>crypto isakmp profile S2S <br> keyring ASA <br> match identity address 172.16.1.2 255.255.255.255 <br>crypto isakmp profile remote_users <br> match identity group REMOTE <br> client authentication list XAUTH <br> isakmp authorization list AUTHOR <br> client configuration address respond <br>! <br>crypto ipsec transform-set TRANS esp-aes esp-sha-hmac <br>! <br>crypto dynamic-map DMAP 10 <br> set transform-set TRA https://www.opennet.ru/openforum/vsluhforumID6/23907.html#2 Sun, 01 Jul 2012 09:54:10 GMT Нашел прям мой случай<br>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080094685.shtml<br><br>но как только я вешаю crypto map на интерфейс, так сразу весь трафик с/на этот интерфейс прекращается. Интерфейс в апе, с интрефейсом который смотрит в локалку все нормально, трафик бегает.<br>Куда копать?<br> https://www.opennet.ru/openforum/vsluhforumID6/23907.html#1 Fri, 29 Jun 2012 06:02:52 GMT &gt; Добрый день <br>&gt; Помогите решить проблему <br>&gt; Есть два офиса которые надо перевязать и также организовать доступ сотрудников в <br>&gt; один из офисов через интернет.<br>&gt; Схема вот http://i009.radikal.ru/1206/40/e050d2cf7d3f.jpg <br><br>С настройками ASA не помогу, т. к. ни разу не работал с ними.<br>Когда то у меня подобная схема была. <br><br>1 маршрутизатор работал по 2-м схемам одновременно - EasyVPN (удаленный доступ) и site-ti-site:<br><br>crypto map filials 10 ipsec-isakmp ......<br><br>и т. д. под схему EasyVPN<br><br>crypto map filials 20 isakmp client configuration group ......<br>и т. д. под схему site-ti-site<br><br>и на внешний интерфейс<br>crypto-map filials<br><br><br>2 маршрутизатор работал по схеме site-ti-site с 1 маршрутизатором<br><br>Все работало без проблем.<br>