OpenForum RSS: ipsec troubleshooting https://www.opennet.ru/openforum/vsluhforumID6/42.html привет знатокам , помогите советом люди добрые ;)- сделал тестовый стенд с ipsec vpn который потом надо переместить реальному клиенту: voice vlan &lt;-&gt; router cisco 881&lt; - &gt;router cisco 881&lt;-&gt;vocie vlan . оба voice vlana из разных сеток соответственно, wan интерфейсы "как бы подключены через интернет" на самом деле просто соединены др с др . . поставил 2 компа в эти voice vlana друг друга пингуют, но команды show crypto isakmp sa<br> show crypto ipsec sa<br> show crypto engine connection active<br> debug crypto isakmp<br> debug crypto ipsec <br>ничего не показывают :( .. это значит vpn не поднят ? чtо интересно с рутера делаю пинг на удаленный комп пинг не проходит даже при указаны source vlan 20 (voice ) а компы друг друга видят ... <br> ipsec troubleshooting (bekzod) https://www.opennet.ru/openforum/vsluhforumID6/42.html#2 Fri, 10 Aug 2012 12:33:08 GMT &gt;[оверквотинг удален]<br>&gt; 2) Проще всего для понимания делать gre over ipsec. Т.е. сначала <br>&gt; поднимаете гре тунель и добиваетесь чтобы трафик ходил через него. Как <br>&gt; заработает тунель можно его прикрыть ipsec'ом.<br>&gt; 3) Поднимаете криптомапы и добиваетесь чтобы заработал ipsec. Проверка очень простая заворачиваете <br>&gt; трафик на wireshark и смотрите какие идут пакеты. (должны идти не <br>&gt; gre, а esp пакеты). На это все.<br>&gt; О том какие команды и куда вводить читайте в конфиг гайде на <br>&gt; вашу железку. Если только начали заниматься, то рекомендую начать с ICND <br>&gt; 1&2 ну и далее по списку, в вашем случае CCNA Security <br>&gt; еще нужно посмотреть.<br><br>Spasibo za otvet, no mne kajetsa vi ne prochitali vnimatelno. Traffic uje hodit. Prosto ne uveren cto chefez ipsec idet ved ruteri pramo connected.<br><br>A<br> ipsec troubleshooting (eek) https://www.opennet.ru/openforum/vsluhforumID6/42.html#1 Fri, 10 Aug 2012 03:50:07 GMT Схема такая.<br><br>1) Ставите две железки и два компа за ними, и добиваетесь чтобы просто ходил трафик (количество железок в цепочки значения не имеет, но для лучшего понимания механизмов работы лучше чтобы железок было 3).Как заставите траффик ходить между компьютерами (через вашу "сеть"). Начинайте заморачиваться с поднятием тунеля.<br><br>2) Проще всего для понимания делать gre over ipsec. Т.е. сначала поднимаете гре тунель и добиваетесь чтобы трафик ходил через него. Как заработает тунель можно его прикрыть ipsec'ом.<br><br>3) Поднимаете криптомапы и добиваетесь чтобы заработал ipsec. Проверка очень простая заворачиваете трафик на wireshark и смотрите какие идут пакеты. (должны идти не gre, а esp пакеты). На это все.<br><br>О том какие команды и куда вводить читайте в конфиг гайде на вашу железку. Если только начали заниматься, то рекомендую начать с ICND 1&2 ну и далее по списку, в вашем случае CCNA Security еще нужно посмотреть.<br>