Существует проблема поднятия тунеля IpSec. Нужно что бы с между офисами А и B был поднят тунель. Офис А имел доступ к сети B.
внешний адрес А - 195.162.x.x.
внешний адрес B - 87.103.y.y.
внутренний B - 172.16.z.zНе можем разобраться в проблеме!This is the running config of the router: 172.16.19.100
!----------------------------------------------------------------------------
!version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname _____--
!
boot-start-marker
boot-end-marker
!clock timezone OMST 6
clock summer-time OMST recurring last Sun Mar 3:00 last Sun Oct 3:00
aaa new-model
!
!
aaa authentication attempts login 5
aaa session-id common
ip subnet-zero
ip cef
!
!
no ip domain lookup
ip domain name ____
ip name-server dns
vpdn enable
!
vpdn-group pppoe
request-dialin
protocol pppoe
!
no ftp-server write-enable
!
!
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key xxxxxxxxx address 195.162.x.x.
!
!
crypto ipsec transform-set depfin esp-3des esp-sha-hmac
!
crypto map vpn 100 ipsec-isakmp
! Incomplete
set peer 195.162.x.x.
set transform-set vpn
match address 101
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
!
interface ATM0.1 point-to-point
pvc 0/35
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
no ip address
no cdp enable
!
interface FastEthernet1
no ip address
no cdp enable
!
interface FastEthernet2
no ip address
no cdp enable
!
interface FastEthernet3
no ip address
no cdp enable
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 172.16.z.z 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp authentication pap callin
ppp pap sent-username adsl____@pppoe password _____
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
ip nat inside source list 100 interface Dialer1 overload
!
access-list 100 permit ip host 172.16.z.z any
no cdp run
!
control-plane
!
!
line con 0
no modem enable
transport preferred all
transport output all
line aux 0
transport preferred all
transport output all
line vty 0 4
privilege level 15
transport preferred all
transport input telnet ssh
transport output all
!
scheduler max-task-time 5000
ntp clock-period 17180772
ntp master 3
ntp server ______ prefer
end
а чего тут разибраться. оно никогда не заработает пока мапа будет инкомлит.
проверьте - у вас трансформсет правильно указан? в конфиге один, а в мапе другой.crypto ipsec transform-set depfin esp-3des esp-sha-hmac
crypto map vpn 100 ipsec-isakmp
! Incomplete
set peer 195.162.x.x.
set transform-set vpn
match address 101
Пока acl 101 не напишешь - не заработает...
>!
>crypto map vpn 100 ipsec-isakmp
> ! Incomplete
> set peer 195.162.x.x.
> set transform-set vpn
> match address 101
>!А где acl 101 ?
>>!
>>crypto map vpn 100 ipsec-isakmp
>> ! Incomplete
>> set peer 195.162.x.x.
>> set transform-set vpn
>> match address 101
>>!
>
>А где acl 101 ?Благодарю за помощь щас поправим. И еще мож мой вопрос прозвучит глупо, но с цисками работаю недавно по этому извеняйте. Как мне разделить чтобы трафик из лок. сети В в инет шёл как обычно а в между сетями А и В постоянный шифрованный канал поднят причем из А полный доступ к сети В.
>Благодарю за помощь щас поправим. И еще мож мой вопрос прозвучит глупо,
>но с цисками работаю недавно по этому извеняйте. Как мне разделить
>чтобы трафик из лок. сети В в инет шёл как обычно
>а в между сетями А и В постоянный шифрованный канал
>поднят причем из А полный доступ к сети В.
Изучай AClНекоторые основы тут http://www.faq-cisco.ru/page.php?id=5
>>Благодарю за помощь щас поправим. И еще мож мой вопрос прозвучит глупо,
>>но с цисками работаю недавно по этому извеняйте. Как мне разделить
>>чтобы трафик из лок. сети В в инет шёл как обычно
>>а в между сетями А и В постоянный шифрованный канал
>>поднят причем из А полный доступ к сети В.
>
>
>Изучай ACl
>
>Некоторые основы тут http://www.faq-cisco.ru/page.php?id=5Так ну с доступом вроде разберусь. А подскажите плиз криптомапа цеплять нада на VLAN или Dialer интерфейс. По докам смотрел везде примеры разные а новичку все таки трудновато пока что. И Ipsec ведь можно же и без tunnel делать это же по умолчанию тунель и есть? Спасибо
Вот что получилось но не прет все равно
Подскажите в чем косяк. Понимаю что не гений я конечно :)aaa authentication attempts login 5
aaa session-id common
ip subnet-zero
ip cef
!
!
no ip domain lookup
ip domain name
ip name-server 195._____
vpdn enable
!
vpdn-group pppoe
request-dialin
protocol pppoe
!
no ftp-server write-enable
!
!
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key !!!!!!!!!address 195.162.x.x!
!
crypto ipsec transform-set dep esp-3des esp-sha-hmac!
crypto map dep 100 ipsec-isakmp
set peer 195.162.x.x
set transform-set dep
match address 101
reverse-route!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
!
interface ATM0.1 point-to-point
pvc 0/35
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
no ip address
no cdp enable
!
interface FastEthernet1
no ip address
no cdp enable
!
interface FastEthernet2
no ip address
no cdp enable
!
interface FastEthernet3
no ip address
no cdp enable
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 172.16.y.y 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Dialer1
ip address 87.103.__.__ 255.255.255.0
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp authentication pap callin
ppp pap sent-username ______ password ______
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
ip nat inside source list 100 interface Dialer1 overload
!
access-list 100 deny ip 172.___._.0 0.0.0.255 10.__.__.0 0.0.0.255
access-list 100 permit ip 172.__.__.0 0.0.0.255 any
access-list 101 permit ip 172.__.__.0 0.0.0.255 10.__.__.0 0.0.0.255no cdp run
!
control-plane
!
!
line con 0
no modem enable
transport preferred all
transport output all
line aux 0
transport preferred all
transport output all
line vty 0 4
privilege level 15
transport preferred all
transport input telnet ssh
transport output all
!
scheduler max-task-time 5000
ntp clock-period 17180529
ntp master 3
ntp server 80.240.109.1 prefer
end
а что не получается?
>а что не получается?не видна лок. сеть за циской и не пингуется пинг идет только на внешний адрес циски похоже что тунель так и не поднят
>>а что не получается?
>
>не видна лок. сеть за циской и не пингуется пинг идет только
>на внешний адрес циски похоже что тунель так и не поднят
>tracert с обоих цисок одинаковый ? (аля зеркало)
>>>а что не получается?
>>
>>не видна лок. сеть за циской и не пингуется пинг идет только
>>на внешний адрес циски похоже что тунель так и не поднят
>>
>
>tracert с обоих цисок одинаковый ? (аля зеркало)
разный совсем идет
>>>>а что не получается?
>>>
>>>не видна лок. сеть за циской и не пингуется пинг идет только
>>>на внешний адрес циски похоже что тунель так и не поднят
>>>
>>
>>tracert с обоих цисок одинаковый ? (аля зеркало)
>
>
>разный совсем идетЗначит надо настраивать VPN как написано тут http://faq-cisco.ru/page.php?id=3
>>>>>а что не получается?
>>>>
>>>>не видна лок. сеть за циской и не пингуется пинг идет только
>>>>на внешний адрес циски похоже что тунель так и не поднят
>>>>
>>>
>>>tracert с обоих цисок одинаковый ? (аля зеркало)
>>
>>
>>разный совсем идет
>
>Значит надо настраивать VPN как написано тут http://faq-cisco.ru/page.php?id=3
Делаю так сказать по бумажке но что то не выходит не дает поднять тунель ругается на ай пи если ставить другой пропадает выход в инет из сети. Что то совсем уже запутался.....crypto ipsec transform-set vpn esp-3des esp-sha-hmac
crypto map vpn 100 ipsec-isakmp
set peer 195.162.?.?
set transform-set vpn
match address 101
reverse-route
!
!
interface Tunnel0
ip address 172.16.19.2 255.255.255.0
shutdown (пока down поднять не дает)
tunnel source Dialer1
tunnel destination 195.162.?.?
crypto map vpn
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
!
interface ATM0.1 point-to-point
pvc 0/35
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
no ip address
no cdp enable
!
interface FastEthernet1
no ip address
no cdp enable
!
interface FastEthernet2
no ip address
no cdp enable
!
interface FastEthernet3
no ip address
shutdown
no cdp enable
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 172.16.19.100 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Dialer1
ip address 87.103.?.? 255.255.255.0
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp authentication pap callin
ppp pap sent-username ___________ password ____________
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 10.10.0.0 0.0.0.255 Tunnel0
>crypto ipsec transform-set vpn esp-3des esp-sha-hmac
>
>crypto map vpn 100 ipsec-isakmp
> set peer 195.162.?.?
> set transform-set vpn
> match address 101
> reverse-route
>!
>!
>interface Tunnel0
> ip address 172.16.19.2 255.255.255.0
> shutdown (пока down поднять не дает)
> tunnel source Dialer1
> tunnel destination 195.162.?.?
> crypto map vpn
>interface Vlan1
> description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
> ip address 172.16.19.100 255.255.255.0
> ip nat inside
> ip virtual-reassembly
> ip tcp adjust-mss 1452
>!
>interface Dialer1
> ip address 87.103.?.? 255.255.255.0
> ip mtu 1492
> ip nat outside
> ip virtual-reassembly
> encapsulation ppp
> dialer pool 1
> ppp authentication pap callin
> ppp pap sent-username ___________ password ____________Не надо ни каких тунелей, и так все прекрасно работает.
1. Тунель убираем.
2. Где crypto-map на внешнем интерфейсе?
3. Трафик для шифрования должен быть указан одинаковый как на той так и на этой стороне
Тобишь на местной:
ip access-list extended encryption
permit ip 172.xx.xx.xx 0.0.0.255 172.yy.yy.yy 0.0.0.255
на удаленной:
ip access-list extended encryption
permit ip 172.yy.yy.yy 0.0.0.255 172.xx.xx.xx 0.0.0.255
4. VPN работать не будет с твоим конфигом т.к.(читать последовательность выполнения операций при попадании пакета на интерфейс) у тебя сначала выполняется НАТ а потом пакет шифруется. Соответственно acl для NAT должен исключать локальные ip:ip access-list extended nat
deny ip 172.xx.xx.xx 0.0.0.255 (исли маска /24) 172.yy.yy.yy 0.0.0.255
permit 172.xx.xx.xx 0.0.0.255 any5. Проверяем что открыты на входящее соединение udp 500,4500 и esp
6. После чего делаем пинг(лучше из сетки, либо с кошака но с source ip лан)
7. Смотрим sh crypto session или sh crypto ses de
8. если down
то включаем debug crypto ipsec debug crypto isakmp terminal monitor
копируем лог и постим сюда ;))
Если up то радуемся жизни ;)
>>crypto ipsec transform-set vpn esp-3des esp-sha-hmac
>>
>>crypto map vpn 100 ipsec-isakmp
>> set peer 195.162.?.?
>> set transform-set vpn
>> match address 101
>> reverse-route
>>!
>>!
>>interface Tunnel0
>> ip address 172.16.19.2 255.255.255.0
>> shutdown (пока down поднять не дает)
>> tunnel source Dialer1
>> tunnel destination 195.162.?.?
>> crypto map vpn
>>interface Vlan1
>> description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
>> ip address 172.16.19.100 255.255.255.0
>> ip nat inside
>> ip virtual-reassembly
>> ip tcp adjust-mss 1452
>>!
>>interface Dialer1
>> ip address 87.103.?.? 255.255.255.0
>> ip mtu 1492
>> ip nat outside
>> ip virtual-reassembly
>> encapsulation ppp
>> dialer pool 1
>> ppp authentication pap callin
>> ppp pap sent-username ___________ password ____________
>
>Не надо ни каких тунелей, и так все прекрасно работает.
>1. Тунель убираем.
>2. Где crypto-map на внешнем интерфейсе?
>3. Трафик для шифрования должен быть указан одинаковый как на той так
>и на этой стороне
>Тобишь на местной:
>ip access-list extended encryption
>permit ip 172.xx.xx.xx 0.0.0.255 172.yy.yy.yy 0.0.0.255
>на удаленной:
>ip access-list extended encryption
>permit ip 172.yy.yy.yy 0.0.0.255 172.xx.xx.xx 0.0.0.255
>4. VPN работать не будет с твоим конфигом т.к.(читать последовательность выполнения операций
>при попадании пакета на интерфейс) у тебя сначала выполняется НАТ а
>потом пакет шифруется. Соответственно acl для NAT должен исключать локальные ip:
>
>
>ip access-list extended nat
>deny ip 172.xx.xx.xx 0.0.0.255 (исли маска /24) 172.yy.yy.yy 0.0.0.255
>permit 172.xx.xx.xx 0.0.0.255 any
>
>5. Проверяем что открыты на входящее соединение udp 500,4500 и esp
>
>6. После чего делаем пинг(лучше из сетки, либо с кошака но с
>source ip лан)
>7. Смотрим sh crypto session или sh crypto ses de
>8. если down
>то включаем debug crypto ipsec debug crypto isakmp terminal monitor
>копируем лог и постим сюда ;))
>Если up то радуемся жизни ;)
Вобщем ситуэшен такой пинг не идет но канал вроде поднялся на циске загорелся ВПН
Сети внутренние тож не видны ???Aug 17 10:38:09.868: ISAKMP (0:0): received packet from 195.162.38.__ dport 500
sport 500 Global (N) NEW SA
Aug 17 10:38:09.868: ISAKMP: Created a peer struct for 195.162.38.__, peer port
500
Aug 17 10:38:09.868: ISAKMP: Locking peer struct 0x82474D20, IKE refcount 1 for
crypto_isakmp_process_block
Aug 17 10:38:09.868: ISAKMP: local port 500, remote port 500
Aug 17 10:38:09.868: insert sa successfully sa = 823A0878
Aug 17 10:38:09.868: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Aug 17 10:38:09.868: ISAKMP:(0:0:N/A:0):Old State = IKE_READY New State = IKE_R
_MM1Aug 17 10:38:09.868: ISAKMP:(0:0:N/A:0): processing SA payload. message ID = 0
Aug 17 10:38:09.868: ISAKMP:(0:0:N/A:0): processing vendor id payload
Aug 17 10:38:09.872: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 157
mismatch
Aug 17 10:38:09.872: ISAKMP:(0:0:N/A:0): vendor ID is NAT-T v3
Aug 17 10:38:09.872: ISAKMP:(0:0:N/A:0): processing vendor id payload
Aug 17 10:38:09.872: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 123
mismatch
Aug 17 10:38:09.872: ISAKMP:(0:0:N/A:0): vendor ID is NAT-T v2
Aug 17 10:38:09.872: ISAKMP: Looking for a matching key for 195.162.38.70 in def
ault : success
Aug 17 10:38:09.872: ISAKMP:(0:0:N/A:0):found peer pre-shared key matching 195.1
62.38.70
Aug 17 10:38:09.872: ISAKMP:(0:0:N/A:0): local preshared key found
Aug 17 10:38:09.872: ISAKMP : Scanning profiles for xauth ...
Aug 17 10:38:09.872: ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 1 against prio
rity 1 policy
Aug 17 10:38:09.872: ISAKMP: encryption 3DES-CBC
Aug 17 10:38:09.872: ISAKMP: hash MD5
Aug 17 10:38:09.872: ISAKMP: default group 2
Aug 17 10:38:09.872: ISAKMP: auth pre-share
Aug 17 10:38:09.872: ISAKMP: life type in seconds
Aug 17 10:38:09.872: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
Aug 17 10:38:09.872: ISAKMP:(0:0:N/A:0):atts are acceptable. Next payload is 3
Aug 17 10:38:09.904: ISAKMP:(0:1:HW:2): processing vendor id payload
Aug 17 10:38:09.904: ISAKMP:(0:1:HW:2): vendor ID seems Unity/DPD but major 157
mismatch
Aug 17 10:38:09.904: ISAKMP:(0:1:HW:2): vendor ID is NAT-T v3
Aug 17 10:38:09.904: ISAKMP:(0:1:HW:2): processing vendor id payload
Aug 17 10:38:09.904: ISAKMP:(0:1:HW:2): vendor ID seems Unity/DPD but major 123
mismatch
Aug 17 10:38:09.904: ISAKMP:(0:1:HW:2): vendor ID is NAT-T v2
Aug 17 10:38:09.904: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MA
IN_MODE
Aug 17 10:38:09.904: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM1 New State = IKE_R_
MM1Aug 17 10:38:09.908: ISAKMP:(0:1:HW:2): constructed NAT-T vendor-03 ID
Aug 17 10:38:09.908: ISAKMP:(0:1:HW:2): sending packet to 195.162.38.70 my_port
500 peer_port 500 (R) MM_SA_SETUP
Aug 17 10:38:09.908: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_CO
MPLETE
Aug 17 10:38:09.908: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM1 New State = IKE_R_
MM2Aug 17 10:38:09.964: ISAKMP (0:268435457): received packet from 195.162.38.70 dp
ort 500 sport 500 Global (R) MM_SA_SETUP
Aug 17 10:38:09.964: ISAKMP:(0:1:HW:2):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Aug 17 10:38:09.964: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM2 New State = IKE_R_
MM3Aug 17 10:38:09.964: ISAKMP:(0:1:HW:2): processing KE payload. message ID = 0
Aug 17 10:38:09.996: ISAKMP:(0:1:HW:2): processing NONCE payload. message ID = 0Aug 17 10:38:09.996: ISAKMP: Looking for a matching key for 195.162.38.70 in def
ault : success
Aug 17 10:38:09.996: ISAKMP:(0:1:HW:2):found peer pre-shared key matching 195.16
2.38.70
Aug 17 10:38:09.996: ISAKMP:(0:1:HW:2):SKEYID state generated
Aug 17 10:38:09.996: ISAKMP:(0:1:HW:2): processing vendor id payload
Aug 17 10:38:09.996: ISAKMP:(0:1:HW:2): vendor ID is Unity
Aug 17 10:38:09.996: ISAKMP:(0:1:HW:2): processing vendor id payload
Aug 17 10:38:09.996: ISAKMP:(0:1:HW:2): vendor ID is DPD
Aug 17 10:38:09.996: ISAKMP:(0:1:HW:2): processing vendor id payload
Aug 17 10:38:10.000: ISAKMP:(0:1:HW:2): speaking to another IOS box!
Aug 17 10:38:10.000: ISAKMP:received payload type 20
Aug 17 10:38:10.000: ISAKMP:received payload type 20
Aug 17 10:38:10.000: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MA
IN_MODE
Aug 17 10:38:10.000: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM3 New State = IKE_R_
MM3Aug 17 10:38:10.000: ISAKMP:(0:1:HW:2): sending packet to 195.162.38.__ my_port
500 peer_port 500 (R) MM_KEY_EXCH
Aug 17 10:38:10.000: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_CO
MPLETE
Aug 17 10:38:10.000: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM3 New State = IKE_R_
MM4Aug 17 10:38:10.064: ISAKMP (0:268435457): received packet from 195.162.38.__ dp
ort 500 sport 500 Global (R) MM_KEY_EXCH
Aug 17 10:38:10.064: ISAKMP:(0:1:HW:2):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Aug 17 10:38:10.064: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM4 New State = IKE_R_
MM5Aug 17 10:38:10.064: ISAKMP:(0:1:HW:2): processing ID payload. message ID = 0
Aug 17 10:38:10.064: ISAKMP (0:268435457): ID payload
next-payload : 8
type : 1
address : 195.162.38.__
protocol : 17
port : 500
length : 12
Aug 17 10:38:10.064: ISAKMP:(0:1:HW:2):: peer matches *none* of the profiles
Aug 17 10:38:10.064: ISAKMP:(0:1:HW:2): processing HASH payload. message ID = 0
Aug 17 10:38:10.068: ISAKMP:(0:1:HW:2): processing NOTIFY INITIAL_CONTACT protoc
ol 1
spi 0, message ID = 0, sa = 823A0878
Aug 17 10:38:10.068: ISAKMP:(0:1:HW:2):SA authentication status:
authenticated
Aug 17 10:38:10.068: ISAKMP:(0:1:HW:2): Process initial contact,
bring down existing phase 1 and 2 SA's with local 87.103.179.___ remote 195.162.
38.70 remote port 500
Aug 17 10:38:10.068: ISAKMP:(0:1:HW:2):SA authentication status:
authenticated
Aug 17 10:38:10.068: ISAKMP:(0:1:HW:2):SA has been authenticated with 195.162.38
.__
Aug 17 10:38:10.068: ISAKMP: Trying to insert a peer 87.103.179.178/195.162.38._
0/500/, and inserted successfully 82474D20.
Aug 17 10:38:10.068: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MA
IN_MODE
Aug 17 10:38:10.068: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM5 New State = IKE_R_
MM5Aug 17 10:38:10.068: IPSEC(key_engine): got a queue event with 1 kei messages
Aug 17 10:38:10.068: ISAKMP:(0:1:HW:2):SA is doing pre-shared key authentication
using id type ID_IPV4_ADDR
Aug 17 10:38:10.072: ISAKMP (0:268435457): ID payload
next-payload : 8
type : 1
address : 87.103.179.__
protocol : 17
port : 500
length : 12
Aug 17 10:38:10.072: ISAKMP:(0:1:HW:2):Total payload length: 12
Aug 17 10:38:10.072: ISAKMP:(0:1:HW:2): sending packet to 195.162.38.70 my_port
500 peer_port 500 (R) MM_KEY_EXCH
Aug 17 10:38:10.072: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_CO
MPLETE
Aug 17 10:38:10.072: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM5 New State = IKE_P1
_COMPLETEAug 17 10:38:10.076: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COM
PLETE
Aug 17 10:38:10.076: ISAKMP:(0:1:HW:2):Old State = IKE_P1_COMPLETE New State =
IKE_P1_COMPLETEAug 17 10:38:10.132: ISAKMP (0:268435457): received packet from 195.162.38.__ dp
ort 500 sport 500 Global (R) QM_IDLE
Aug 17 10:38:10.132: ISAKMP: set new node 468270712 to QM_IDLE
Aug 17 10:38:10.136: ISAKMP:(0:1:HW:2): processing HASH payload. message ID = 46
8270712
Aug 17 10:38:10.136: ISAKMP:(0:1:HW:2): processing SA payload. message ID = 4682
70712
Aug 17 10:38:10.136: ISAKMP:(0:1:HW:2):Checking IPSec proposal 1
Aug 17 10:38:10.136: ISAKMP: transform 1, ESP_3DES
Aug 17 10:38:10.136: ISAKMP: attributes in transform:
Aug 17 10:38:10.136: ISAKMP: encaps is 1 (Tunnel)
Aug 17 10:38:10.136: ISAKMP: SA life type in seconds
Aug 17 10:38:10.136: ISAKMP: SA life duration (basic) of 3600
Aug 17 10:38:10.136: ISAKMP: SA life type in kilobytes
Aug 17 10:38:10.136: ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0
Aug 17 10:38:10.136: ISAKMP: authenticator is HMAC-SHA
Aug 17 10:38:10.136: ISAKMP: group is 2
Aug 17 10:38:10.136: ISAKMP:(0:1:HW:2):atts are acceptable.
Aug 17 10:38:10.136: IPSEC(validate_proposal_request): proposal part #1,
(key eng. msg.) INBOUND local= 87.103.179.__, remote= 195.162.38.__,
local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4),
remote_proxy= 10.14.9.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-sha-hmac (Tunnel),
lifedur= 0s and 0kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x22
Aug 17 10:38:10.140: Crypto mapdb : proxy_match
src addr : 172.16.19.0
dst addr : 10.14.9.0
protocol : 0
src port : 0
dst port : 0
Aug 17 10:38:10.168: ISAKMP:(0:1:HW:2): processing NONCE payload. message ID = 4
68270712
Aug 17 10:38:10.168: ISAKMP:(0:1:HW:2): processing KE payload. message ID = 4682
70712
Aug 17 10:38:10.200: ISAKMP:(0:1:HW:2): processing ID payload. message ID = 4682
70712
Aug 17 10:38:10.200: ISAKMP:(0:1:HW:2): processing ID payload. message ID = 4682
70712
Aug 17 10:38:10.200: ISAKMP:(0:1:HW:2): asking for 1 spis from ipsec
Aug 17 10:38:10.200: ISAKMP:(0:1:HW:2):Node 468270712, Input = IKE_MESG_FROM_PEE
R, IKE_QM_EXCH
Aug 17 10:38:10.200: ISAKMP:(0:1:HW:2):Old State = IKE_QM_READY New State = IKE
_QM_SPI_STARVE
Aug 17 10:38:10.200: IPSEC(key_engine): got a queue event with 1 kei messages
Aug 17 10:38:10.200: IPSEC(spi_response): getting spi 434742837 for SA
from 87.103.179.__ to 195.162.38.__ for prot 3
Aug 17 10:38:10.204: ISAKMP: received ke message (2/1)
Aug 17 10:38:10.204: ISAKMP: Locking peer struct 0x82474D20, IPSEC refcount 1 fo
r for stuff_ke
Aug 17 10:38:10.204: ISAKMP:(0:1:HW:2): Creating IPSec SAs
Aug 17 10:38:10.204: inbound SA from 195.162.38.__ to 87.103.179.__ (f/
i) 0/ 0
(proxy 10.14.9.0 to 172.16.19.0)
Aug 17 10:38:10.204: has spi 0x19E9A635 and conn_id 0 and flags 23
Aug 17 10:38:10.208: lifetime of 3600 seconds
Aug 17 10:38:10.208: lifetime of 4608000 kilobytes
Aug 17 10:38:10.208: has client flags 0x0
Aug 17 10:38:10.208: outbound SA from 87.103.179.__ to 195.162.38.__ (f
/i) 0/0
(proxy 172.16.19.0 to 10.14.9.0)
Aug 17 10:38:10.208: has spi 2012559701 and conn_id 0 and flags 2B
Aug 17 10:38:10.208: lifetime of 3600 seconds
Aug 17 10:38:10.208: lifetime of 4608000 kilobytes
Aug 17 10:38:10.208: has client flags 0x0
Aug 17 10:38:10.208: IPSEC(key_engine): got a queue event with 2 kei messages
Aug 17 10:38:10.208: IPSEC(initialize_sas): ,
(key eng. msg.) INBOUND local= 87.103.179.__, remote= 195.162.38.__,
local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4),
remote_proxy= 10.14.9.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-sha-hmac (Tunnel),
lifedur= 3600s and 4608000kb,
spi= 0x19E9A635(434742837), conn_id= 0, keysize= 0, flags= 0x23
Aug 17 10:38:10.208: IPSEC(initialize_sas): ,
(key eng. msg.) OUTBOUND local= 87.103.179.__, remote= 195.162.38.__,
local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4),
remote_proxy= 10.14.9.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-sha-hmac (Tunnel),
lifedur= 3600s and 4608000kb,
spi= 0x77F53955(2012559701), conn_id= 0, keysize= 0, flags= 0x2B
Aug 17 10:38:10.208: Crypto mapdb : proxy_match
src addr : 172.16.19.0
dst addr : 10.14.9.0
protocol : 0
src port : 0
dst port : 0
Aug 17 10:38:10.212: IPSEC(crypto_ipsec_sa_find_ident_head): reconnecting with t
he same proxies and 130.87.250.76
Aug 17 10:38:10.212: IPSec: Flow_switching Allocated flow for sibling 80000002
Aug 17 10:38:10.212: IPSEC(policy_db_add_ident): src 172.16.19.0, dest 10.14.9.0
, dest_port 0Aug 17 10:38:10.212: IPSEC(create_sa): sa created,
(sa) sa_dest= 87.103.179.___, sa_proto= 50,
sa_spi= 0x19E9A635(434742837),
sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 2001
Aug 17 10:38:10.212: IPSEC(create_sa): sa created,
(sa) sa_dest= 195.162.38.70, sa_proto= 50,
sa_spi= 0x77F53955(2012559701),
sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 2002
Aug 17 10:38:10.212: ISAKMP:(0:1:HW:2): sending packet to 195.162.38.70 my_port
500 peer_port 500 (R) QM_IDLE
Aug 17 10:38:10.216: ISAKMP:(0:1:HW:2):Node 468270712, Input = IKE_MESG_FROM_IPS
EC, IKE_SPI_REPLY
Aug 17 10:38:10.216: ISAKMP:(0:1:HW:2):Old State = IKE_QM_SPI_STARVE New State
= IKE_QM_R_QM2
Aug 17 10:38:10.284: ISAKMP (0:268435457): received packet from 195.162.38.__ dp
ort 500 sport 500 Global (R) QM_IDLE
Aug 17 10:38:10.288: ISAKMP:(0:1:HW:2):deleting node 468270712 error FALSE reaso
n "QM done (await)"
Aug 17 10:38:10.288: ISAKMP:(0:1:HW:2):Node 468270712, Input = IKE_MESG_FROM_PEE
R, IKE_QM_EXCH
Aug 17 10:38:10.288: ISAKMP:(0:1:HW:2):Old State = IKE_QM_R_QM2 New State = IKE
_QM_PHASE2_COMPLETE
Aug 17 10:38:10.288: IPSEC(key_engine): got a queue event with 1 kei messages
Aug 17 10:38:10.288: IPSEC(key_engine_enable_outbound): rec'd enable notify from
ISAKMP
Aug 17 10:38:10.288: IPSEC(key_engine_enable_outbound): enable SA with spi 20125
59701/50
Aug 17 10:39:00.274: ISAKMP:(0:1:HW:2):purging node 468270712
poltavlka#terminal monitor
% Console already monitors
poltavlka#
poltavlka#
poltavlka#
poltavlka#
poltavlka#
poltavlka#debug crypto isakmp
Crypto ISAKMP debugging is on
poltavlka#debug crypto ipsec
Crypto IPSEC debugging is on
poltavlka#sh cryptoses de
^
% Invalid input detected at '^' marker.poltavlka#sh crypto ses de
Crypto session current statusCode: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, X - IKE Extended AuthenticationInterface: Dialer1
Session status: UP-ACTIVE
Peer: 195.162.38.70 port 500 fvrf: (none) ivrf: (none)
Phase1_id: 195.162.38.70
Desc: (none)
IKE SA: local 87.103.179.__/500 remote 195.162.38.__/500 Active
Capabilities:(none) connid:268435457 lifetime:23:43:20
IPSEC FLOW: permit ip 172.16.19.0/255.255.255.0 172.16.29.0/255.255.255.0
Active SAs: 0, origin: crypto map
Inbound: #pkts dec'ed 0 drop 0 life (KB/Sec) 0/0
Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 0/0
IPSEC FLOW: permit ip 172.16.19.0/255.255.255.0 10.14.9.0/255.255.255.0
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 39 drop 0 life (KB/Sec) 4574926/2600
Outbound: #pkts enc'ed 318 drop 0 life (KB/Sec) 4574962/2600
IPSEC FLOW: permit ip 172.16.19.0/255.255.255.0 172.16.29.0/255.255.255.0
Active SAs: 0, origin: crypto map
Inbound: #pkts dec'ed 0 drop 0 life (KB/Sec) 0/0
Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 0/0
IPSEC FLOW: permit ip 172.16.19.0/255.255.255.0 10.14.9.0/255.255.255.0
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 39 drop 0 life (KB/Sec) 4574926/2600
Outbound: #pkts enc'ed 318 drop 0 life (KB/Sec) 4574962/2600
Так туннельный интерфейс убрал или оставил?можно и так, и так, конечно, делать
я предпочитаю без туннелей
два аксес-листа - на крипто-мэпе и на интерфейсе
на интерфейсе разрешаешь трафик из удаленной сети
access-list 101 permit ip та_сеть эта_сеть
на мэпе наоборот разрешаешь в удаленную сеть
access-list 102 permit ip эта_сеть та_сеть
ну и наконец выбрасываешь удаленную сеть из ната
access-list NAT deny ip эта_сеть та сеть
access-list NAT permit ip эта_сеть any
>Так туннельный интерфейс убрал или оставил?
>
>можно и так, и так, конечно, делать
>
>я предпочитаю без туннелей
>
>два аксес-листа - на крипто-мэпе и на интерфейсе
>
>на интерфейсе разрешаешь трафик из удаленной сети
>
>access-list 101 permit ip та_сеть эта_сеть
>
>на мэпе наоборот разрешаешь в удаленную сеть
>
>access-list 102 permit ip эта_сеть та_сеть
>
>ну и наконец выбрасываешь удаленную сеть из ната
>
>access-list NAT deny ip эта_сеть та сеть
>access-list NAT permit ip эта_сеть any
Ребят вобщем уже голову свернули. Вобщем вот какой щас конфиг
no ip domain lookup
ip domain name poltavka.local
ip name-server 195.162._._
vpdn enable
!
vpdn-group pppoe
request-dialin
protocol pppoe
!
no ftp-server write-enable
!
!
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key q1w2e3r4 address 87.103.179.__
crypto isakmp key p0o9i8 address 195.162.38.__ 255.255.255.0
!
!
crypto ipsec transform-set dep esp-3des esp-sha-hmac
!
crypto map dep 100 ipsec-isakmp
set peer 195.162.38.__
set transform-set dep
match address 101
reverse-route
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
!
interface ATM0.1 point-to-point
pvc 0/35
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
no ip address
no cdp enable
!
interface FastEthernet1
no ip address
no cdp enable
!
interface FastEthernet2
no ip address
no cdp enable
!
interface FastEthernet3
no ip address
no cdp enable
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 172.16.19.100 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Dialer1
ip address 87.103.179.__ 255.255.255.0
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp authentication pap callin
ppp pap sent-username ___ password ___
crypto map dep
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
ip nat inside source list 100 interface Dialer1 overload
!
access-list 100 deny ip 172.16.19.0 0.0.0.255 10.14.9.0 0.0.0.255
access-list 100 permit ip 172.16.19.0 0.0.0.255 any
access-list 101 permit ip 172.16.19.0 0.0.0.255 10.14.9.0 0.0.0.255
no cdp run
!
control-plane
!
!
line con 0
no modem enable
transport preferred all
transport output all
line aux 0
transport preferred all
transport output all
line vty 0 4
privilege level 15
transport preferred all
transport input telnet ssh
transport output all
!
scheduler max-task-time 5000
ntp clock-period 17175079
ntp master 3
ntp server 80.240.__ prefer
end
Значит исакампу говорим шифруем используя MD5 а используем SHA - не порядок ;))
[quote]
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
[/quote]Вот как надо:
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
lifetime 10000трансформ сет остается таким же
crypto ipsec transform-set dep esp-3des esp-sha-hmac
>Значит исакампу говорим шифруем используя MD5 а используем SHA - не порядок
>;))
>[quote]
>crypto isakmp policy 1
>encr 3des
>hash md5
>authentication pre-share
>group 2
>[/quote]
>
>Вот как надо:
>crypto isakmp policy 10
> encr 3des
> authentication pre-share
> group 2
> lifetime 10000
>
>трансформ сет остается таким же
>crypto ipsec transform-set dep esp-3des esp-sha-hmacстранно но почему же другие несколько офисов подключены и работаю с таким шифрованием
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2а моя 877 хоть убей не хочет может из за разной трассировки?
>>Значит исакампу говорим шифруем используя MD5 а используем SHA - не порядок
>>;))
>>[quote]
>>crypto isakmp policy 1
>>encr 3des
>>hash md5
>>authentication pre-share
>>group 2
>>[/quote]
>>
>>Вот как надо:
>>crypto isakmp policy 10
>> encr 3des
>> authentication pre-share
>> group 2
>> lifetime 10000
>>
>>трансформ сет остается таким же
>>crypto ipsec transform-set dep esp-3des esp-sha-hmac
>
>странно но почему же другие несколько офисов подключены и работаю с таким
>шифрованием
>crypto isakmp policy 1
>encr 3des
>hash md5
>authentication pre-share
>group 2
>
>а моя 877 хоть убей не хочет может из за разной трассировки?
>
Aug 18 08:53:09.268: IPSEC(sa_request): ,
(key eng. msg.) OUTBOUND local= 87.103.179.178, remote= 195.162.38.70,
local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4),
remote_proxy= 10.14.9.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac (Tunnel),
lifedur= 3600s and 4608000kb,
spi= 0x7035A841(1882564673), conn_id= 0, keysize= 0, flags= 0x400A
Aug 18 08:53:09.268: ISAKMP: local port 500, remote port 500
Aug 18 08:53:09.268: ISAKMP: set new node 0 to QM_IDLE
Aug 18 08:53:09.268: insert sa successfully sa = 81DFCDE4
Aug 18 08:53:09.268: ISAKMP:(0:0:N/A:0):Can not start Aggressive mode, trying Ma
in mode.
Aug 18 08:53:09.268: ISAKMP:(0:0:N/A:0):found peer pre-shared key matching 195.1
62.38.70
Aug 18 08:53:09.272: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-07 ID
Aug 18 08:53:09.272: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-03 ID
Aug 18 08:53:09.272: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-02 ID
Aug 18 08:53:09.272: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_IPSEC, IKE_SA_REQ_
MM
Aug 18 08:53:09.272: ISAKMP:(0:0:N/A:0):Old State = IKE_READY New State = IKE_I
_MM1Aug 18 08:53:09.272: ISAKMP:(0:0:N/A:0): beginning Main Mode exchange
Aug 18 08:53:09.272: ISAKMP:(0:0:N/A:0): sending packet to 195.162.38.70 my_port
500 peer_port 500 (I) MM_NO_STATE
Aug 18 08:53:09.332: ISAKMP (0:0): received packet from 195.162.38.70 dport 500
sport 500 Global (I) MM_NO_STATE
Aug 18 08:53:09.332: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Aug 18 08:53:09.332: ISAKMP:(0:0:N/A:0):Old State = IKE_I_MM1 New State = IKE_I
_MM2Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0): processing SA payload. message ID = 0
Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0): processing vendor id payload
Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 157
mismatch
Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0): vendor ID is NAT-T v3
Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0):found peer pre-shared key matching 195.1
62.38.70
Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0): local preshared key found
Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 1 against prio
rity 10 policy
Aug 18 08:53:09.336: ISAKMP: encryption DES-CBC
Aug 18 08:53:09.336: ISAKMP: hash SHA
Aug 18 08:53:09.336: ISAKMP: default group 1
Aug 18 08:53:09.336: ISAKMP: auth RSA sig
Aug 18 08:53:09.336: ISAKMP: life type in seconds
Aug 18 08:53:09.336: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0):Encryption algorithm offered does not ma
tch policy!
Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0):atts are not acceptable. Next payload is
0
Aug 18 08:53:09.336: ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 1 against prio
rity 65535 policy
Aug 18 08:53:09.336: ISAKMP: encryption DES-CBC
Aug 18 08:53:09.336: ISAKMP: hash SHA
Aug 18 08:53:09.336: ISAKMP: default group 1
Aug 18 08:53:09.336: ISAKMP: auth RSA sig
Aug 18 08:53:09.336: ISAKMP: life type in seconds
Aug 18 08:53:09.336: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
Aug 18 08:53:09.340: ISAKMP:(0:0:N/A:0):atts are acceptable. Next payload is 0
Aug 18 08:53:09.352: ISAKMP:(0:1:HW:2): processing vendor id payload
Aug 18 08:53:09.352: ISAKMP:(0:1:HW:2): vendor ID seems Unity/DPD but major 157
mismatch
Aug 18 08:53:09.356: ISAKMP:(0:1:HW:2): vendor ID is NAT-T v3
Aug 18 08:53:09.356: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MA
IN_MODE
Aug 18 08:53:09.356: ISAKMP:(0:1:HW:2):Old State = IKE_I_MM2 New State = IKE_I_
MM2Aug 18 08:53:09.356: ISAKMP:(0:1:HW:2): sending packet to 195.162.38.70 my_port
500 peer_port 500 (I) MM_SA_SETUP
Aug 18 08:53:09.356: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_CO
MPLETE
Aug 18 08:53:09.356: ISAKMP:(0:1:HW:2):Old State = IKE_I_MM2 New State = IKE_I_
MM3Aug 18 08:53:09.416: ISAKMP (0:268435457): received packet from 195.162.38.70 dp
ort 500 sport 500 Global (I) MM_SA_SETUP
Aug 18 08:53:09.420: ISAKMP:(0:1:HW:2):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Aug 18 08:53:09.420: ISAKMP:(0:1:HW:2):Old State = IKE_I_MM3 New State = IKE_I_
MM4Aug 18 08:53:09.420: ISAKMP:(0:1:HW:2): processing KE payload. message ID = 0
Aug 18 08:53:09.432: ISAKMP:(0:1:HW:2): processing NONCE payload. message ID = 0Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2):SKEYID state generated
Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2): processing CERT_REQ payload. message ID
= 0
Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2): peer wants an unknown cert, abort.
Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2): processing vendor id payload
Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2): vendor ID is DPD
Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2): processing vendor id payload
Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2): speaking to another IOS box!
Aug 18 08:53:09.436: ISAKMP:received payload type 20
Aug 18 08:53:09.436: ISAKMP:received payload type 20
Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MA
IN_MODE
Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2):Old State = IKE_I_MM4 New State = IKE_I_
MM4Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2):Send initial contact
Aug 18 08:53:09.436: ISAKMP:(0:1:HW:2):Unable to get router cert or routerdoes n
ot have a cert: needed to find DN!
Aug 18 08:53:09.440: ISAKMP:(0:1:HW:2):SA is doing RSA signature authentication
using id type ID_IPV4_ADDR
Aug 18 08:53:09.440: ISAKMP (0:268435457): ID payload
next-payload : 6
type : 1
address : 87.103.179.178
protocol : 17
port : 500
length : 12
Aug 18 08:53:09.440: ISAKMP:(0:1:HW:2):Total payload length: 12
Aug 18 08:53:09.440: ISAKMP:(0:1:HW:2): no valid cert found to return
Aug 18 08:53:09.440: ISAKMP: set new node -294688449 to QM_IDLE
Aug 18 08:53:09.440: ISAKMP:(0:1:HW:2):Sending NOTIFY CERTIFICATE_UNAVAILABLE pr
otocol 1
spi 0, message ID = -294688449
Aug 18 08:53:09.440: ISAKMP:(0:1:HW:2): sending packet to 195.162.38.70 my_port
500 peer_port 500 (I) MM_KEY_EXCH
Aug 18 08:53:09.440: ISAKMP:(0:1:HW:2):purging node -294688449
Aug 18 08:53:09.440: ISAKMP (0:268435457): FSM action returned error: 2
Aug 18 08:53:09.444: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_CO
MPLETE
Aug 18 08:53:09.444: ISAKMP:(0:1:HW:2):Old State = IKE_I_MM4 New State = IKE_I_
MM5Aug 18 08:53:19.417: ISAKMP (0:268435457): received packet from 195.162.38.70 dp
ort 500 sport 500 Global (I) MM_KEY_EXCH
Aug 18 08:53:19.417: ISAKMP:(0:1:HW:2): phase 1 packet is a duplicate of a previ
ous packet.
Aug 18 08:53:19.417: ISAKMP:(0:1:HW:2): retransmitting due to retransmit phase 1Aug 18 08:53:19.417: ISAKMP:(0:1:HW:2): retransmitting phase 1 MM_KEY_EXCH...
Aug 18 08:53:19.917: ISAKMP:(0:1:HW:2): retransmitting phase 1 MM_KEY_EXCH...
Aug 18 08:53:19.917: ISAKMP:(0:1:HW:2):incrementing error counter on sa: retrans
mit phase 1
Aug 18 08:53:19.917: ISAKMP:(0:1:HW:2): no outgoing phase 1 packet to retransmit
. MM_KEY_EXCH
Aug 18 08:53:29.415: ISAKMP (0:268435457): received packet from 195.162.38.70 dp
ort 500 sport 500 Global (I) MM_KEY_EXCH
Aug 18 08:53:29.419: ISAKMP:(0:1:HW:2): phase 1 packet is a duplicate of a previ
ous packet.
Aug 18 08:53:29.419: ISAKMP:(0:1:HW:2): retransmitting due to retransmit phase 1Aug 18 08:53:29.419: ISAKMP:(0:1:HW:2): retransmitting phase 1 MM_KEY_EXCH...
Aug 18 08:53:29.919: ISAKMP:(0:1:HW:2): retransmitting phase 1 MM_KEY_EXCH...
Aug 18 08:53:29.919: ISAKMP:(0:1:HW:2):incrementing error counter on sa: retrans
mit phase 1
Aug 18 08:53:29.919: ISAKMP:(0:1:HW:2): no outgoing phase 1 packet to retransmit
. MM_KEY_EXCH
Aug 18 08:53:39.260: IPSEC(key_engine): request timer fired: count = 1,
(identity) local= 87.103.179.178, remote= 195.162.38.70,
local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4),
remote_proxy= 10.14.9.0/255.255.255.0/0/0 (type=4)
Aug 18 08:53:39.260: IPSEC(sa_request): ,
(key eng. msg.) OUTBOUND local= 87.103.179.178, remote= 195.162.38.70,
local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4),
remote_proxy= 10.14.9.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-md5-hmac (Tunnel),
lifedur= 3600s and 4608000kb,
spi= 0xCB91FC89(3415342217), conn_id= 0, keysize= 0, flags= 0x400A
Aug 18 08:53:39.260: ISAKMP: set new node 0 to QM_IDLE
Aug 18 08:53:39.260: ISAKMP:(0:1:HW:2):SA is still budding. Attached new ipsec r
equest to it. (local 87.103.179.178, remote 195.162.38.70)
Aug 18 08:53:39.416: ISAKMP (0:268435457): received packet from 195.162.38.70 dp
ort 500 sport 500 Global (I) MM_KEY_EXCH
Aug 18 08:53:39.416: ISAKMP:(0:1:HW:2): phase 1 packet is a duplicate of a previ
ous packet.
Aug 18 08:53:39.416: ISAKMP:(0:1:HW:2): retransmitting due to retransmit phase 1Aug 18 08:53:39.420: ISAKMP:(0:1:HW:2): retransmitting phase 1 MM_KEY_EXCH...
Aug 18 08:53:39.924: ISAKMP:(0:1:HW:2): retransmitting phase 1 MM_KEY_EXCH...
Aug 18 08:53:39.924: ISAKMP:(0:1:HW:2):incrementing error counter on sa: retrans
mit phase 1
Aug 18 08:53:39.924: ISAKMP:(0:1:HW:2): no outgoing phase 1 packet to retransmit
. MM_KEY_EXCH
Aug 18 08:53:49.417: ISAKMP (0:268435457): received packet from 195.162.38.70 dp
ort 500 sport 500 Global (I) MM_KEY_EXCH
Aug 18 08:53:49.417: ISAKMP:(0:1:HW:2): phase 1 packet is a duplicate of a previ
ous packet.
Aug 18 08:53:49.417: ISAKMP:(0:1:HW:2): retransmitting due to retransmit phase 1Aug 18 08:53:49.417: ISAKMP:(0:1:HW:2): retransmitting phase 1 MM_KEY_EXCH...
Aug 18 08:53:49.917: ISAKMP:(0:1:HW:2): retransmitting phase 1 MM_KEY_EXCH...
Aug 18 08:53:49.917: ISAKMP:(0:1:HW:2):incrementing error counter on sa: retrans
mit phase 1
Aug 18 08:53:49.917: ISAKMP:(0:1:HW:2): no outgoing phase 1 packet to retransmit
. MM_KEY_EXCH
Aug 18 08:54:09.252: IPSEC(key_engine): request timer fired: count = 2,
(identity) local= 87.103.179.178, remote= 195.162.38.70,
local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4),
remote_proxy= 10.14.9.0/255.255.255.0/0/0 (type=4)
Aug 18 08:54:09.252: ISAKMP:(0:1:HW:2):peer does not do paranoid keepalives.Aug 18 08:54:09.252: ISAKMP:(0:1:HW:2):deleting SA reason "P1 delete notify (in)
" state (I) MM_KEY_EXCH (peer 195.162.38.70)
Aug 18 08:54:09.252: ISAKMP:(0:1:HW:2):deleting SA reason "P1 delete notify (in)
" state (I) MM_KEY_EXCH (peer 195.162.38.70)
" state (I) MM_KEY_EXCH (peer 195.162.38.70)
on "IKE deleted"
Aug 18 08:54:09.252: ISAKMP:(0:1:HW:2):deleting node 1723400177 error FALSE reas
on "IKE deleted"
Aug 18 08:54:09.252: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DELAug 18 08:54:09.252: ISAKMP:(0:1:HW:2):Old State = IKE_I_MM5 New State = IKE_DE
ST_SA
Попробуй связаться с своим провайдером.В некоторых случаях возможно, что причина неработоспособности твоего VPN именно в нём.
>Попробуй связаться с своим провайдером.
>
>В некоторых случаях возможно, что причина неработоспособности твоего VPN именно в нём.
>
Связавшись с провайдером выяснил что все таки должно все работать. Есть ли еще какие варианты? может все таки имеет смысл сделать через gre тунель? Если можно подскажите как это организовать.
>>Попробуй связаться с своим провайдером.
>>
>>В некоторых случаях возможно, что причина неработоспособности твоего VPN именно в нём.
>>
>
>
>Связавшись с провайдером выяснил что все таки должно все работать. Есть ли
>еще какие варианты? может все таки имеет смысл сделать через gre
>тунель? Если можно подскажите как это организовать.
А покажите пожалуйста конфиг рабочий с которого вы списываете конфигурацию?
>>>Попробуй связаться с своим провайдером.
>>>
>>>В некоторых случаях возможно, что причина неработоспособности твоего VPN именно в нём.
>>>
>>
>>
>>Связавшись с провайдером выяснил что все таки должно все работать. Есть ли
>>еще какие варианты? может все таки имеет смысл сделать через gre
>>тунель? Если можно подскажите как это организовать.
>
>
>А покажите пожалуйста конфиг рабочий с которого вы списываете конфигурацию?Вобщем выкладываю полный конфиг
Сдругой стороны соответственно тоже шифрование и такие же правила
Сам уже сдался с настройкой .....:(aaa authentication attempts login 5
aaa session-id common
ip subnet-zero
ip cef
!
!
no ip domain lookup
ip domain name poltavka.local
ip name-server 195.162.___
vpdn enable
!
vpdn-group pppoe
request-dialin
protocol pppoe
!
no ftp-server write-enable
!
!
!
!
!
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
crypto isakmp key _________ 87.103._______
crypto isakmp key ________ 195.162.________
!
!
crypto ipsec transform-set vpn esp-3des esp-md5-hmac
!
crypto map vpn 100 ipsec-isakmp
set peer 195.162._____
set transform-set vpn
match address 101
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
!
interface ATM0.1 point-to-point
pvc 0/35
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
no ip address
no cdp enable
!
interface FastEthernet1
no ip address
no cdp enable
!
interface FastEthernet2
no ip address
no cdp enable
!
interface FastEthernet3
no ip address
no cdp enable
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 172.16._______ 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Dialer1
ip address 87.103.________ 255.255.255.0
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp authentication pap callin
ppp pap sent-username ________ e password 0 __________
crypto map vpn
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 10.14.9.0 255.255.255.0 Dialer1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
ip nat inside source list 100 interface Dialer1 overload
!
access-list 100 deny ip 172.16.19.0 0.0.0.255 10.14.9.0 0.0.0.255
access-list 100 permit ip 172.16.19.0 0.0.0.255 any
access-list 101 permit ip 172.16.19.0 0.0.0.255 10.14.9.0 0.0.0.255
no cdp run
!
control-plane
!
!
line con 0
no modem enable
transport preferred all
transport output all
line aux 0
transport preferred all
transport output all
line vty 0 4
privilege level 15
transport preferred all
transport input telnet ssh
transport output all
!
scheduler max-task-time 5000
ntp clock-period 17175069
ntp master 3
ntp server 80.240.___1 prefer
end
Все правильно кроме:crypto map vpn 100 ipsec-isakmp
set peer 195.162._____
set transform-set vpn
match address 101interface Dialer1
ip address 87.103.________ 255.255.255.0
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp authentication pap callin
ppp pap sent-username ________ e password 0 __________
crypto map depfin
^^^^^^^
//ЧТО ЗА КРИПТОМАП ТАКОЙ??? В ТВОЕМ КОНФИГЕ ОН НЕ ОПИСАН!У тебя есть crypto map vpn вот его и подставляй
>Все правильно кроме:
>
>crypto map vpn 100 ipsec-isakmp
> set peer 195.162._____
> set transform-set vpn
> match address 101
>
>interface Dialer1
> ip address 87.103.________ 255.255.255.0
> ip mtu 1492
> ip nat outside
> ip virtual-reassembly
> encapsulation ppp
> dialer pool 1
> ppp authentication pap callin
> ppp pap sent-username ________ e password 0 __________
> crypto map depfin
>
>^^^^^^^
>//ЧТО ЗА КРИПТОМАП ТАКОЙ??? В ТВОЕМ КОНФИГЕ ОН НЕ ОПИСАН!
>
>У тебя есть crypto map vpn вот его и подставляйя извеняюсь там стоит не crypto map depfin а crypto map vpn эт я не правильно конфу скинул
и все равно не работает
>>Все правильно кроме:
>>
>>crypto map vpn 100 ipsec-isakmp
>> set peer 195.162._____
>> set transform-set vpn
>> match address 101
>>
>>interface Dialer1
>> ip address 87.103.________ 255.255.255.0
>> ip mtu 1492
>> ip nat outside
>> ip virtual-reassembly
>> encapsulation ppp
>> dialer pool 1
>> ppp authentication pap callin
>> ppp pap sent-username ________ e password 0 __________
>> crypto map depfin
>>
>>^^^^^^^
>>//ЧТО ЗА КРИПТОМАП ТАКОЙ??? В ТВОЕМ КОНФИГЕ ОН НЕ ОПИСАН!
>>
>>У тебя есть crypto map vpn вот его и подставляй
>
>я извеняюсь там стоит не crypto map depfin а crypto map vpn
>эт я не правильно конфу скинул
>и все равно не работает
покажите актуальные конфиги, относящиеся к тунелям и дебаги
debug crypto isakmp
debug crypto ipsec
>>>Все правильно кроме:
>>>
>>>crypto map vpn 100 ipsec-isakmp
>>> set peer 195.162._____
>>> set transform-set vpn
>>> match address 101
>>>
>>>interface Dialer1
>>> ip address 87.103.________ 255.255.255.0
>>> ip mtu 1492
>>> ip nat outside
>>> ip virtual-reassembly
>>> encapsulation ppp
>>> dialer pool 1
>>> ppp authentication pap callin
>>> ppp pap sent-username ________ e password 0 __________
>>> crypto map depfin
>>>
>>>^^^^^^^
>>>//ЧТО ЗА КРИПТОМАП ТАКОЙ??? В ТВОЕМ КОНФИГЕ ОН НЕ ОПИСАН!
>>>
>>>У тебя есть crypto map vpn вот его и подставляй
>>
>>я извеняюсь там стоит не crypto map depfin а crypto map vpn
>>эт я не правильно конфу скинул
>>и все равно не работает
>покажите актуальные конфиги, относящиеся к тунелям и дебаги
>debug crypto isakmp
>debug crypto ipsecИтак конфиг 1-й циски
Building configuration...vpdn-group pppoe
request-dialin
protocol pppoe
!
no ftp-server write-enable
!
!
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key 111 address 87.103.х.х
!
!
crypto ipsec transform-set vpn esp-3des esp-sha-hmac
!
crypto map vpn 100 ipsec-isakmp
set peer 87.103.x.x
set transform-set vpn
match address 101
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
!
interface ATM0.1 point-to-point
pvc 0/35
pppoe-client dial-pool-number 1
!
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 172.16.19._ 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Dialer1
ip address 87.103.y.y 255.255.255.0
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp authentication pap callin
ppp pap sent-username ___password __
crypto map vpn
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
ip nat translation max-entries 10
ip nat inside source list 100 interface Dialer1 overload
!
access-list 100 deny ip 172.16.19.0 0.0.0.255 172.16.29.0 0.0.0.255
access-list 100 permit ip 172.16.19.0 0.0.0.255 any
access-list 101 permit ip 172.16.19.0 0.0.0.255 172.16.29.0 0.0.0.255
no cdp run
!
КОНФА ВТОРОЙ ЦИСКИ
!
vpdn-group pppoe
request-dialin
protocol pppoe
!
no ftp-server write-enable
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2crypto isakmp key 111 address 87.103.y.y
!
!
crypto ipsec transform-set vpn esp-3des esp-sha-hmac
!
crypto map vpn 100 ipsec-isakmp
set peer 87.103.y.y
set transform-set vpn
match address 101
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
!
interface ATM0.1 point-to-point
pvc 0/35
pppoe-client dial-pool-number 1
!
!interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 172.16.29.2 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp authentication pap callin
ppp pap sent-username _______ password ________
crypto map vpn
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
ip nat inside source list 100 interface Dialer1 overload
!
access-list 100 deny ip 172.16.29.0 0.0.0.255 172.16.19.0 0.0.0.255
access-list 100 permit ip 172.16.29.0 0.0.0.255 any
access-list 101 permit ip 172.16.29.0 0.0.0.255 172.16.19.0 0.0.0.255
no cdp run
!
control-plane
!
!
Вобщем изменил ситуацию канал поднят но сетки не видныcrypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key 123 address 87.103.1.1 (с другой стороны 87.103.2.2)
!
!
crypto ipsec transform-set depfin esp-3des esp-sha-hmac
crypto ipsec df-bit clear
!
crypto map depfin 100 ipsec-isakmp
set peer 87.103.1.1 (с другой стороны 87.103.2.2)
set transform-set depfin
match address 101(ай пи адреса изменены)
Aug 23 03:23:02.554: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has
invalid spi for
destaddr=87.103.179.178, prot=50, spi=0x88A7F2CC(2292708044), srcaddr=87
.103.179.117
Aug 23 03:23:02.554: ISAKMP: received ke message (3/1)
Aug 23 03:23:02.554: ISAKMP: ignoring request to send delete notify (no ISAKMP s
a) src 87.103.179.2 dst 87.103.179.1 for SPI 0x88A7F2CC
Aug 23 03:23:08.569: ISAKMP: received ke message (3/1)
Aug 23 03:23:08.569: ISAKMP: ignoring request to send delete notify (no ISAKMP s
Aug 23 03:23:08.569: ISAKMP: ignoring request to send delete notify (no ISAKMP s
Aug 23 03:23:15.987: ISAKMP: received ke message (3/1)
Aug 23 03:23:15.987: ISAKMP: ignoring request to send delete notify (no ISAKMP s
a) src 87.103.179.2 dst 87.103.179.1 for SPI 0x88A7F2CC
Aug 23 03:23:22.029: ISAKMP: received ke message (3/1)
Aug 23 03:23:22.029: ISAKMP: ignoring request to send delete notify (no ISAKMP s
a) src 87.103.179.2 dst 87.103.179.1 for SPI 0x88A7F2CC
Aug 23 03:23:33.994: ISAKMP: received ke message (3/1)
Aug 23 03:23:33.994: ISAKMP: ignoring request to send delete notify (no ISAKMP s
a) src 87.103.179.2 dst 87.103.179.1 for SPI 0x88A7F2CC
Aug 23 03:23:43.043: ISAKMP: received ke message (3/1)
Aug 23 03:23:43.043: ISAKMP: ignoring request to send delete notify (no ISAKMP s
a) src 87.103.179.2 dst 87.103.179.1 for SPI 0x88A7F2CC
Aug 23 03:23:55.016: ISAKMP: received ke message (3/1)
Aug 23 03:23:55.016: ISAKMP: ignoring request to send delete notify (no ISAKMP s
a) src 87.103.179.2 dst 87.103.179.117 for SPI 0x88A7F2CC
Aug 23 03:24:04.065: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has
invalid spi for
destaddr=87.103.179.2, prot=50, spi=0x88A7F2CC(2292708044), srcaddr=87
.103.179.117
Aug 23 03:24:04.069: ISAKMP: received ke message (3/1)
Aug 23 03:24:04.069: ISAKMP: ignoring request to send delete notify (no ISAKMP s
a) src 87.103.179.2 dst 87.103.179.1 for SPI 0x88A7F2CC
Aug 23 03:24:17.897: ISAKMP: Looking for a matching key for 87.103.179.1 in de
fault
И вот еще че пишитAug 23 04:31:34.675: ISAKMP (0:0): received packet from 87.103.179.117 dport 500
sport 500 Global (N) NEW SA
Aug 23 04:31:34.675: ISAKMP: Created a peer struct for 87.103.179.117, peer port
500
Aug 23 04:31:34.675: ISAKMP: Locking peer struct 0x81DE746C, IKE refcount 1 for
crypto_isakmp_process_block
Aug 23 04:31:34.679: ISAKMP: local port 500, remote port 500
Aug 23 04:31:34.679: insert sa successfully sa = 81D9AAE0
Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0):Old State = IKE_READY New State = IKE_R
_MM1Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): processing SA payload. message ID = 0
Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): processing vendor id payload
Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 245
mismatch
Aug 23 04:31:34.679: ISAKMP (0:0): vendor ID is NAT-T v7
Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): processing vendor id payload
Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 157
mismatch
Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): vendor ID is NAT-T v3
Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): processing vendor id payload
Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): vendor ID seems Unity/DPD but major 123
mismatch
Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): vendor ID is NAT-T v2
Aug 23 04:31:34.679: ISAKMP: Looking for a matching key for 87.103.179.117 in de
fault : success
Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0):found peer pre-shared key matching 87.10
3.179.117
Aug 23 04:31:34.679: ISAKMP:(0:0:N/A:0): local preshared key found
Aug 23 04:31:34.683: ISAKMP : Scanning profiles for xauth ...
Aug 23 04:31:34.683: ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 1 against prio
rity 10 policy
Aug 23 04:31:34.683: ISAKMP: encryption 3DES-CBC
Aug 23 04:31:34.683: ISAKMP: hash SHA
Aug 23 04:31:34.683: ISAKMP: default group 2
Aug 23 04:31:34.683: ISAKMP: auth pre-share
Aug 23 04:31:34.683: ISAKMP: life type in seconds
Aug 23 04:31:34.683: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
Aug 23 04:31:34.683: ISAKMP:(0:0:N/A:0):atts are acceptable. Next payload is 3
Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): processing vendor id payload
Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): vendor ID seems Unity/DPD but major 245
mismatch
Aug 23 04:31:34.715: ISAKMP (0:268435457): vendor ID is NAT-T v7
Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): processing vendor id payload
Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): vendor ID seems Unity/DPD but major 157
mismatch
Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): vendor ID is NAT-T v3
Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): processing vendor id payload
Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): vendor ID seems Unity/DPD but major 123
mismatch
Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): vendor ID is NAT-T v2
Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MA
IN_MODE
Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM1 New State = IKE_R_
MM1Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): constructed NAT-T vendor-07 ID
Aug 23 04:31:34.715: ISAKMP:(0:1:HW:2): sending packet to 87.103.179.117 my_port
500 peer_port 500 (R) MM_SA_SETUP
Aug 23 04:31:34.719: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_CO
MPLETE
Aug 23 04:31:34.719: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM1 New State = IKE_R_
MM2Aug 23 04:31:34.839: ISAKMP (0:268435457): received packet from 87.103.179.117 d
port 500 sport 500 Global (R) MM_SA_SETUP
Aug 23 04:31:34.839: ISAKMP:(0:1:HW:2):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Aug 23 04:31:34.839: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM2 New State = IKE_R_
MM3Aug 23 04:31:34.839: ISAKMP:(0:1:HW:2): processing KE payload. message ID = 0
Aug 23 04:31:34.867: ISAKMP:(0:1:HW:2): processing NONCE payload. message ID = 0Aug 23 04:31:34.871: ISAKMP: Looking for a matching key for 87.103.179.117 in de
fault : success
Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2):found peer pre-shared key matching 87.103
.179.117
Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2):SKEYID state generated
Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2): processing vendor id payload
Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2): vendor ID is Unity
Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2): processing vendor id payload
Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2): vendor ID is DPD
Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2): processing vendor id payload
Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2): speaking to another IOS box!
Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MA
IN_MODE
Aug 23 04:31:34.871: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM3 New State = IKE_R_
MM3Aug 23 04:31:34.875: ISAKMP:(0:1:HW:2): sending packet to 87.103.179.117 my_port
500 peer_port 500 (R) MM_KEY_EXCH
Aug 23 04:31:34.875: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_CO
MPLETE
Aug 23 04:31:34.875: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM3 New State = IKE_R_
MM4Aug 23 04:31:34.995: ISAKMP (0:268435457): received packet from 87.103.179.117 d
port 500 sport 500 Global (R) MM_KEY_EXCH
Aug 23 04:31:34.995: ISAKMP:(0:1:HW:2):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Aug 23 04:31:34.995: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM4 New State = IKE_R_
MM5Aug 23 04:31:34.995: ISAKMP:(0:1:HW:2): processing ID payload. message ID = 0
Aug 23 04:31:34.999: ISAKMP (0:268435457): ID payload
next-payload : 8
type : 1
address : 87.103.179.117
protocol : 17
port : 500
length : 12
Aug 23 04:31:34.999: ISAKMP:(0:1:HW:2):: peer matches *none* of the profiles
Aug 23 04:31:34.999: ISAKMP:(0:1:HW:2): processing HASH payload. message ID = 0
Aug 23 04:31:34.999: ISAKMP:(0:1:HW:2): processing NOTIFY INITIAL_CONTACT protoc
ol 1
spi 0, message ID = 0, sa = 81D9AAE0
Aug 23 04:31:34.999: ISAKMP:(0:1:HW:2):SA authentication status:
authenticated
Aug 23 04:31:34.999: ISAKMP:(0:1:HW:2): Process initial contact,
bring down existing phase 1 and 2 SA's with local 87.103.179.178 remote 87.103.1
79.117 remote port 500
Aug 23 04:31:34.999: ISAKMP:(0:1:HW:2):SA authentication status:
authenticated
Aug 23 04:31:34.999: ISAKMP:(0:1:HW:2):SA has been authenticated with 87.103.179
.117
Aug 23 04:31:34.999: ISAKMP: Trying to insert a peer 87.103.179.178/87.103.179.1
17/500/, and inserted successfully 81DE746C.
Aug 23 04:31:34.999: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MA
IN_MODE
Aug 23 04:31:34.999: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM5 New State = IKE_R_
MM5Aug 23 04:31:34.999: IPSEC(key_engine): got a queue event with 1 kei messages
Aug 23 04:31:35.003: ISAKMP:(0:1:HW:2):SA is doing pre-shared key authentication
using id type ID_IPV4_ADDR
Aug 23 04:31:35.003: ISAKMP (0:268435457): ID payload
next-payload : 8
type : 1
address : 87.103.179.178
protocol : 17
port : 500
length : 12
Aug 23 04:31:35.003: ISAKMP:(0:1:HW:2):Total payload length: 12
Aug 23 04:31:35.003: ISAKMP:(0:1:HW:2): sending packet to 87.103.179.117 my_port
500 peer_port 500 (R) MM_KEY_EXCH
Aug 23 04:31:35.003: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PROCESS_CO
MPLETE
Aug 23 04:31:35.007: ISAKMP:(0:1:HW:2):Old State = IKE_R_MM5 New State = IKE_P1
_COMPLETEAug 23 04:31:35.007: ISAKMP:(0:1:HW:2):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COM
PLETE
Aug 23 04:31:35.007: ISAKMP:(0:1:HW:2):Old State = IKE_P1_COMPLETE New State =
IKE_P1_COMPLETEAug 23 04:31:35.095: ISAKMP (0:268435457): received packet from 87.103.179.117 d
port 500 sport 500 Global (R) QM_IDLE
Aug 23 04:31:35.095: ISAKMP: set new node -825314852 to QM_IDLE
Aug 23 04:31:35.099: ISAKMP:(0:1:HW:2): processing HASH payload. message ID = -8
25314852
Aug 23 04:31:35.099: ISAKMP:(0:1:HW:2): processing SA payload. message ID = -825
314852
Aug 23 04:31:35.099: ISAKMP:(0:1:HW:2):Checking IPSec proposal 1
Aug 23 04:31:35.099: ISAKMP: transform 1, ESP_3DES
Aug 23 04:31:35.099: ISAKMP: attributes in transform:
Aug 23 04:31:35.099: ISAKMP: encaps is 1 (Tunnel)
Aug 23 04:31:35.099: ISAKMP: SA life type in seconds
Aug 23 04:31:35.099: ISAKMP: SA life duration (basic) of 3600
Aug 23 04:31:35.099: ISAKMP: SA life type in kilobytes
Aug 23 04:31:35.099: ISAKMP: SA life duration (VPI) of 0x0 0x46 0x50 0x0
Aug 23 04:31:35.099: ISAKMP: authenticator is HMAC-SHA
Aug 23 04:31:35.099: ISAKMP:(0:1:HW:2):atts are acceptable.
Aug 23 04:31:35.099: IPSEC(validate_proposal_request): proposal part #1,
(key eng. msg.) INBOUND local= 87.103.179.178, remote= 87.103.179.117,
local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4),
remote_proxy= 172.16.29.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-sha-hmac (Tunnel),
lifedur= 0s and 0kb,
spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x2
Aug 23 04:31:35.099: Crypto mapdb : proxy_match
src addr : 172.16.19.0
dst addr : 172.16.29.0
protocol : 0
src port : 0
dst port : 0
Aug 23 04:31:35.103: ISAKMP:(0:1:HW:2): processing NONCE payload. message ID = -
825314852
Aug 23 04:31:35.103: ISAKMP:(0:1:HW:2): processing ID payload. message ID = -825
314852
Aug 23 04:31:35.103: ISAKMP:(0:1:HW:2): processing ID payload. message ID = -825
314852
Aug 23 04:31:35.103: ISAKMP:(0:1:HW:2): asking for 1 spis from ipsec
Aug 23 04:31:35.103: ISAKMP:(0:1:HW:2):Node -825314852, Input = IKE_MESG_FROM_PE
ER, IKE_QM_EXCH
Aug 23 04:31:35.103: ISAKMP:(0:1:HW:2):Old State = IKE_QM_READY New State = IKE
_QM_SPI_STARVE
Aug 23 04:31:35.103: IPSEC(key_engine): got a queue event with 1 kei messages
Aug 23 04:31:35.103: IPSEC(spi_response): getting spi 4141340935 for SA
from 87.103.179.178 to 87.103.179.117 for prot 3
Aug 23 04:31:35.107: ISAKMP: received ke message (2/1)
Aug 23 04:31:35.107: ISAKMP: Locking peer struct 0x81DE746C, IPSEC refcount 1 fo
r for stuff_ke
Aug 23 04:31:35.107: ISAKMP:(0:1:HW:2): Creating IPSec SAs
Aug 23 04:31:35.107: inbound SA from 87.103.179.117 to 87.103.179.178 (f
/i) 0/ 0
(proxy 172.16.29.0 to 172.16.19.0)
Aug 23 04:31:35.107: has spi 0xF6D7D907 and conn_id 0 and flags 2
Aug 23 04:31:35.107: lifetime of 3600 seconds
Aug 23 04:31:35.107: lifetime of 4608000 kilobytes
Aug 23 04:31:35.111: has client flags 0x0
Aug 23 04:31:35.111: outbound SA from 87.103.179.178 to 87.103.179.117 (
f/i) 0/0
(proxy 172.16.19.0 to 172.16.29.0)
Aug 23 04:31:35.111: has spi 61249941 and conn_id 0 and flags A
Aug 23 04:31:35.111: lifetime of 3600 seconds
Aug 23 04:31:35.111: lifetime of 4608000 kilobytes
Aug 23 04:31:35.111: has client flags 0x0
Aug 23 04:31:35.111: IPSEC(key_engine): got a queue event with 2 kei messages
Aug 23 04:31:35.111: IPSEC(initialize_sas): ,
(key eng. msg.) INBOUND local= 87.103.179.178, remote= 87.103.179.117,
local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4),
remote_proxy= 172.16.29.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-sha-hmac (Tunnel),
lifedur= 3600s and 4608000kb,
spi= 0xF6D7D907(4141340935), conn_id= 0, keysize= 0, flags= 0x2
Aug 23 04:31:35.111: IPSEC(initialize_sas): ,
(key eng. msg.) OUTBOUND local= 87.103.179.178, remote= 87.103.179.117,
local_proxy= 172.16.19.0/255.255.255.0/0/0 (type=4),
remote_proxy= 172.16.29.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-3des esp-sha-hmac (Tunnel),
lifedur= 3600s and 4608000kb,
spi= 0x3A69995(61249941), conn_id= 0, keysize= 0, flags= 0xA
Aug 23 04:31:35.111: Crypto mapdb : proxy_match
src addr : 172.16.19.0
dst addr : 172.16.29.0
protocol : 0
src port : 0
dst port : 0
Aug 23 04:31:35.111: IPSEC(crypto_ipsec_sa_find_ident_head): reconnecting with t
he same proxies and 130.87.2.12
Aug 23 04:31:35.111: IPSec: Flow_switching Allocated flow for sibling 80000002
Aug 23 04:31:35.115: IPSEC(policy_db_add_ident): src 172.16.19.0, dest 172.16.29
.0, dest_port 0Aug 23 04:31:35.115: IPSEC(create_sa): sa created,
(sa) sa_dest= 87.103.179.178, sa_proto= 50,
sa_spi= 0xF6D7D907(4141340935),
sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 2001
Aug 23 04:31:35.115: IPSEC(create_sa): sa created,
(sa) sa_dest= 87.103.179.117, sa_proto= 50,
sa_spi= 0x3A69995(61249941),
sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 2002
Aug 23 04:31:35.115: ISAKMP:(0:1:HW:2): sending packet to 87.103.179.117 my_port
500 peer_port 500 (R) QM_IDLE
Aug 23 04:31:35.115: ISAKMP:(0:1:HW:2):Node -825314852, Input = IKE_MESG_FROM_IP
SEC, IKE_SPI_REPLY
Aug 23 04:31:35.115: ISAKMP:(0:1:HW:2):Old State = IKE_QM_SPI_STARVE New State
= IKE_QM_R_QM2
Aug 23 04:31:35.211: ISAKMP (0:268435457): received packet from 87.103.179.117 d
port 500 sport 500 Global (R) QM_IDLE
Aug 23 04:31:35.215: ISAKMP:(0:1:HW:2):deleting node -825314852 error FALSE reas
on "QM done (await)"
Aug 23 04:31:35.215: ISAKMP:(0:1:HW:2):Node -825314852, Input = IKE_MESG_FROM_PE
ER, IKE_QM_EXCH
Aug 23 04:31:35.215: ISAKMP:(0:1:HW:2):Old State = IKE_QM_R_QM2 New State = IKE
_QM_PHASE2_COMPLETE
Aug 23 04:31:35.215: IPSEC(key_engine): got a queue event with 1 kei messages
Aug 23 04:31:35.215: IPSEC(key_engine_enable_outbound): rec'd enable notify from
ISAKMP
Aug 23 04:31:35.215: IPSEC(key_engine_enable_outbound): enable SA with spi 61249
941/50
Aug 23 04:32:25.201: ISAKMP:(0:1:HW:2):purging node -825314852
OK
покажите sh crypto ipsec sa
и как проверяете что трафик в тунеле не ходит?
>OK
>покажите sh crypto ipsec sa
>
>
>и как проверяете что трафик в тунеле не ходит?другой админ пытается в мою сеть попасть я в его и пингум в обе стороны - ничего....
nterface: Dialer1
Crypto map tag: depfin, local addr 87.103.179.178protected vrf: (none)
local ident (addr/mask/prot/port): (172.16.19.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (172.16.29.0/255.255.255.0/0/0)
current_peer 87.103.179.117 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 47, #pkts decrypt: 47, #pkts verify: 47
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0local crypto endpt.: 87.103.179.178, remote crypto endpt.: 87.103.179.117
path mtu 1492, ip mtu 1492
current outbound spi: 0xCC53FCDB(3428056283)inbound esp sas:
spi: 0x927CEFE(153603838)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2002, flow_id: C87X_MBRD:2, crypto map: depfin
sa timing: remaining key lifetime (k/sec): (4454236/2177)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVEinbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xCC53FCDB(3428056283)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2001, flow_id: C87X_MBRD:1, crypto map: depfin
sa timing: remaining key lifetime (k/sec): (4454237/2176)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVEoutbound ah sas:
outbound pcp sas:
interface: Virtual-Access1
Crypto map tag: depfin, local addr 87.103.179.178protected vrf: (none)
local ident (addr/mask/prot/port): (172.16.19.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (172.16.29.0/255.255.255.0/0/0)
current_peer 87.103.179.117 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 47, #pkts decrypt: 47, #pkts verify: 47
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0local crypto endpt.: 87.103.179.178, remote crypto endpt.: 87.103.179.117
path mtu 1492, ip mtu 1492
current outbound spi: 0xCC53FCDB(3428056283)inbound esp sas:
spi: 0x927CEFE(153603838)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2002, flow_id: C87X_MBRD:2, crypto map: depfin
sa timing: remaining key lifetime (k/sec): (4454236/2173)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVEinbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xCC53FCDB(3428056283)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2001, flow_id: C87X_MBRD:1, crypto map: depfin
sa timing: remaining key lifetime (k/sec): (4454237/2172)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVEoutbound ah sas:
outbound pcp sas:
странно
а если с циски напрямую?
ping 172.16.29.2 so 172.16.19._
и наоборот
?
>странно
>а если с циски напрямую?
>ping 172.16.29.2 so 172.16.19._
>и наоборот
>?
таже ситуэйшен нет ответа :((
>странно
>а если с циски напрямую?
>ping 172.16.29.2 so 172.16.19._
>и наоборот
>?
таже ситуэйшен нет ответа :((
Sending 5, 100-byte ICMP Echos to 172.16.19.26, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)на внешний конечно же идет
ну как ни странно один раз смог пробиться и все на этом
Системы Windows Xp Cisco 877И еще вот что выдает cisco SDM при тестировании тунеля может в этом что то
VPN Troubleshooting Report Details
Router Details
Attribute Value
Router Model 877
Image Name c870-advsecurityk9-mz.123-8.YI2.bin
IOS Version 12.3(8)YI2
Hostname poltavlka
Test Activity SummaryActivity Status
Checking the tunnel status... Up
Test Activity DetailsActivity Status
Checking the tunnel status... Up
Encapsulation :0
Decapsulation :99
Send Error :0
Received Error :0
Troubleshooting Results Failure Reason(s) Recommended Action(s)A ping with data size of this VPN interface MTU size and 'Do not Fragment' bit set to the other end VPN device is failing. This may happen if there is a lesser MTU network which drops the 'Do not fragment' packets. 1)Contact your ISP/Administrator to resolve this issue. 2)Issue the command 'crypto ipsec df-bit clear' under the VPN interface to avoid packets drop due to fragmentation.
очень странно.MTU скорее не при чем, будет проявляться на больших пакетах...
единственно, что могу посоветовать - попробовать построить другую схему
1. организуете GRE-туннель между цисками.
2. делаете защиту GRE-тунеля (после того как все заработает с GRE-туннелем).
>очень странно.
>
>MTU скорее не при чем, будет проявляться на больших пакетах...
>
>
>единственно, что могу посоветовать - попробовать построить другую схему
>1. организуете GRE-туннель между цисками.
>2. делаете защиту GRE-тунеля (после того как все заработает с GRE-туннелем).
Хоршо буду пробывать. Только вот такой нюанс как ни странно с терминала с командной строки ничего не пингуется. Загрузив SDM пакет и встроенным пингом у меня отпингавались адреса удаленной сети ???
>>очень странно.
>>
>>MTU скорее не при чем, будет проявляться на больших пакетах...
>>
>>
>>единственно, что могу посоветовать - попробовать построить другую схему
>>1. организуете GRE-туннель между цисками.
>>2. делаете защиту GRE-тунеля (после того как все заработает с GRE-туннелем).
>
>
>Хоршо буду пробывать. Только вот такой нюанс как ни странно с терминала
>с командной строки ничего не пингуется. Загрузив SDM пакет и встроенным
>пингом у меня отпингавались адреса удаленной сети ???
а как пинговали с командной строки?
>>>очень странно.
>>>
>>>MTU скорее не при чем, будет проявляться на больших пакетах...
>>>
>>>
>>>единственно, что могу посоветовать - попробовать построить другую схему
>>>1. организуете GRE-туннель между цисками.
>>>2. делаете защиту GRE-тунеля (после того как все заработает с GRE-туннелем).
>>
>>
>>Хоршо буду пробывать. Только вот такой нюанс как ни странно с терминала
>>с командной строки ничего не пингуется. Загрузив SDM пакет и встроенным
>>пингом у меня отпингавались адреса удаленной сети ???
>
>
>а как пинговали с командной строки?Я ни чо не могу понять. Теперь ситуация значит такая. Я с другой машины (сервер) все пропинговал все работает и даже открыл ресурс на удаленной тоже только на одной. С моей ничего не пингуется и не открывается и с других. Файрвол и прочее отключено. Далее когда я добавил еще аксскс лист т.е. нужно что бы еще с другой сети ко мне имели доступ снова все пропадает т.е. ничего не открывается хотя пинг по прежнему идет. Ничего не менял просто добавил еще ай пи адреса. Может на моем сервере какой то порт открыт а на других он закрыт? по умолчанию
Ну а вообще это хоть какой то результат я ОЧЕНЬ благодарен за помощь
>>>>очень странно.
>>>>
>>>>MTU скорее не при чем, будет проявляться на больших пакетах...
>>>>
>>>>
>>>>единственно, что могу посоветовать - попробовать построить другую схему
>>>>1. организуете GRE-туннель между цисками.
>>>>2. делаете защиту GRE-тунеля (после того как все заработает с GRE-туннелем).
>>>
>>>
>>>Хоршо буду пробывать. Только вот такой нюанс как ни странно с терминала
>>>с командной строки ничего не пингуется. Загрузив SDM пакет и встроенным
>>>пингом у меня отпингавались адреса удаленной сети ???
>>
>>
>>а как пинговали с командной строки?
>
>Я ни чо не могу понять. Теперь ситуация значит такая. Я с
>другой машины (сервер) все пропинговал все работает и даже открыл ресурс
>на удаленной тоже только на одной. С моей ничего не пингуется
>и не открывается и с других. Файрвол и прочее отключено. Далее
>когда я добавил еще аксскс лист т.е. нужно что бы еще
>с другой сети ко мне имели доступ снова все пропадает т.е.
>ничего не открывается хотя пинг по прежнему идет. Ничего не менял
>просто добавил еще ай пи адреса. Может на моем сервере какой
>то порт открыт а на других он закрыт? по умолчанию
>Ну а вообще это хоть какой то результат я ОЧЕНЬ благодарен за
>помощь1. что добавили
2. как все таки пинговали с консоли?
конфиги обоих железок покажите включая acl и маршруты
>>>>>очень странно.
>>>>>
>>>>>MTU скорее не при чем, будет проявляться на больших пакетах...
>>>>>
>>>>>
>>>>>единственно, что могу посоветовать - попробовать построить другую схему
>>>>>1. организуете GRE-туннель между цисками.
>>>>>2. делаете защиту GRE-тунеля (после того как все заработает с GRE-туннелем).
>>>>
>>>>
>>>>Хоршо буду пробывать. Только вот такой нюанс как ни странно с терминала
>>>>с командной строки ничего не пингуется. Загрузив SDM пакет и встроенным
>>>>пингом у меня отпингавались адреса удаленной сети ???
>>>
>>>
>>>а как пинговали с командной строки?
>>
>>Я ни чо не могу понять. Теперь ситуация значит такая. Я с
>>другой машины (сервер) все пропинговал все работает и даже открыл ресурс
>>на удаленной тоже только на одной. С моей ничего не пингуется
>>и не открывается и с других. Файрвол и прочее отключено. Далее
>>когда я добавил еще аксскс лист т.е. нужно что бы еще
>>с другой сети ко мне имели доступ снова все пропадает т.е.
>>ничего не открывается хотя пинг по прежнему идет. Ничего не менял
>>просто добавил еще ай пи адреса. Может на моем сервере какой
>>то порт открыт а на других он закрыт? по умолчанию
>>Ну а вообще это хоть какой то результат я ОЧЕНЬ благодарен за
>>помощь
>
>1. что добавили
>2. как все таки пинговали с консоли?
извеняюсь что пропал
вобщем проблема была
1.сразу с шифрованием
2.с аксес листом на другой стороне
Конфигурировали циски вдвоем поэтому расхождения.
То что мне рекомендовали заработало.
Пинговал с командной строки.
Вот 100 % рабочий конфиг мож кому пргодиться еще чтоб уже не донимали всех:)
Сделал правда на конкретную машину
Всем огромное Спасибо за помощь
!
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
crypto isakmp key ------ address 195.162.__.__ 255.255.255.0
!
!
crypto ipsec transform-set vpn esp-3des esp-sha-hmac
!
crypto map depfin 100 ipsec-isakmp
set peer 195.162.__.__
set transform-set vpn
set pfs group2
match address 101
!
!
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 172.16.19.100 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Dialer1
ip address 87.103.___.___ 255.255.255.0
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp authentication pap callin
ppp pap sent-username adsl----------- password -----------
crypto map vpn
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
access-list 100 deny ip host 172.16.19.1 10.14.2.0 0.0.0.255
access-list 100 permit ip 172.16.19.0 0.0.0.255 any
access-list 101 permit ip host 172.16.19.1 10.14.2.0 0.0.0.255
no cdp run
!
!
!