URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 12062
[ Назад ]

Исходное сообщение
"динамический site-to-site vpn & cisco1811"
Отправлено uzzzer , 23-Ноя-06 12:52

такая ситуация: имелась сетка с удаленными офисами, построенная на длинках (в основном dfl600 и di804/808). года три работала, затем дфл600 с удручающей регулярностью стали падать (то прошивки слетают, то порты горят). в результате на смену дфл600 прикуплена циска 1811.
(конфигурю ее в основном через SDM)
настраиваю на ней vpn каналы. статические -- без проблем. но у меня еще есть пункты продаж, часть из которых подключена через что попало и имеют динамические адреса. вот такие-то каналы и не получается создать. параметры ike и ipsec не меняю на статических и дин каналах, т.ч. дело не в этом.
при поднятии канала между dfl600 и di804 присутствовала такая особенность: специальным образом заполняются peer id и peer id type. в dfl600 (со стат адресом): строковое значение, например, TEST, в di804: remote id -- stat_ip, local id -- TEST. TEST -- это идентификатор канала, заведенного на дфл600 для дин клиентов.
с циской как-то не так. аналога Tunnel name (который TEST) нету. ну или не знаю, наверное.
если на di804 не заполнять в параметрах тоннеля local и remote id, или заполнять какими-нить ip, внешние, внутренние, пофиг вроде (кстати, между просто di804 их можно и не заполнять, само все срастается), то проходит успешно первая фаза согласования (isakmp), а вот на второй говорит:
peer address aaa.bbb.ccc.ddd not found, тут aaa.bbb.ccc.ddd -- адрес с которого di804 выходит
IPSec policy invalidated proposal with error 64
phase 2 SA policy not acceptable!
и усе
если подставить remote и local id соответственно стат адрес и какую-нить фонарную строку (ну, имя канала в di804, имя DYNAMAP в циске, опять же далее пофиг), то опять проходит фаза 1, потом циска понимает что к ней ломятся с вышеуказанной сторокой, TEST (FQDN name TEST), но потом идут:
retransmitting due to retransmit phase 1
и так 5 раз потом облом
в лога у di804 то же самое: фаза 1 проходит, потом идут повторы, потом все разваливается.
рад бы выложить логи пополнее, но не могу: наблюдаю их в SDM, который на java, а из тамошнего окошка не могу сдернуть. а набить ручками стока не в состоянии
на cisco.com пока ничего толком не нашел
куда податься?

Содержание

динамический site-to-site vpn & cisco1811,silencer, 17:09 , 23-Ноя-06

Сообщения в этом обсуждении

"динамический site-to-site vpn & cisco1811"
Отправлено silencer , 23-Ноя-06 17:09

Посмотри тут:
http://www.opennet.me/openforum/vsluhforumID6/12063.html
Только keyring сделай такой:
crypto keyring VPNSpokes
pre-shared-key address 0.0.0.0 0.0.0.0 key xxxxxxxxxxx