Имеем
Cisco 851 isa 2004
Туннель. Работает с циски пингую локальный адрес ISA, но не пингую дальше. Из сети за циско не пингую вообще ничего.
Из сети за ISA пинги не идут, а с сервака на котором стоит ISA дело обстоит так:
Код
Превышен интервал ожидания для запроса.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
Согласование используемого уровня безопастности IP.
.......
Согласование используемого уровня безопастности IP.Кто нить сталкивался?
Статус туннеля в циске гласит что тунель is OK.
Что может значяить это согласование?
>[оверквотинг удален]
>.......
>Согласование используемого уровня безопастности IP.
>
>
>
>Кто нить сталкивался?
>
>Статус туннеля в циске гласит что тунель is OK.
>
>Что может значяить это согласование?Cisco:
crypto isakmp policy 1
authentication pre-share
group 2
lifetime 28800
crypto isakmp key КЛЮЧЕВОЕ СЛОВО address ВНЕШНИЙ АДРЕС ISA no-xauth
!
crypto ipsec transform-set set1 esp-3des esp-sha-hmac
mode transport
!
crypto map map1 1 ipsec-isakmp
description test tunnel
set peer ВНЕШНИЙ АДРЕС ISA
set transform-set set1
match address 144
!
interface FastEthernet4
.....
crypto map map1
!
access-list 144 permit ip 10.0.0.0 0.0.0.255 192.168.0.0 0.0.0.255
!
!чтобы трафик адресованный в тонель не натился:
!
access-list 115 permit ip 10.0.0.0 0.0.0.255 any
access-list 115 deny ip 10.0.0.0 0.0.0.255 192.168.0.0 0.0.0.255
route-map mainroute permit 1
match ip address 115
Теперь с ISA
Vpn>>Remote Site>>AddGenrela:
имя: test1
Address:
start address: 10.0.0.1
end address: 10.0.0.255
Connection:
remote gateway
Внешний адрес ciscolocal gateway
Внутренний адрес ISAаутентификация pre-share
IpSec Summary:
Local Tunnel Endpoint: 192.168.0.167
Remote Tunnel Endpoint: 89.*.*.67 (внешний циски)To allow HTTP proxy or NAT traffic to the remote site,
the remote site configuration must contain the local
site tunnel end-point IP address.IKE Phase I Parameters:
Mode: Main mode
Encryption: 3DES
Integrity: SHA1
Diffie-Hellman group: Group 2 (1024 bit)
Authentication method: Pre-shared secret (СЛОВО)
Security Association lifetime: 28800 secondsIKE Phase II Parameters:
Mode: ESP tunnel mode
Encryption: 3DES
Integrity: SHA1
Perfect Forward Secrecy: ON
Diffie-Hellman group: Group 2 (1024 bit)
Time rekeying: OFF
Kbyte rekeying: OFFRemote Network 'plg' IP Subnets:
Subnet: 10.0.0.0/255.255.255.0Local Network 'Internal' IP Subnets:
Subnet: 192.168.0.0/255.255.255.0Local Network 'VPN Clients' IP Subnets:
Subnet: 192.168.1.220/255.255.255.255
Subnet: 192.168.1.216/255.255.255.252
Subnet: 192.168.1.200/255.255.255.248
Subnet: 192.168.1.208/255.255.255.248
Далее в NetWorks
Делаю роутинг между удалённой сеткой и локальной (между 10,0,0,0/24 и 192,168,0,0/24)
Не пашет.
Вообще не пашет. никак не пашет.
>[оверквотинг удален]
>Subnet: 192.168.1.200/255.255.255.248
>Subnet: 192.168.1.208/255.255.255.248
>
>
>Далее в NetWorks
>Делаю роутинг между удалённой сеткой и локальной (между 10,0,0,0/24 и 192,168,0,0/24)
>
>
>Не пашет.
>Вообще не пашет. никак не пашет.А разве ISA может по IPSec разговаривать с Cisco нормально? - IMHO, решение преобрести железку Cisco.
>[оверквотинг удален]
>>
>>Далее в NetWorks
>>Делаю роутинг между удалённой сеткой и локальной (между 10,0,0,0/24 и 192,168,0,0/24)
>>
>>
>>Не пашет.
>>Вообще не пашет. никак не пашет.
>
>А разве ISA может по IPSec разговаривать с Cisco нормально? - IMHO,
>решение преобрести железку Cisco.ISA может соединиться и нормально говорить с Cisco-ой. Есть только разница втом, в качестве кого будет использоваться İSA- в качестве клиентской стороны или серверной. В качестве клиентской стороны вполне можно использовать.