Добрый день, есть такая задачка:
GRE туннель объединяет два маршрутизатора, на пути одного из них стоит PIX. Трансляция адреса туннеля внутренниго роутера происходит на PIX-е.
На втором роутере туннель начинается с WAN-овского интерфейса. Все отлично работает, задачка в следующем, необходимо зашифровать туннель, но чтобы трансляция на PIX-е происходила.
У самого не получилось, ассоциации isakmp создаются, ipsec тоже, при получении шифрованного пакета на outside все замечательно расшифровывает и отправляет на интерфейс роутера, туннельный интерфейс отвечает и передает пакет обратно, но вот обратно .... на PIX-е происходит следующее: пакет проверяется ACL crypto map'а и не попадает под интересный трафик т.к. он еще не странслировал адрес роутера, потом он попадает под ACL трансляции и успешно таки транслирует и .... шифровать его уже больше не пытается!!!!!!
пакет успешно долетает до внешнего роутера, но тот, стественно, матерится что пакет не шифрованный!!!
на PIX'e
sysopt connec permit-vpn
no nat-control

Как добиться чтобы сначало происходила трансляция на PIX'е, а после этого он еще и зашифровал трафик???

• Шифрация GRE туннеля через PIX 7.0,burder, 16:20 , 25-Сен-09
  • Шифрация GRE туннеля через PIX 7.0,piterpp, 07:03 , 28-Сен-09

Так вы хотите роутер с пиксом ipsec-ом  подружить?

>Так вы хотите роутер с пиксом ipsec-ом  подружить?

Они прекрасно дружатся если адрес внутреннего роутера, откуда начинается GRE туннель, не транслировать (NAT 0), а если транслировать, то сначало PIX проверяет интересный трафик (ACL into Crypto map), а потом уже транслирует Вот и происходит, что он не шифрует трафик. Всю cisco.com облазил рецепты только для NAT 0.
Либо смериться либо перестроить дизайн :(