Привет всем,  без ваших мудрых советов думаю мне не обойтись ))
Есть задача поднять IPSEC  между моим Cisco 2801  и win serv2003, опить есть в поднятие туннелей,  но только между цисками, вот мои конфиги на моем Cisco, и на данный момент у меня поднято несколько туннелей которые активны.

rypto map vpn 210 ipsec-isakmp
set peer xxx.xxx.xxx.xxx
set transform-set 3DES-SHA
set pfs group2
match address ACL_OIL

ip access-list extended ACL_OILA
permit ip host xxx.xxx.xxx.xxx host xxx.xxx.xxx.xxx

no crypto isakmp key 123456789 address xxx.xxx.xxx.xxx

crypto isakmp policy 210
encr 3des
authentication pre-share
group 2
!

Заранее благодарен !!!

• IPsec между Cisco 2801 и windows server 2003,Myxa, 12:36 , 17-Мрт-11
  • IPsec между Cisco 2801 и windows server 2003,Muzan, 10:59 , 18-Мрт-11
    • IPsec между Cisco 2801 и windows server 2003,Muzan, 11:08 , 18-Мрт-11
      • IPsec между Cisco 2801 и windows server 2003,Myxa, 12:43 , 18-Мрт-11
        • IPsec между Cisco 2801 и windows server 2003,Muzan, 13:26 , 18-Мрт-11
          • IPsec между Cisco 2801 и windows server 2003,Muzan, 19:04 , 25-Мрт-11

http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...

http://support.microsoft.com/default.aspx?scid=kb;en-us;816514

всегда пожалуйста ))

Спасибо за ссылки, но все равно туннель не заработал, вот что говорят логи с ISA 2003 и также измененный конфиг на моем 2801

Тип события:    Аудит отказов
Источник события:    Security
Категория события:    Вход/выход
Код события:    547
Дата:        18.03.2011
Время:        12:20:41
Пользователь:        NT AUTHORITY\NETWORK SERVICE
Компьютер:    SERVER
Описание:
Не удалось согласовать сопоставление безопасности IKE.
Режим:
Режим обмена ключами (основной режим)

Фильтр:
IP-адрес источника 195.140.ххх.хх
Маска IP-адреса источника 255.255.255.255
IP-адрес назначения 10.241.ххх.ххх
Маска IP-адреса назначения 255.255.255.255
Протокол 0
Порт источника 0
Порт назначения 0
Локальный адрес IKE 195.140.ххх.хх
Адрес партнера IKE 10.241.ххх.ххх
Порт источника IKE 500
Порт назначения IKE 500
Частный адрес партнера

Идентификация:

Точка ошибки:
Я

Причина ошибки:
IKE SA удалено до того, как закончено установление

Дополнительно:
Отправленные первые полезные данные (SA)
Инициатор. Дельта времени 49
0x0 0x0

И вот конфиги с 2801

crypto isakmp policy 211
encr 3des
hash md5
authentication pre-share
group 2
lifetime 28800
!

crypto isakmp key cisco123 address 195.140.ххх.хх

crypto map vpn 211 ipsec-isakmp
set peer 195.140.ххх.хх
set security-association lifetime seconds 28800
set transform-set 3DES-SHA
set pfs group2
match address ACL_OILA

посоветует в чем может быть проблема.

3-18: 12:32:23:328:618 retransmit: sa = 016C5838 centry 00000000 , count = 5
3-18: 12:32:23:328:618
3-18: 12:32:23:328:618 Sending: SA = 0x016C5838 to 10.241.201.ххх:Type 2.500
3-18: 12:32:23:328:618 ISAKMP Header: (V1.0), len = 168
3-18: 12:32:23:328:618   I-COOKIE 65893313e02ac26d
3-18: 12:32:23:328:618   R-COOKIE 0000000000000000
3-18: 12:32:23:328:618   exchange: Oakley Main Mode
3-18: 12:32:23:328:618   flags: 0
3-18: 12:32:23:328:618   next payload: SA
3-18: 12:32:23:328:618   message ID: 00000000
3-18: 12:32:23:328:618 Ports S:f401 D:f401
3-18: 12:32:41:281:9fc SA Dead. sa:016C5838 status:35f0
3-18: 12:32:41:281:9fc isadb_set_status sa:016C5838 centry:00000000 status 35f0
3-18: 12:32:41:281:9fc  Ґ¦Ё¬ ®Ў¬Ґ­  Є«оз ¬Ё (®б­®ў­®© ०Ё¬)
3-18: 12:32:41:281:9fc IP- ¤аҐб Ёбв®з­ЁЄ  195.140.ххх.ххх  Њ бЄ  IP- ¤аҐб  Ёбв®з­ЁЄ  255.255.255.255  IP- ¤аҐб ­ §­ 祭Ёп 10.241.201.ххх  Њ бЄ  IP- ¤аҐб  ­ §­ 祭Ёп 255.255.255.255  Џа®в®Є®« 0  Џ®ав Ёбв®з­ЁЄ  0  Џ®ав ­ §­ 祭Ёп 0  ‹®Є «м­л©  ¤аҐб IKE 195.140.ххх.хх  Ђ¤аҐб Ї ав­Ґа  IKE 10.241.201.ххх  Џ®ав Ёбв®з­ЁЄ  IKE 500  Џ®ав ­ §­ 祭Ёп IKE 500  — бв­л©  ¤аҐб Ї ав­Ґа
3-18: 12:32:41:281:9fc
3-18: 12:32:41:281:9fc џ
3-18: 12:32:41:281:9fc IKE SA г¤ «Ґ­® ¤® в®Ј®, Є Є § Є®­зҐ­® гбв ­®ў«Ґ­ЁҐ
3-18: 12:32:41:281:9fc ЋвЇа ў«Ґ­­лҐ ЇҐаўлҐ Ї®«Ґ§­лҐ ¤ ­­лҐ (SA)  €­ЁжЁ в®а. „Ґ«мв  ўаҐ¬Ґ­Ё 49   0x0 0x0
3-18: 12:32:41:281:9fc constructing ISAKMP Header
3-18: 12:32:41:281:9fc constructing DELETE. MM 016C5838
3-18: 12:32:41:281:9fc
3-18: 12:32:41:281:9fc Sending: SA = 0x016C5838 to 10.241.201.ххх:Type 1.500
3-18: 12:32:41:281:9fc ISAKMP Header: (V1.0), len = 56
3-18: 12:32:41:281:9fc   I-COOKIE 65893313e02ac26d
3-18: 12:32:41:281:9fc   R-COOKIE 0000000000000000
3-18: 12:32:41:281:9fc   exchange: ISAKMP Informational Exchange
3-18: 12:32:41:281:9fc   flags: 0
3-18: 12:32:41:281:9fc   next payload: DELETE
3-18: 12:32:41:281:9fc   message ID: 3d019fd1
3-18: 12:32:41:281:9fc Ports S:f401 D:f401
3-18: 12:32:41:281:9fc ClearFragList
3-18: 12:44:00:531:610 Acquire from driver: op=0000003E src=195.140.ххх.хх.0 dst=109.68.ххх.хх.0 proto = 0, SrcMask=255.255.255.255, DstMask=255.255.255.255, Tunnel 1, TunnelEndpt=10.241.201.ххх Inbound TunnelEndpt=195.140.ххх.хх
3-18: 12:44:00:531:f28 Filter to match: Src 10.241.201.ххх Dst 195.140.ххх.хх
3-18: 12:44:00:531:f28 MM PolicyName: 7
3-18: 12:44:00:531:f28 MMPolicy dwFlags 2 SoftSAExpireTime 28800
3-18: 12:44:00:531:f28 MMOffer[0] LifetimeSec 28800 QMLimit 0 DHGroup 2
3-18: 12:44:00:531:f28 MMOffer[0] Encrypt: ’а®©­®© DES CBC Hash: MD5
3-18: 12:44:00:531:f28 Auth[0]:PresharedKey KeyLen 16
3-18: 12:44:00:531:f28 QM PolicyName: ‘®§¤ ­ЁҐ ¤Ґ©бвўЁп дЁ«мва  dwFlags 1
3-18: 12:44:00:531:f28 QMOffer[0] LifetimeKBytes 0 LifetimeSec 28800
3-18: 12:44:00:531:f28 QMOffer[0] dwFlags 0 dwPFSGroup -2147483648
3-18: 12:44:00:531:f28  Algo[0] Operation: ESP Algo: ’а®©­®© DES CBC HMAC: SHA
3-18: 12:44:00:531:f28 Starting Negotiation: src = 195.140.ххх.хх.0500, dst = 10.241.201.ххх.0500, proto = 00, context = 0000003E, ProxySrc = 195.140.ххх.хх.0000, ProxyDst = 109.68.ххх.хх.0000 SrcMask = 255.255.255.255 DstMask = 255.255.255.255
3-18: 12:44:00:531:f28 constructing ISAKMP Header
3-18: 12:44:00:531:f28 constructing SA (ISAKMP)
3-18: 12:44:00:531:f28 Constructing Vendor MS NT5 ISAKMPOAKLEY
3-18: 12:44:00:531:f28 Constructing Vendor FRAGMENTATION
3-18: 12:44:00:531:f28 Constructing Vendor draft-ietf-ipsec-nat-t-ike-02
3-18: 12:44:00:531:f28 Constructing Vendor Vid-Initial-Contact
3-18: 12:44:00:531:f28
3-18: 12:44:00:531:f28 Sending: SA = 0x016C5838 to 10.241.201.ххх:Type 2.500
3-18: 12:44:00:531:f28 ISAKMP Header: (V1.0), len = 168
3-18: 12:44:00:531:f28   I-COOKIE bf9b4023477e6e33
3-18: 12:44:00:531:f28   R-COOKIE 0000000000000000
3-18: 12:44:00:531:f28   exchange: Oakley Main Mode
3-18: 12:44:00:531:f28   flags: 0
3-18: 12:44:00:531:f28   next payload: SA
3-18: 12:44:00:531:f28   message ID: 00000000
3-18: 12:44:00:531:f28 Ports S:f401 D:f401
3-18: 12:44:01:343:618 retransmit: sa = 016C5838 centry 00000000 , count = 1
3-18: 12:44:01:343:618
3-18: 12:44:01:343:618 Sending: SA = 0x016C5838 to 10.241.201.ххх:Type 2.500
3-18: 12:44:01:343:618 ISAKMP Header: (V1.0), len = 168
3-18: 12:44:01:343:618   I-COOKIE bf9b4023477e6e33
3-18: 12:44:01:343:618   R-COOKIE 0000000000000000
3-18: 12:44:01:343:618   exchange: Oakley Main Mode
3-18: 12:44:01:343:618   flags: 0
3-18: 12:44:01:343:618   next payload: SA
3-18: 12:44:01:343:618   message ID: 00000000
3-18: 12:44:01:343:618 Ports S:f401 D:f401
3-18: 12:44:03:343:618 retransmit: sa = 016C5838 centry 00000000 , count = 2
3-18: 12:44:03:343:618
3-18: 12:44:03:343:618 Sending: SA = 0x016C5838 to 10.241.201.ххх:Type 2.500
3-18: 12:44:03:343:618 ISAKMP Header: (V1.0), len = 168
3-18: 12:44:03:343:618   I-COOKIE bf9b4023477e6e33
3-18: 12:44:03:343:618   R-COOKIE 0000000000000000
3-18: 12:44:03:343:618   exchange: Oakley Main Mode
3-18: 12:44:03:343:618   flags: 0
3-18: 12:44:03:343:618   next payload: SA
3-18: 12:44:03:343:618   message ID: 00000000
3-18: 12:44:03:343:618 Ports S:f401 D:f401
3-18: 12:44:07:343:618 retransmit: sa = 016C5838 centry 00000000 , count = 3
3-18: 12:44:07:343:618
3-18: 12:44:07:343:618 Sending: SA = 0x016C5838 to 10.241.201.ххх:Type 2.500
3-18: 12:44:07:343:618 ISAKMP Header: (V1.0), len = 168
3-18: 12:44:07:343:618   I-COOKIE bf9b4023477e6e33
3-18: 12:44:07:343:618   R-COOKIE 0000000000000000
3-18: 12:44:07:343:618   exchange: Oakley Main Mode
3-18: 12:44:07:343:618   flags: 0
3-18: 12:44:07:343:618   next payload: SA
3-18: 12:44:07:343:618   message ID: 00000000
3-18: 12:44:07:343:618 Ports S:f401 D:f401
3-18: 12:44:15:343:618 retransmit: sa = 016C5838 centry 00000000 , count = 4
3-18: 12:44:15:343:618
3-18: 12:44:15:343:618 Sending: SA = 0x016C5838 to 10.241.201.ххх:Type 2.500
3-18: 12:44:15:343:618 ISAKMP Header: (V1.0), len = 168
3-18: 12:44:15:343:618   I-COOKIE bf9b4023477e6e33
3-18: 12:44:15:343:618   R-COOKIE 0000000000000000
3-18: 12:44:15:343:618   exchange: Oakley Main Mode
3-18: 12:44:15:343:618   flags: 0
3-18: 12:44:15:343:618   next payload: SA
3-18: 12:44:15:343:618   message ID: 00000000
3-18: 12:44:15:343:618 Ports S:f401 D:f401
3-18: 12:44:31:343:618 retransmit: sa = 016C5838 centry 00000000 , count = 5
3-18: 12:44:31:343:618
3-18: 12:44:31:343:618 Sending: SA = 0x016C5838 to 10.241.201.ххх:Type 2.500
3-18: 12:44:31:343:618 ISAKMP Header: (V1.0), len = 168
3-18: 12:44:31:343:618   I-COOKIE bf9b4023477e6e33
3-18: 12:44:31:343:618   R-COOKIE 0000000000000000
3-18: 12:44:31:343:618   exchange: Oakley Main Mode
3-18: 12:44:31:343:618   flags: 0
3-18: 12:44:31:343:618   next payload: SA
3-18: 12:44:31:343:618   message ID: 00000000
3-18: 12:44:31:343:618 Ports S:f401 D:f401

Стоп. Вы делаете подключение средствами ISA или операционной системы?
Сейчас попробовал по IPSec связать Microsoft TMG и 2821 - ничего не получилось. PPTP/L2TP средствами TMG на циску тож не поехало. Средствами Windows 2003 - всё работает.
Майкрософт вообще достаточно вольно относится к RFC, так что ничего удивительного.

все выше указано было сделано на операционной системы, но во сейчас пытаюсь поднимать ISA и попробовать на нем, о результатах отпишусь.

> все выше указано было сделано на операционной системы, но во сейчас пытаюсь
> поднимать ISA и попробовать на нем, о результатах отпишусь.

спасибо, поднял ISA  и на нее все заработало.