Народ, нужно поднять тунель с маршрутизатором стоящим где-то в сети, с интерфейса который смотрит в инет. Проблема в том что в локалке стоит черный ящик (читай впн-роутер), который строит тунель через этот же интерфейс. Так вот, как только цепляю криптомапу на внешний int тунель внутреннего ящика рушится. При чем хитро - у него перестают ходить обновления RIP (там он свою сетку строит полностью независящую от меня. Я для него - просто транспорт). Т.е. если тунель уже был построен - все воркает. Как только тунель рухнул или пересобрался или еще какой-то инцидент - эта марахайка внутренняя отпадает напрочь. Снимаю криптомапу - все начинает работать. По логу вижу что циска реджектит ipsec пакеты с пира этой марахайки. Но какого черта, ведь они не попадают под криптомапу которая висит на интерфейсе???
Короче, идеи есть как можно это разрулить? Может иосн адо обновить? У меня уже старенький.
Бордер над которым я издеваюсь 3825, Cisco IOS Software, 3800 Software (C3825-ADVENTERPRISEK9-M), Version 12.4(18), RELEASE SOFTWARE (fc1)
Адрес "марахайки" в Crypto ACL отсутствует?
> Адрес "марахайки" в Crypto ACL отсутствует?Отсутствует.
>> Адрес "марахайки" в Crypto ACL отсутствует?
> Отсутствует.Трансляция адресов?
>>> Адрес "марахайки" в Crypto ACL отсутствует?
>> Отсутствует.
> Трансляция адресов?присутствует
>> Трансляция адресов?
> присутствуетТ.е. ipsec для "марахайки" всё-тки приходит на цискин адрес и транслируется?
>>> Трансляция адресов?
>> присутствует
> Т.е. ipsec для "марахайки" всё-тки приходит на цискин адрес и транслируется?Да. Там статик нат. И тунель может построиться только из нашей сетки - снаружи не строится.
>>>> Трансляция адресов?
>>> присутствует
>> Т.е. ipsec для "марахайки" всё-тки приходит на цискин адрес и транслируется?
> Да. Там статик нат. И тунель может построиться только из нашей сетки
> - снаружи не строится.а Вы на физический порт вешаете crypto-map?
Настройки acl для nat и своего crypto-map покажите. ip "марахайки" какой?