Доброго времени суток.
Ситуация следующая:
сторона А - cisco 2811 (выделенная линия, статический IP)
сторона Б - cisco 1841 (PPPoE-сессия, IP-постоянный(2.2.2.2) , прилетает по DHCP)
между ними был поднят IPSEC-GRE тунель. Все работало прекрасно.
На стороне А поменяли провайдера. Вместо выделенной линии теперь имеем тоже PPPoE сессию (IP 1.1.1.1).
Поменял настройки в обоих конфигах. Инет есть, GRE-тунель есть и работает, но когда подключаешь на интерфейсы dialer - crypto map - связи нет.
Не пойму где засада.конфиг 2811:
crypto isakmp policy 200
encr aes 256
authentication pre-share
group 2
lifetime 7200
crypto isakmp key ****** address 2.2.2.2
!
!
crypto ipsec transform-set ts-aes-sha esp-aes 256 esp-sha-hmac
!
!
!
crypto map cr_outside 10 ipsec-isakmp
set peer 2.2.2.2
set transform-set ts-aes-sha
match address 110
!
interface Tunnel1
ip address 192.168.68.1 255.255.255.0
ip access-group firewall-spdn in
ip mtu 1400
tunnel source Dialer0
tunnel destination 2.2.2.2
!
interface Dialer0
ip address negotiated
ip access-group firewall in
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer idle-timeout 0
dialer persistent
dialer-group 1
no cdp enable
ppp authentication chap callin
ppp chap hostname РРРРРРРРРРР
ppp chap password SSSSSSSSSSS
crypto map cr_outside
!
ip access-list extended firewall
permit tcp any eq domain any
permit udp any eq domain any
permit esp host 2.2.2.2 host 1.1.1.1
permit gre host 2.2.2.2 host 1.1.1.1
permit udp host 2.2.2.2 eq isakmp host 1.1.1.1
permit icmp any any
permit udp any eq ntp any eq ntp
permit tcp any any eq 1723
permit tcp any any eq 443
permit udp any any eq 443
permit tcp any any eq 4090
permit tcp any any eq 8080
permit udp any any eq 8080
permit udp any any eq 4090
permit tcp any any eq 33333
permit udp any any eq 33333
deny ip any any
!
access-list 110 permit gre host 1.1.1.1 host 2.2.2.2конфиг 1841:
!
crypto isakmp policy 200
encr aes 256
authentication pre-share
group 2
lifetime 7200
crypto isakmp key ****** address 1.1.1.1
!
!
crypto ipsec transform-set ts-aes-sha esp-aes 256 esp-sha-hmac
!
crypto map cr_outside 10 ipsec-isakmp
set peer 1.1.1.1
set transform-set ts-aes-sha
match address 110
!
interface Tunnel2
ip address 192.168.68.2 255.255.255.0
ip mtu 1400
tunnel source Dialer0
tunnel destination 1.1.1.1
!
interface Dialer0
ip address negotiated
ip access-group firewall in
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer idle-timeout 0
dialer persistent
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username USER password 7 3135135135213213521
crypto map cr_outside
!
ip access-list extended firewall
permit tcp any eq domain any
permit udp any eq domain any
permit gre host 1.1.1.1 host 2.2.2.2
permit udp host 1.1.1.1 eq isakmp host 2.2.2.2
permit esp host 1.1.1.1 host 2.2.2.2
permit icmp any any
permit udp any eq ntp any eq ntp
deny ip any any
!
access-list 110 permit gre host 2.2.2.2 host 1.1.1.1
логи:
2811
#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
2.2.2.2 1.1.1.1 MM_NO_STATE 0 0 ACTIVE
2.2.2.2 1.1.1.1 MM_NO_STATE 0 0 ACTIVE (deleted)1841
#sh crypto isakmp sa
dst src state conn-id slot status
1.1.1.1 2.2.2.2 MM_NO_STATE 0 0 ACTIVE
1.1.1.1 2.2.2.2 MM_NO_STATE 0 0 ACTIVE (deleted)
2.2.2.2 1.1.1.1 MM_SA_SETUP 8 0 ACTIVE
2.2.2.2 1.1.1.1 MM_NO_STATE 7 0 ACTIVE (deleted)
Убери на время все "лишнее".Например ip access-group firewall in
и дебаг включи
> Убери на время все "лишнее".
> Например ip access-group firewall in
> и дебаг включистранно, но это помогло)
убрал на 2811 на Dialer0
ip access-group firewall inи сразу же заработало, причем тут же добавил эту строчку обратно и все по прежнему работает.
Мистика какая-то.Спасибо за подсказку.
>> Убери на время все "лишнее".
>> Например ip access-group firewall in
>> и дебаг включи
> странно, но это помогло)
> убрал на 2811 на Dialer0
> ip access-group firewall in
> и сразу же заработало, причем тут же добавил эту строчку обратно и
> все по прежнему работает.
> Мистика какая-то.
> Спасибо за подсказку.А ты сделай clear cry isakmp , и наверное опять ничего работать не будет!
>[оверквотинг удален]
>>> и дебаг включи
>> странно, но это помогло)
>> убрал на 2811 на Dialer0
>> ip access-group firewall in
>> и сразу же заработало, причем тут же добавил эту строчку обратно и
>> все по прежнему работает.
>> Мистика какая-то.
>> Спасибо за подсказку.
> А ты сделай clear cry isakmp , и наверное опять ничего работать
> не будет!нашел свою ошибку. В ACL firewall неверно написал ip-адрес, поменял местами 2 цифры внутри и не заметил.
Все работает). Всем спасибо.