https://www.opennet.ru/openforum/vsluhforumID6/1205.html Всем доброго времени суток.<br>Есть проблема с пониманием что делаю не так, разъясните где зарыта истина.<br>Есть тестовая 892 кошка с иосом c890-universalk9-mz.152-4.M5.bin - вроде на сайте циски идет как стабильная. Я , как и многие, столкнулся с кучей типов шифрования.<br>Пока работает только Windows 7, XP и linux не работают.<br>Конфиг в части IPSEC, валится у меня на второй фазе, судя по дебагам.<br>Для XP и Win7 добавил в реестр AssumeUDPEncapsulationContextOnSendRule = 2, так как клиенты за NAT.<br><br>[code]<br>crypto isakmp policy 1<br> encr 3des<br> authentication pre-share<br> group 2<br> lifetime 3600<br>crypto isakmp key test_key address 0.0.0.0 no-xauth<br>crypto isakmp nat keepalive 1800<br>crypto isakmp client configuration address-pool local L2TP<br>!<br>!<br>crypto ipsec transform-set W7 esp-aes esp-sha-hmac <br> mode transport<br>crypto ipsec transform-set XP esp-null esp-md5-hmac (в идеале здесь использовать esp-3des esp-sha-hmac но тоже не работает, так как такая же политика есть ниже)<br> mode transport<br>crypto ipsec t https://www.opennet.ru/openforum/vsluhforumID6/1205.html#3 Wed, 29 Jan 2014 05:54:28 GMT Все проблемы решил.<br><br>Пришлось заливать последний иос что бы избавится от ERROR и вот эту одну опцию добавить...<br><br>crypto ipsec security-association replay disable<br><br>Теперь все три операционки пашут :-)<br> https://www.opennet.ru/openforum/vsluhforumID6/1205.html#2 Tue, 28 Jan 2014 13:00:19 GMT Ещё логи с циски при попытке подключится из линя<br><br>[code]<br><br>Jan 28 16:50:00 cisco 718: Jan 28 12:51:40.419: ISAKMP (2067): received packet from 2.2.2.2 dport 500 sport 500 Global (R) QM_IDLE <br>Jan 28 16:50:00 cisco 719: Jan 28 12:51:40.419: ISAKMP:(2067):deleting node -541694105 error FALSE reason "QM done (await)"<br>Jan 28 16:50:01 cisco 720: Jan 28 12:51:40.419: ISAKMP:(2067):Node 3753273191, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH<br>Jan 28 16:50:01 cisco 721: Jan 28 12:51:40.419: ISAKMP:(2067):Old State = IKE_QM_R_QM2 New State = IKE_QM_PHASE2_COMPLETE<br>Jan 28 16:50:01 cisco 722: Jan 28 12:51:40.419: IPSEC(key_engine): got a queue event with 1 KMI message(s)<br>Jan 28 16:50:01 cisco 723: Jan 28 12:51:40.419: IPSEC(key_engine_enable_outbound): rec'd enable notify from ISAKMP<br>Jan 28 16:50:01 cisco 724: Jan 28 12:51:40.419: IPSEC: Expand action denied, notify RP<br>Jan 28 16:50:07 cisco 725: Jan 28 12:51:46.431: %L2TP-3-ILLEGAL: _____:________: ERROR: remote id returned an invalid l2tp_cc, cc_id = 12606, r https://www.opennet.ru/openforum/vsluhforumID6/1205.html#1 Tue, 28 Jan 2014 11:23:01 GMT Как всегда, читать блин надо внимательно...<br><br>Рабочая конструкция для XP и W7<br><br>[code]<br>crypto isakmp policy 1<br> encr 3des<br> authentication pre-share<br> group 2<br> lifetime 3600<br>crypto isakmp key test_key address 0.0.0.0 no-xauth<br>crypto isakmp nat keepalive 1800<br>crypto isakmp client configuration address-pool local L2TP<br>!<br>!<br>crypto ipsec transform-set W7 esp-aes esp-sha-hmac <br> mode transport<br>crypto ipsec transform-set XP esp-3des esp-sha-hmac <br> mode transport<br>!<br>!<br>crypto dynamic-map DYN 1<br> set nat demux<br> set transform-set W7 XP<br>!<br>!<br>crypto map CRYPTOMAP client configuration address respond<br>crypto map CRYPTOMAP 1 ipsec-isakmp dynamic DYN<br><br>[/code]<br><br>C Linux проблема не ушла :-( Все те же проблемы.<br>