https://www.opennet.ru/openforum/vsluhforumID6/14426.html Никак не могу настроить ВПН между D-Link и Cisco 2811. Все делаю так как написано вот здесь: http://www.dlink.ru/technical/faq_vpn_4.php.<br>Но что то мешает построению туннеля.<br>Вот конфиг Циски<br><br>crypto isakmp policy 14<br> encr 3des<br> hash md5<br> authentication pre-share<br> group 2<br><br>crypto isakmp key 141414 address 195.151.х.х<br><br>crypto ipsec transform-set samara esp-3des<br><br>crypto map nolan 140 ipsec-isakmp<br> description VPN To SAMARA<br> set peer 195.151.х.х<br> set security-association lifetime seconds 28800<br> set transform-set samara<br> set pfs group2<br> match address 150<br><br>access-list 150 remark "****To SAMARA***"<br>access-list 150 permit tcp any 192.168.3.0 0.0.0.255<br>access-list 150 permit tcp 192.168.3.0 0.0.0.255 any<br><br>interface FastEthernet0/1.1<br> crypto map nolan<br><br>Конфиг Длинка, даже и не знаю. Скриншоты разве только. :-)<br><br><br>Вот еще дебаг циски:<br>debug crypto isakmp<br><br>*Sep 12 20:08:43.091: ISAKMP (0:1058): received packet from 195.151.х.х dport 500 sport 500 Global (R) QM_IDLE<br>*Sep 12 20:08:43.0 https://www.opennet.ru/openforum/vsluhforumID6/14426.html#6 Wed, 26 Sep 2007 05:43:16 GMT Уважаемый коллега!<br>Вот что хотел сказать - проблема в том, что этот D-Link не умеет правильно сбрасывать существующий конфиг. Это возможно только после полного обнуления устройства (factory settings). Обнаружил это при просмотре лога на самом длинке. Там он пишет что пытается установить политику используя DH Group1 - хотя нигде первая группа не используется, она использовалась на старом конфиге. После долгих мучений я решил, да и хрен с ней, пусть будет первая группа и прописал на циске дополнительный crypto isakmp policy с первой группой. И вроде все заработало. Так что либо "уступите" этому D-linkу либо сбросьте его в ноль и начинайте все по новой.<br> https://www.opennet.ru/openforum/vsluhforumID6/14426.html#5 Wed, 26 Sep 2007 01:33:07 GMT Какое совпадение. Я тоже настраиваю такие же роутеры и получил ту же самую ошибку.<br><br><br>037148: Sep 26 10:26:29.982 IRKST: ISAKMP:(4441):Checking IPSec proposal 1<br>037149: Sep 26 10:26:29.982 IRKST: ISAKMP: transform 1, ESP_3DES<br>037150: Sep 26 10:26:29.982 IRKST: ISAKMP: attributes in transform:<br>037151: Sep 26 10:26:29.982 IRKST: ISAKMP: authenticator is HMAC-MD5<br>037152: Sep 26 10:26:29.982 IRKST: ISAKMP: encaps is 1 (Tunnel)<br>037153: Sep 26 10:26:29.982 IRKST: ISAKMP: group is 2<br>037154: Sep 26 10:26:29.982 IRKST: ISAKMP: SA life type in seconds<br>037155: Sep 26 10:26:29.982 IRKST: ISAKMP: SA life duration (VPI) of 0x0 0x0 0x1 0x2C <br>037156: Sep 26 10:26:29.982 IRKST: ISAKMP:(4441):atts are acceptable.<br>037157: Sep 26 10:26:29.982 IRKST: IPSEC(validate_proposal_request): proposal part #1<br>037158: Sep 26 10:26:29.982 IRKST: IPSEC(validate_proposal_request): proposal part #1,<br> (key eng. msg.) INBOUND local= x.x.77, remote= x.x.x.54, <br> local_proxy= 172.16.5.0/255.255.255.0/0/ https://www.opennet.ru/openforum/vsluhforumID6/14426.html#4 Fri, 14 Sep 2007 06:09:53 GMT да и ещё лучше наверно подпавить<br>access-list 150 permit IP any 192.168.3.0 0.0.0.255 <br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/14426.html#3 Fri, 14 Sep 2007 06:06:50 GMT &gt;Да, дальняя сеть (сеть д-линка) 192.168.3.0 <br>&gt;Если я уберу <br>&gt;access-list 150 permit tcp any 192.168.3.0 0.0.0.255 <br>&gt;то как циска узнает какой трафик направлять в туннель? <br>&gt;Будет же получаться вот что - туннель будет строиться но трафик там <br>&gt;ходить не будет <br><br>Да я ошибся, надо убрать <br>access-list 150 permit tcp 192.168.3.0 0.0.0.255 any<br><br> https://www.opennet.ru/openforum/vsluhforumID6/14426.html#2 Thu, 13 Sep 2007 08:30:03 GMT Да, дальняя сеть (сеть д-линка) 192.168.3.0<br>Если я уберу <br>access-list 150 permit tcp any 192.168.3.0 0.0.0.255<br>то как циска узнает какой трафик направлять в туннель?<br>Будет же получаться вот что - туннель будет строиться но трафик там ходить не будет<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/14426.html#1 Thu, 13 Sep 2007 07:59:16 GMT если дальняя сеть 192.168.3.0 то<br>для начала убери <br>access-list 150 permit tcp any 192.168.3.0 0.0.0.255<br>а со стороны длинка должно стоять локал сабнет 192.168.3.0 и ремоте сабнет совпадающяя с твоей локалкой. Остальное должно быть одинаково.<br><br>