https://opennet.ru/openforum/vsluhforumID6/15329.html Организовал ipsec между двумя удаленными офисами (cisco1841). Но есть проблема... Пинги идут между хостами удаленных локалок, но с рутеров не могу пинговать удаленные LAN-ы. <br>Что я сделал не так?<br><br>Пример <br><br>Router1<br> !<br>crypto isakmp policy 1<br> hash md5<br> authentication pre-share<br>crypto isakmp key 6 xxxxx address x.x.x.x<br><br>crypto ipsec transform-set xxxxx esp-des esp-md5-hmac <br>crypto map xxxx 1 ipsec-isakmp <br> set peer x.x.x.x<br> set transform-set xxxxx <br> match address ACEESS (named)<br>///////////////////////////////////<br>ip access-list extended ACCESS<br>permit ip host (ip внешнего интерфейса Router1) network (удаленная LAN) <br>permit ip network (удаленная LAN) host (ip внешнего интерфейса Router1)<br>permit ip network (локальная LAN) network (удаленная LAN)<br>permit ip network (удаленная LAN) network (локальная LAN)<br><br>Router2 Аналогичный конфиг.<br>Не могу пинговать с Ruter1 удаленный LAN хотя из локалки можно...???<br> <br><br> https://opennet.ru/openforum/vsluhforumID6/15329.html#6 Sun, 27 Jan 2008 20:54:49 GMT &gt;&gt; локальной LAN. Я удаленно не могу скопировать config на локальный tftp <br>&gt;<br>&gt;т.е. вы хотите хотите слить конфиг с цыски? вот вы так и <br>&gt;не показали, какие адреса висят на wan-овских интерфейсах...если у вас назначены <br>&gt;публичные айпишники а вы пытаетесь обратиться с них по tftp во <br>&gt;внуреннюю приватную сеть, то вполне естественно, что у вас не получается.. <br>&gt;<br><br>ping remote.host.ip.addr source имя_инт_который_смотрит_в_лан<br>т.е. ip сеть, которая прописана у тебя в ACL для crypto.<br> https://opennet.ru/openforum/vsluhforumID6/15329.html#5 Fri, 25 Jan 2008 13:12:26 GMT &gt; локальной LAN. Я удаленно не могу скопировать config на локальный tftp <br><br>т.е. вы хотите хотите слить конфиг с цыски? вот вы так и не показали, какие адреса висят на wan-овских интерфейсах...если у вас назначены публичные айпишники а вы пытаетесь обратиться с них по tftp во внуреннюю приватную сеть, то вполне естественно, что у вас не получается..<br><br><br> https://opennet.ru/openforum/vsluhforumID6/15329.html#4 Fri, 25 Jan 2008 11:32:58 GMT &gt;&gt;Нужно ли ставить crypto map на внеш. интерфейсы? <br>&gt;<br>&gt;извиняюсь, может быть я чего-то не понял, а разве у вас crypto-map <br>&gt;не висит на интерфейсах???? надо вешать, ибо без этого вы просто <br>&gt;забили конфигурацию, описывающую туннель, но сам туннель так и не подняли...и, <br>&gt;пожалуйста, покажите sh run с маршрутизатора, ибо без этого сложно искать <br>&gt;ошибки и неточности.. <br><br>Прошу прощение за неточность, crypto map-ы конечно есть на WAN интервейсах<br><br>Router1<br>!<br>crypto isakmp policy 1<br>hash md5<br>authentication pre-share<br>crypto isakmp key 6 xxxxx address x.x.x.x<br><br>crypto ipsec transform-set xxxxx esp-des esp-md5-hmac<br>crypto map peace 1 ipsec-isakmp<br>set peer x.x.x.x<br>set transform-set xxxxx<br>match address ACEESS (named)<br>///////////////////////////////////<br>ip access-list extended ACCESS<br>permit ip host (ip внешнего интерфейса Router1) network (удаленная LAN)<br>permit ip network (удаленная LAN) host (ip внешнего интерфейса Router1)<br>permit ip network (локальная LAN) network (удаленная LAN)<br>permit ip netwo https://opennet.ru/openforum/vsluhforumID6/15329.html#3 Fri, 25 Jan 2008 11:04:56 GMT &gt;Нужно ли ставить crypto map на внеш. интерфейсы? <br><br>извиняюсь, может быть я чего-то не понял, а разве у вас crypto-map не висит на интерфейсах???? надо вешать, ибо без этого вы просто забили конфигурацию, описывающую туннель, но сам туннель так и не подняли...и, пожалуйста, покажите sh run с маршрутизатора, ибо без этого сложно искать ошибки и неточности..<br><br><br> https://opennet.ru/openforum/vsluhforumID6/15329.html#2 Fri, 25 Jan 2008 10:53:23 GMT &gt;да всё пучком! кстати, вы бы еще показали sh run wan-овских интерфейсов <br>&gt;роутеров..наверняка у вас там висят либо публичные адреса, либо настроена какая-то <br>&gt;левая пир-ту-пирная подсетка...когда вы пытаетесь пропинговать с роутера удаленную защищаемую сеть, <br>&gt;то запросы идут с wan-овского интерфейса и если (я в этом <br>&gt;уверен) не настроены должным образом трансляции, то вы и не сможете <br>&gt;пинговать приватные адреса...если так уж принципиально пинговать именно с роутера, то <br>&gt;пользуйтесь расширенным пингом, где можно конкретно указать source интерфейс.. <br><br>Насколько я понял благодаря IPsec тунэлю который поднят между внутренними сетями удаленных офисов, все пакеты приходящие из внешних интерфейсов (когда я пингую прямо с рутера удаленный LAN) не могут пройти вне тунэля. Для этого я сделал следующее-<br><br>R1 <br>permit ip host (удален. внеш. адрес) network (моя LAN) <br>permit ip network (моя LAN) host (удален. внеш. адрес)<br><br>R2<br>permit ip host (удален. внеш. адрес) network (моя LAN)<br>permit ip network (моя LA https://opennet.ru/openforum/vsluhforumID6/15329.html#1 Thu, 24 Jan 2008 13:16:20 GMT да всё пучком! кстати, вы бы еще показали sh run wan-овских интерфейсов роутеров..наверняка у вас там висят либо публичные адреса, либо настроена какая-то левая пир-ту-пирная подсетка...когда вы пытаетесь пропинговать с роутера удаленную защищаемую сеть, то запросы идут с wan-овского интерфейса и если (я в этом уверен) не настроены должным образом трансляции, то вы и не сможете пинговать приватные адреса...если так уж принципиально пинговать именно с роутера, то пользуйтесь расширенным пингом, где можно конкретно указать source интерфейс..<br>