https://opennet.ru/openforum/vsluhforumID6/15508.html Доброго времени суток.<br>Помогите новичку. <br>Задача такая: есть три Cisco877 подключенных к инету, на одной белый IP в центральном офисе, остальные находятся за NATом одного провайдера. Оба маршрутизатора в удаленных офисах имеют серые, но постоянные IP из разных подсетей. <br>Хочется поднять GRE туннели между центральным офисом и удаленными.<br><br>Допустим X.X.X.X - белый ип центрального офиса <br>10.10.10.0/24 - внутренняя сеть центрального офиса<br>Y.Y.Y.Y - Nat провайдера<br>192.168.0.2 - IP удаленного офиса<br>10.0.0.0/24 - внутренняя сеть удаленного офиса<br><br>конфигурация в центральном офисе:<br><br>interface Tunnel0<br> ip address 172.16.0.1 255.255.255.252<br> keepalive 20 3<br> tunnel source X.X.X.X<br> tunnel destination Y.Y.Y.Y<br><br>ip route 10.0.0.0 255.255.255.0 172.16.0.2<br><br><br>И в удаленном офисе:<br><br>interface Tunnel0<br> ip address 172.16.0.2 255.255.255.252<br> keepalive 20 3<br> tunnel source Y.Y.Y.Y<br> tunnel destination X.X.X.X<br><br>interface FastEthernet4<br> description ** Internet **<br> ip address 192.168.0.2 255.255.255.240<br> https://opennet.ru/openforum/vsluhforumID6/15508.html#19 Wed, 18 Mar 2009 10:45:02 GMT &gt;&gt;Ну показывайте ваш полный show run, debug crypto ver, debug crypto isakmp, <br>&gt;&gt;debug crypto ipsec <br>&gt;&gt;<br>&gt;&gt;Перед debug сделайте clear crypto isakmp и clear crypto sa с двух <br>&gt;&gt;сторон. <br>&gt;<br>&gt;Спасибо огромное! Все получилось. Просто недосмотрел.... <br>&gt;Теперь все заработало! <br>&gt;<br>&gt;Последняя конфигурация полностью рабочая. <br><br>А в чем была проблема? У меня такая же ошибка появляется при попытке подключения iPhone к 2821.<br> https://opennet.ru/openforum/vsluhforumID6/15508.html#18 Tue, 19 Feb 2008 13:48:57 GMT &gt;Спасибо огромное! Все получилось. Просто недосмотрел.... <br>&gt;Теперь все заработало! <br>&gt;<br>&gt;Последняя конфигурация полностью рабочая. <br><br>Раз помочь.<br><br>Основная проблема со всеми этими isakmp-ipsecами - очень много строк в конфигурации и очень много различных фаз и согласований между устройствами. Легко ошибиться.<br> https://opennet.ru/openforum/vsluhforumID6/15508.html#17 Tue, 19 Feb 2008 11:14:34 GMT &gt;Ну показывайте ваш полный show run, debug crypto ver, debug crypto isakmp, <br>&gt;debug crypto ipsec <br>&gt;<br>&gt;Перед debug сделайте clear crypto isakmp и clear crypto sa с двух <br>&gt;сторон. <br><br>Спасибо огромное! Все получилось. Просто недосмотрел....<br>Теперь все заработало!<br><br>Последняя конфигурация полностью рабочая.<br> https://opennet.ru/openforum/vsluhforumID6/15508.html#16 Tue, 19 Feb 2008 11:12:14 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Долго искал на форуме и cisco.com, но нашел информацию только по созданию <br>&gt;&gt;IPsec туннелей.... Но ведь и такая схема может работать? <br>&gt;<br>&gt;Как предположение <br>&gt;&gt;10.10.10.0/24 - внутренняя сеть центрального офиса <br>&gt;&gt;Y.Y.Y.Y - Nat провайдера <br>&gt;&gt;192.168.0.2 - IP удаленного офиса <br>&gt;&gt;10.0.0.0/24 - внутренняя сеть удаленного офиса <br>&gt;<br>&gt;У тебя одинаковые локальные сети на двух концах. <br><br>Да нет. сети разные. Но это уже не важно, все получилось!<br><br> https://opennet.ru/openforum/vsluhforumID6/15508.html#15 Mon, 18 Feb 2008 16:43:45 GMT &gt;[оверквотинг удален]<br>&gt;1. Возможна ли вообще такая схема? А если я добавлю еще один <br>&gt;тунель в ЦО с таким же самым destination, как они <br>&gt;смогут разделиться на NATe провайдера? <br>&gt;2. Правильно ли я проставляю sourse/destination? <br>&gt;3. Как объяснить прову, какой мне нужно открыть доступ (какие протоколы/порты пробрасывать)? <br>&gt;<br>&gt;<br>&gt;<br>&gt;Долго искал на форуме и cisco.com, но нашел информацию только по созданию <br>&gt;IPsec туннелей.... Но ведь и такая схема может работать? <br><br>Как предположение <br>&gt;10.10.10.0/24 - внутренняя сеть центрального офиса <br>&gt;Y.Y.Y.Y - Nat провайдера <br>&gt;192.168.0.2 - IP удаленного офиса <br>&gt;10.0.0.0/24 - внутренняя сеть удаленного офиса <br><br>У тебя одинаковые локальные сети на двух концах.<br><br> https://opennet.ru/openforum/vsluhforumID6/15508.html#14 Mon, 18 Feb 2008 16:43:30 GMT &gt;[оверквотинг удален]<br>&gt;1. Возможна ли вообще такая схема? А если я добавлю еще один <br>&gt;тунель в ЦО с таким же самым destination, как они <br>&gt;смогут разделиться на NATe провайдера? <br>&gt;2. Правильно ли я проставляю sourse/destination? <br>&gt;3. Как объяснить прову, какой мне нужно открыть доступ (какие протоколы/порты пробрасывать)? <br>&gt;<br>&gt;<br>&gt;<br>&gt;Долго искал на форуме и cisco.com, но нашел информацию только по созданию <br>&gt;IPsec туннелей.... Но ведь и такая схема может работать? <br><br>Как предположение <br>&gt;10.10.10.0/24 - внутренняя сеть центрального офиса <br>&gt;Y.Y.Y.Y - Nat провайдера <br>&gt;192.168.0.2 - IP удаленного офиса <br>&gt;10.0.0.0/24 - внутренняя сеть удаленного офиса <br><br>У тебя одинаковые локальные сети на двух концах.<br><br> https://opennet.ru/openforum/vsluhforumID6/15508.html#13 Thu, 14 Feb 2008 08:06:20 GMT Ну показывайте ваш полный show run, debug crypto ver, debug crypto isakmp, debug crypto ipsec<br><br>Перед debug сделайте clear crypto isakmp и clear crypto sa с двух сторон.<br> https://opennet.ru/openforum/vsluhforumID6/15508.html#12 Wed, 13 Feb 2008 15:32:29 GMT &gt;<br>&gt;После внесения изменений сделайте clear crypto isakmp, clear crypto sa и clear <br>&gt;ip nhrp на обоих устройствах. <br><br>Не выходит....<br>опять та же ошибка на удаленном маршрутизаторе:<br><br>%CRYPTO-6-IKMP_MODE_FAILURE: Processing of Informational mode failed with peer at X.X.X.X<br><br>Tunnel0 is up, line protocol is down<br> Hardware is Tunnel<br> Description: ** VRN **<br> Internet address is 172.16.1.46/30<br> MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,<br> reliability 255/255, txload 1/255, rxload 1/255<br> Encapsulation TUNNEL, loopback not set<br> Keepalive set (20 sec), retries 3<br> Tunnel source 192.168.2.18, destination X.X.X.X<br> Tunnel protocol/transport GRE/IP<br> Key 0x1, sequencing disabled<br> Checksumming of packets disabled<br> Tunnel TTL 255<br> Fast tunneling enabled<br> Tunnel transmit bandwidth 8000 (kbps)<br> Tunnel receive bandwidth 8000 (kbps)<br> Last input never, output 00:43:51, output hang never<br> Last clearing of "show interface" counters never<br> Input queue: 0/75/0/0 (size/max/drops/flushes); https://opennet.ru/openforum/vsluhforumID6/15508.html#11 Wed, 13 Feb 2008 13:28:26 GMT А вот как надо было:<br><br>удаленный (за NATом)<br><br>Building configuration...<br><br>Current configuration : 6614 bytes<br>!<br>version 12.4<br>no service pad<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>service password-encryption<br>!<br>hostname HOST_NAME<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>logging buffered 4096 debugging<br>!<br>aaa new-model<br>!<br>!<br>aaa authentication login default local<br>aaa authorization exec default local<br>!<br>aaa session-id common<br>!<br>resource policy<br>!<br>clock timezone PCTime 3<br>ip subnet-zero<br>ip cef<br>!<br>!<br>no ip dhcp use vrf connected<br>!<br>!<br>ip name-server IP_DNS_SERVER<br>!<br>username root privilege 15 secret 5 PASSWORD<br>!<br>!<br>crypto isakmp policy 10<br>encr 3des<br>hash md5<br>authentication pre-share<br>group 2<br>crypto isakmp key SUPER_KEY address X.X.X.X<br>!<br>!<br>crypto ipsec transform-set 3DES_MD5 esp-3des esp-md5-hmac<br>!<br>crypto map VPN 10 ipsec-isakmp<br>set peer X.X.X.X<br>set transform-set 3DES_MD5<br>match address SPOKE<br>!<br>!<br>!<br>!<br>interface Tunnel0<br>ip address 172.16.1.46