https://www.opennet.ru/openforum/vsluhforumID6/17917.html имеется рабочий туннель IpSec до филиала на multyhome с2801. т.к. провайдера два, в сторону филиала написан статический маршрут по сети резервного повайдера.<br>у филиала нет постоянного ip, приходится за этим статическим маршрутом следить.<br><br>нашлась такая технология как reverse route injection у циски.<br>добавляю в <br>crypto dynamic-map IPSEC-DYNMAP 10<br> set transform-set TSET-SITES <br> set isakmp-profile SITES-PROFILE<br> reverse-route remote-peer х.х.х.21<br>последнюю строку с адресом линка резервного провайдера, у меня х.х.х.22/30<br><br>по идее ch cry map перед Interfaces using crypto map CRYPTO-MAP: должен написать<br>reverse-route enable и начать добавлять маршруты....<br><br>вот это и не работает.... int tunnel yy shutdown не помогает.<br>как бы ipsec передернуть?<br><br> https://www.opennet.ru/openforum/vsluhforumID6/17917.html#10 Thu, 27 Jan 2011 09:33:33 GMT Здравствуйте.<br>Пропишите в криптокарте просто "reverse-route static", т.к. у вас Ip-адрес пира постоянно меняется:<br><br>crypto dynamic-map IPSEC-DYNMAP 10<br>set transform-set TSET-SITES<br>set isakmp-profile SITES-PROFILE<br>reverse-route static<br><br><br>Чтобы маршруты пришли, сбросьте туннель к-дой clear crypto session и инициируйте поднятие туннеля заново. И будет вам счастье.<br> https://www.opennet.ru/openforum/vsluhforumID6/17917.html#9 Sun, 28 Dec 2008 14:23:07 GMT IOS обновился, добавилась куча команд, но...<br>RRJ заработал, только не как надо. он добавляет маршрут в удаленную сеть, типа такой:<br>ip route 192.168.x.x 255.255.255.0 x.x.x.21<br>такой и так уже рукаим сделан и никогда не меняется. мне бы такой:<br>ip route a.a.a.a 255.255.255.255 x.x.x.21<br>(a.a.a.a белый адрес удаленного хоста, обратившегося за IPSEC<br>x.x.x.21 линк резервного провайдера)<br><br>думаю, может на event manager applet что-нибудь сделать. повесить например на событие:<br>syslog "%CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr" тока как потом для action получить адрес ломящегося удаленного хоста???<br> https://www.opennet.ru/openforum/vsluhforumID6/17917.html#8 Thu, 25 Dec 2008 10:25:56 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;после того как политику не фейсе передернули, sh cry is sa <br>&gt;&gt;&gt;показывает sa. <br>&gt;&gt;&gt;полиси и профиль в одном экземпляре и по идее должно отрабатывать. <br>&gt;&gt;&gt;склюняюсь к мысли, что надо ИОС обновить. у меня 12.4(13), а в <br>&gt;&gt;&gt;книжке полнофункционально RRJ рассматривается для 12.4(15) <br>&gt;&gt;<br>&gt;&gt;Я это еще на 12.3 использовал. Работало. <br>&gt;<br>&gt;а можно конфиг сюда или на www_tank@rambler.ru? <br><br>Все то-же самое, но без set isakmp-profile .<br><br>А с профайлом видимо надо ИОС обновлять:<br>Previously RRI was available for crypto map configurations only. Cisco IOS Release 12.4(15)T<br>introduces support for relevant RRI options on IPsec profiles that are predominantly used for virtual<br>tunnel interfaces. On tunnel interfaces, only the distance metric and tag options are useful with the<br>generic RRI capability. <br> https://www.opennet.ru/openforum/vsluhforumID6/17917.html#7 Thu, 25 Dec 2008 09:41:33 GMT &gt;&gt;&gt;Если sh cry is sa ничего не показывает - значит данный пир <br>&gt;&gt;&gt;неактивен, ничего и не должно быть. <br>&gt;&gt;<br>&gt;&gt;после того как политику не фейсе передернули, sh cry is sa <br>&gt;&gt;показывает sa. <br>&gt;&gt;полиси и профиль в одном экземпляре и по идее должно отрабатывать. <br>&gt;&gt;склюняюсь к мысли, что надо ИОС обновить. у меня 12.4(13), а в <br>&gt;&gt;книжке полнофункционально RRJ рассматривается для 12.4(15) <br>&gt;<br>&gt;Я это еще на 12.3 использовал. Работало. <br><br>а можно конфиг сюда или на www_tank@rambler.ru?<br> https://www.opennet.ru/openforum/vsluhforumID6/17917.html#6 Wed, 24 Dec 2008 15:03:11 GMT &gt;&gt;Если sh cry is sa ничего не показывает - значит данный пир <br>&gt;&gt;неактивен, ничего и не должно быть. <br>&gt;<br>&gt;после того как политику не фейсе передернули, sh cry is sa <br>&gt;показывает sa. <br>&gt;полиси и профиль в одном экземпляре и по идее должно отрабатывать. <br>&gt;склюняюсь к мысли, что надо ИОС обновить. у меня 12.4(13), а в <br>&gt;книжке полнофункционально RRJ рассматривается для 12.4(15) <br><br>Я это еще на 12.3 использовал. Работало.<br><br> https://www.opennet.ru/openforum/vsluhforumID6/17917.html#5 Wed, 24 Dec 2008 13:22:12 GMT &gt;Если sh cry is sa ничего не показывает - значит данный пир <br>&gt;неактивен, ничего и не должно быть. <br><br>после того как политику не фейсе передернули, sh cry is sa показывает sa.<br>полиси и профиль в одном экземпляре и по идее должно отрабатывать.<br>склюняюсь к мысли, что надо ИОС обновить. у меня 12.4(13), а в книжке полнофункционально RRJ рассматривается для 12.4(15)<br> https://www.opennet.ru/openforum/vsluhforumID6/17917.html#4 Wed, 24 Dec 2008 12:27:16 GMT &gt;после удаления и привязки политики к интерфейсу в sh cry map появилось <br>&gt;reverse-route enable <br>&gt;а вот маршрутов не создает никаких, даже если убрать статический(о котором в <br>&gt;начале поста гвориться) <br><br>Если sh cry is sa ничего не показывает - значит данный пир неактивен, ничего и не должно быть.<br> https://www.opennet.ru/openforum/vsluhforumID6/17917.html#3 Wed, 24 Dec 2008 10:00:02 GMT после удаления и привязки политики к интерфейсу в sh cry map появилось reverse-route enable<br>а вот маршрутов не создает никаких, даже если убрать статический(о котором в начале поста гвориться)<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/17917.html#2 Wed, 24 Dec 2008 09:21:52 GMT &gt;clea crypto isakmp XXX , где XXX connection id of SA <br><br>спасибо, что откликнулись.<br>sh cry isakmp sa показывает пусто, sh cry map без изменений, туннель как жил так и живет<br><br><br>