https://www.opennet.ru/openforum/vsluhforumID6/9885.html 3 routerа: 2 cisco 805 хочу связать с cisco 877 с помощью ipsec туннелей. GRE туннели работают<br><br>конфиг 877:<br><br>crypto isakmp policy 1<br> hash md5<br> authentication pre-share<br> group 2<br>crypto isakmp key vpn address 0.0.0.0 0.0.0.0<br>!<br>!<br>crypto ipsec transform-set nostrong esp-des esp-md5-hmac<br>!<br>crypto map vpn 1 ipsec-isakmp<br> set peer 195.16.44.130<br> set transform-set nostrong<br> match address 101<br>crypto map vpn 2 ipsec-isakmp<br> set peer 81.211.31.149<br> set transform-set nostrong<br> match address 102<br>!<br>!<br>!<br>interface Tunnel0<br> ip address 10.16.17.1 255.255.255.0<br> tunnel source ATM0.1<br> tunnel destination 195.16.44.130<br> tunnel key 123<br> tunnel sequence-datagrams<br> tunnel checksum<br> crypto map vpn<br>!<br>interface Tunnel1<br> ip address 10.16.18.1 255.255.255.0<br> tunnel source ATM0.1<br> tunnel destination 81.211.31.149<br> tunnel key 123<br> tunnel sequence-datagrams<br> tunnel checksum<br> crypto map vpn<br>!<br>interface Loopback0<br> ip address 82.142.176.125 255.255.255.255<br> crypto map vpn<br>!<br>interface ATM0<br> no ip ad https://www.opennet.ru/openforum/vsluhforumID6/9885.html#7 Fri, 20 Aug 2010 08:15:48 GMT http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tech_note09186a00800949c5.shtml<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/9885.html#6 Sun, 01 Jun 2008 09:20:14 GMT та же проблема, зае уже ее ковырять. Думаю на до вот в эту сторону копать<br>.Feb 16 17:22:27.812: IPSEC(validate_transform_proposal): no IPSEC cryptomap exi <br>sts for local address 82.142.176.125<br>нутром чую а доказать не могу<br> https://www.opennet.ru/openforum/vsluhforumID6/9885.html#5 Fri, 17 Feb 2006 20:16:01 GMT &gt;на 877 <br>&gt;crypto map vpn local-address ATM0.1 <br>&gt;на 805 <br>&gt;crypto map vpn-to-office local-address Serial0 <br><br>ага,тока на unnumbered не хочет. пришлось указать l0, как имеющий ip :)<br>эх,все равно не хочет<br> https://www.opennet.ru/openforum/vsluhforumID6/9885.html#4 Fri, 17 Feb 2006 18:44:06 GMT &gt;на 877 <br>&gt;crypto map vpn local-address ATM0.1 <br>&gt;на 805 <br>&gt;crypto map vpn-to-office local-address Serial0 <br><br>так все-таки надо? у кого-то используется у кого-то нет. спасибо, щас попробую https://www.opennet.ru/openforum/vsluhforumID6/9885.html#3 Fri, 17 Feb 2006 18:42:03 GMT &gt;match address 101 <br>&gt;<br>&gt;101 лист не правильно понял для чего он <br>&gt;в нем указывается правило кокой травик пихать в тунель т.е. шифровать <br>&gt;там не должны фигурировать внешнии адреса. <br>&gt;<br><br>использовал похожий пример с cisco.com "GRE over IPSec with EIGRP to Route Through a Hub and Multiple Remote Sites Configuration Example"<br>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a008009438e.shtml#cfg_encryption<br>и у себя сделал наподобие<br>то есть здесь ты предлагаешь прописать адреса из локалки?<br><br>&gt;Да и заодно проверь аксесс лист для натата в нем ты должен <br>&gt;исключить трафик опять же локальный который не надо натить т.к. он <br>&gt;у тебя пойдет в тунель <br>&gt;<br>надо натить. там еще банк-клиент через инет работает<br><br>&gt;Вот <br>&gt;<br>&gt;Впринцыпи если ты делаешь тунель между своими точками в инете то нат <br>&gt;вообще не нужен или нужен только для выхода в инет для <br>&gt;локальных сетей <br>инет то тоже нужен:)<br>для выхода прокси (блин, два ната получается) и банк-клиента https://www.opennet.ru/openforum/vsluhforumID6/9885.html#2 Fri, 17 Feb 2006 10:42:06 GMT на 877<br>crypto map vpn local-address ATM0.1<br>на 805<br>crypto map vpn-to-office local-address Serial0 https://www.opennet.ru/openforum/vsluhforumID6/9885.html#1 Fri, 17 Feb 2006 10:15:15 GMT match address 101 <br><br>101 лист не правильно понял для чего он<br>в нем указывается правило кокой травик пихать в тунель т.е. шифровать<br>там не должны фигурировать внешнии адреса.<br><br>Да и заодно проверь аксесс лист для натата в нем ты должен исключить трафик опять же локальный который не надо натить т.к. он у тебя пойдет в тунель<br><br>Вот<br><br>Впринцыпи если ты делаешь тунель между своими точками в инете то нат вообще не нужен или нужен только для выхода в инет для локальных сетей