бррррр...наворотили...в принципе, действия правильные, но уже вижу немного лишнего мусора...set peer - это адрес удаленного интерфейса, с которым поднимается туннель..и это не любой адрес..в вашем случае это должны быть публичные адреса, т.е. непосредственно адреса wan-овских интерфейсов...простым языком - вначале нужно элементарно создать связность двух маршрутизаторов, а после этого поднимать туннель.. 1. повесить на serial-интерфейсы некие адреса (если вы работаете в нетсиме, то это могут быть и приватные) 2. создать крипто-полисинг, который будет описывать не только аутентификацию, но и методы шифрования (должен совпадать на обоих сторонах): crypto isakmp policy 1 encr aes authentication pre-share group 2 3. создать одинаковые ключи (crypto isakmp key) 4. описать механизм инкапсуляции, например: crypto ipsec transform-set VPN esp-aes 256 esp-md5-hmac 5. создать акцес-лист, который будет описывать защищаемые сети 6. создать непосредственно сам crypto-map: crypto map GRE 50 ipsec-isakmp set peer (удаленный адрес) set transform-set VPN match address (имя или номер ACL) 7. и, наконец, повесить созданный крипто-мап на wan-овский интерфейс..замечу, что туннель поднимется только, если инициатором соединения будет какой-либо адрес защищаемой сети.. удалите все свои конфиги и сделайте заново по приведенным выше шагам... зы: акцес-лист должен выглядеть следующим образом: access-list 100 permit ip [локальная защищаемая сеть] [удаленная защищаемая сеть]
|