https://ns.opennet.ru/openforum/vsluhforumID6/12976.html Добрый день<br><br>Дали мне данные для поднятия туннеля с головной компанией. Что стоит с их стороны незнаю, но не cisco точно.<br><br>crypto isakmp policy 10<br> encr aes<br> authentication pre-share<br> group 2<br> lifetime 3600<br>crypto isakmp key test address 212.xx.xx.xx<br>crypto isakmp keepalive 30 5<br>!<br>!<br>crypto ipsec transform-set PRN0006 esp-aes esp-sha-hmac<br>!<br>crypto map MOJA_MAPA local-address Ethernet0/1<br>crypto map MOJA_MAPA 10 ipsec-isakmp<br> description Tunnel toPRN0006<br> set peer 212.xx.xx.xx<br> set transform-set PRN0006<br> match address KRYPTO_LIST<br>!<br>interface Ethernet0/0<br> description Link v lokalku<br> ip address 192.168.132.1 255.255.255.0<br>!<br>interface Ethernet0/1<br> description Link vneshniy na ISP<br> ip address 193.xx.xx.xx 255.255.255.224<br> crypto map MOJA_MAPA<br>!<br>ip route 0.0.0.0 0.0.0.0 193.xx.xx.xx<br>!<br>!<br>!<br>ip access-list extended KRYPTO_LIST<br> permit ip 192.168.132.0 0.0.0.255 10.0.0.0 0.255.255.255<br><br><br>Пинги не ходят. Ключами обменивается нормально (по дебагу видно). Почему идут send errors и что е https://ns.opennet.ru/openforum/vsluhforumID6/12976.html#11 Fri, 09 Sep 2011 12:54:14 GMT &gt;[оверквотинг удален]<br>&gt; 212.xx.xx.xx <br>&gt; path mtu 1500, ip mtu 1500, ip <br>&gt; mtu idb Ethernet0/1 <br>&gt; current outbound spi: 0 <br>&gt; inbound esp sas: <br>&gt; inbound ah sas: <br>&gt; inbound pcp sas: <br>&gt; outbound esp sas: <br>&gt; outbound ah sas: <br>&gt; outbound pcp sas: <br><br>А подскажите вы решили данную проблему? у меня просто похожая ситуация<br> https://ns.opennet.ru/openforum/vsluhforumID6/12976.html#10 Wed, 07 Mar 2007 08:41:28 GMT &gt;последнее что можно сделать это поиграться с <br>&gt;crypto ipsec transform-set PRN0006 esp-aes esp-sha-hmac <br>&gt;если не известно как на противоположной стороне настроено <br><br><br>А можно немного теории ? Если неправильный трансформ сет как это может отражаться на исходящих пакетах ? Ведь у меня ошибки при передаче возникают. Или если пакет передается то переданым он считается после того как с той стороны пришло подтверждение ? https://ns.opennet.ru/openforum/vsluhforumID6/12976.html#9 Tue, 06 Mar 2007 13:43:32 GMT последнее что можно сделать это поиграться с <br>crypto ipsec transform-set PRN0006 esp-aes esp-sha-hmac<br>если не известно как на противоположной стороне настроено https://ns.opennet.ru/openforum/vsluhforumID6/12976.html#8 Tue, 06 Mar 2007 13:37:00 GMT &gt;crypto map MOJA_MAPA 10 ipsec-isakmp <br>&gt;попробовать добавить <br>&gt;set pfs group2 <br><br><br>Добавил. Без изменений. https://ns.opennet.ru/openforum/vsluhforumID6/12976.html#7 Tue, 06 Mar 2007 13:36:33 GMT &gt;&gt;&gt;Посмотри тут <br>&gt;&gt;&gt;http://www.dlink.ru/technical/faq_vpn_1.php <br>&gt;&gt;<br>&gt;&gt;Видел. Читал. Ничего принципиально отличающегося у меня в конфиге на кошке нет. <br>&gt;&gt;Доступа к конфигам D-Link не имею. Поэтому и вопрос где может <br>&gt;&gt;быть ошибка приводящая к таким последствиям. <br>&gt;<br>&gt;Для начала маршрут в туннель <br>&gt;ip route xxxxxxxxx Eth0/1 <br><br>Попробовал, но это не принципиально, т.к. дефаулт туда-же глядит и пакеты попадают в crypto map. Результат тот самый.<br> https://ns.opennet.ru/openforum/vsluhforumID6/12976.html#6 Tue, 06 Mar 2007 13:23:44 GMT crypto map MOJA_MAPA 10 ipsec-isakmp<br>попробовать добавить<br>set pfs group2 https://ns.opennet.ru/openforum/vsluhforumID6/12976.html#5 Tue, 06 Mar 2007 13:20:41 GMT &gt;&gt;Посмотри тут <br>&gt;&gt;http://www.dlink.ru/technical/faq_vpn_1.php <br>&gt;<br>&gt;Видел. Читал. Ничего принципиально отличающегося у меня в конфиге на кошке нет. <br>&gt;Доступа к конфигам D-Link не имею. Поэтому и вопрос где может <br>&gt;быть ошибка приводящая к таким последствиям. <br><br>Для начала маршрут в туннель<br>ip route xxxxxxxxx Eth0/1 https://ns.opennet.ru/openforum/vsluhforumID6/12976.html#4 Tue, 06 Mar 2007 09:37:00 GMT &gt;Посмотри тут <br>&gt;http://www.dlink.ru/technical/faq_vpn_1.php <br><br>Видел. Читал. Ничего принципиально отличающегося у меня в конфиге на кошке нет. Доступа к конфигам D-Link не имею. Поэтому и вопрос где может быть ошибка приводящая к таким последствиям. https://ns.opennet.ru/openforum/vsluhforumID6/12976.html#3 Tue, 06 Mar 2007 09:29:07 GMT Посмотри тут<br>http://www.dlink.ru/technical/faq_vpn_1.php