https://opennet.dev/openforum/vsluhforumID6/1569.html Уважаемые, прошу помощи. Соединяю два Cisco 2921 и 880<br>Туннель поднимается, но траффик не идёт. В чём затык? Никак не могу разобраться, понять и взять в толк. Если запустить пинг с Точки, то соответствие появляется в обоих access list'ах (с двух сторон) описывающих "интересный" траффик, но пинга нет. Если запустить пинг из ЦО, то ни пинга ни соответствий.<br><br>Конфиг ЦО:<br><br>crypto keyring Br1<br> pre-shared-key address 1.1.1.1 key Megapass<br>crypto keyring Br2<br> pre-shared-key address 2.2.2.2 key Megapass<br>!<br>crypto isakmp policy 10<br> encr 3des<br> authentication pre-share<br> group 2<br>!<br>crypto isakmp policy 20<br> encr 3des<br> hash md5<br> authentication pre-share<br> group 2<br>crypto isakmp key Superpass address 0.0.0.0 0.0.0.0<br>crypto isakmp profile Br1<br> keyring Br1<br> match identity address 1.1.1.1 255.255.255.255<br>crypto isakmp profile Br2<br> keyring Br2<br> match identity address 2.2.2.2 255.255.255.2555<br>!<br>!<br>crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac<br> mode transport<br>crypto ipsec transform-se https://opennet.dev/openforum/vsluhforumID6/1569.html#8 Sat, 13 Dec 2014 07:07:36 GMT &gt; Какая разница, что там в локалке? Чем единообразнее конфиги, тем проще управлять <br>&gt; всем. Конечно можно смешивать, но когда сеть разрастется - голова лопнет <br>&gt; разбираться в нюансах. Конфиги позже скину, когда до компа доберусь.<br><br>Вариант HUB-SPOKE, весь траффик проходит через центр.<br><br>HUB:<br>[code]<br>crypto keyring NHRP_HUB<br> pre-shared-key address f1.f1.f1.f1 key nhrp_0f1_gj5j8948f5u3948utmjf<br> pre-shared-key address f2.f2.f2.f2 key nhrp_0f2_gcm389xj3490gj9845984<br> ...<br>!<br>no crypto isakmp default policy<br>!<br>crypto isakmp policy 50<br> encr aes<br> authentication pre-share<br> group 2<br>!<br>crypto ipsec transform-set LIGHT esp-aes<br>!<br>crypto ipsec profile LIGHT<br> set transform-set LIGHT<br>!<br>interface Tunnel56000<br> description IPSec NHRP HUB<br> ip address 10.96.255.1 255.255.255.0<br> no ip redirects<br> ip mtu 1394<br> ip flow egress<br> ip nat inside<br> ip nhrp map multicast dynamic<br> ip nhrp network-id 1<br> ip nhrp holdtime 600<br> ip virtual-reassembly in<br> no ip split-horizon eigrp 1<br> ip summary-address eigrp 1 10.0. https://opennet.dev/openforum/vsluhforumID6/1569.html#7 Fri, 12 Dec 2014 17:06:20 GMT Какая разница, что там в локалке? Чем единообразнее конфиги, тем проще управлять всем. Конечно можно смешивать, но когда сеть разрастется - голова лопнет разбираться в нюансах. Конфиги позже скину, когда до компа доберусь.<br> https://opennet.dev/openforum/vsluhforumID6/1569.html#6 Fri, 12 Dec 2014 09:32:47 GMT &gt; Чето все в кучу собрал, и криптомапы и VTI, адреса скрываешь, так <br>&gt; хоть заменяй одинаково в обоих конфигах, иначе не понятно ничерта. И <br>&gt; вообще - какая исходная ситуация, какой набор оборудования, какая цель? Если <br>&gt; везде Cisco роутеры, делай полноценный DMVPN, hub-spoke или spoke-spoke, с VTI <br>&gt; интерфейсами и саммари маршрутизацией. Если надо, дам нормально работающий конфиг.<br><br>В самом начале написал что Cisco 2921 в ЦО, 880 на розничной точке. Адреса скрыл - да. Может и пароли надо оставить было? В конфиге ЦО действительно при правке адресов ошибка закралась.<br>crypto map VPNRetail 101 ipsec-isakmp<br> set peer z.z.z.5 (вот тут адрсе неправильный подставил)<br> set transform-set 3DES-MD5<br> match address Shop1<br><br>Цель соединить розничную точку и ЦО. VTI? Я не хочу с дополнительной IP адресацией заморачиваться. Разве crypto map и VTI не могут жить вместе? У меня через VTI филиалы соединены, а через crypto map я хочу розничные точки соединить. Вот вам ситуация.<br><br>От рабочего конфига в любом случае не о https://opennet.dev/openforum/vsluhforumID6/1569.html#5 Thu, 11 Dec 2014 16:39:50 GMT Чето все в кучу собрал, и криптомапы и VTI, адреса скрываешь, так хоть заменяй одинаково в обоих конфигах, иначе не понятно ничерта. И вообще - какая исходная ситуация, какой набор оборудования, какая цель? Если везде Cisco роутеры, делай полноценный DMVPN, hub-spoke или spoke-spoke, с VTI интерфейсами и саммари маршрутизацией. Если надо, дам нормально работающий конфиг.<br> https://opennet.dev/openforum/vsluhforumID6/1569.html#4 Thu, 11 Dec 2014 15:50:13 GMT На хабе маршрут default (куда и заворачивается 192.168.1.32) идет в GigabitEthernet0/0, <br>а crypto map висит на GigabitEthernet0/1.2<br>Посмотрите в какую сторону не идет траффик через счетчики enc/decr пакетов.<br> https://opennet.dev/openforum/vsluhforumID6/1569.html#3 Thu, 11 Dec 2014 14:05:37 GMT &gt;&gt; Таблицу маршрутизации смотрели???<br>&gt; Везде девственно чисто. Ну то есть этих маршрутов нет. Думается затык где-то <br>&gt; на 2921, т.е. в ЦО. Я уже сказал, что пинг оттуда <br>&gt; не попадает в соответствие нужных access-list'ов и не поднимает туннель.<br><br>Добавил RRI, маршруты появились. Траффика по-прежнему нет.<br> https://opennet.dev/openforum/vsluhforumID6/1569.html#2 Thu, 11 Dec 2014 12:35:05 GMT <br>&gt; Таблицу маршрутизации смотрели???<br><br>Везде девственно чисто. Ну то есть этих маршрутов нет. Думается затык где-то на 2921, т.е. в ЦО. Я уже сказал, что пинг оттуда не попадает в соответствие нужных access-list'ов и не поднимает туннель.<br> https://opennet.dev/openforum/vsluhforumID6/1569.html#1 Thu, 11 Dec 2014 12:18:02 GMT &gt;[оверквотинг удален]<br>&gt; ip nat inside source list NAT_out interface FastEthernet4 overload <br>&gt; ip route 0.0.0.0 0.0.0.0 z.z.z.1 <br>&gt; !<br>&gt; ip access-list extended NAT_out <br>&gt; deny ip 192.168.1.32 0.0.0.31 10.10.1.0 0.0.0.255 <br>&gt; permit ip 192.168.1.32 0.0.0.31 any <br>&gt; ip access-list extended Outbound <br>&gt; permit ip any any <br>&gt; ip access-list extended VPN-HQ <br>&gt; permit ip 192.168.1.32 0.0.0.31 10.10.1.0 0.0.0.255 <br><br>Таблицу маршрутизации смотрели???<br>