https://www.opennet.ru/openforum/vsluhforumID6/22957.html Народ, нужно поднять тунель с маршрутизатором стоящим где-то в сети, с интерфейса который смотрит в инет. Проблема в том что в локалке стоит черный ящик (читай впн-роутер), который строит тунель через этот же интерфейс. Так вот, как только цепляю криптомапу на внешний int тунель внутреннего ящика рушится. При чем хитро - у него перестают ходить обновления RIP (там он свою сетку строит полностью независящую от меня. Я для него - просто транспорт). Т.е. если тунель уже был построен - все воркает. Как только тунель рухнул или пересобрался или еще какой-то инцидент - эта марахайка внутренняя отпадает напрочь. Снимаю криптомапу - все начинает работать. По логу вижу что циска реджектит ipsec пакеты с пира этой марахайки. Но какого черта, ведь они не попадают под криптомапу которая висит на интерфейсе???<br>Короче, идеи есть как можно это разрулить? Может иосн адо обновить? У меня уже старенький.<br>Бордер над которым я издеваюсь 3825, Cisco IOS Software, 3800 Software (C3825-ADVENTERPRISEK9-M), Version 12.4(18), RELEAS https://www.opennet.ru/openforum/vsluhforumID6/22957.html#7 Mon, 08 Aug 2011 17:37:27 GMT &gt;&gt;&gt;&gt; Трансляция адресов?<br>&gt;&gt;&gt; присутствует <br>&gt;&gt; Т.е. ipsec для "марахайки" всё-тки приходит на цискин адрес и транслируется?<br>&gt; Да. Там статик нат. И тунель может построиться только из нашей сетки <br>&gt; - снаружи не строится.<br><br>а Вы на физический порт вешаете crypto-map?<br>Настройки acl для nat и своего crypto-map покажите. ip "марахайки" какой?<br> https://www.opennet.ru/openforum/vsluhforumID6/22957.html#6 Mon, 08 Aug 2011 15:11:07 GMT &gt;&gt;&gt; Трансляция адресов?<br>&gt;&gt; присутствует <br>&gt; Т.е. ipsec для "марахайки" всё-тки приходит на цискин адрес и транслируется?<br><br>Да. Там статик нат. И тунель может построиться только из нашей сетки - снаружи не строится.<br><br> https://www.opennet.ru/openforum/vsluhforumID6/22957.html#5 Mon, 08 Aug 2011 15:08:51 GMT &gt;&gt; Трансляция адресов?<br>&gt; присутствует <br><br>Т.е. ipsec для "марахайки" всё-тки приходит на цискин адрес и транслируется?<br> https://www.opennet.ru/openforum/vsluhforumID6/22957.html#4 Mon, 08 Aug 2011 14:17:24 GMT &gt;&gt;&gt; Адрес "марахайки" в Crypto ACL отсутствует?<br>&gt;&gt; Отсутствует.<br>&gt; Трансляция адресов?<br><br>присутствует<br><br> https://www.opennet.ru/openforum/vsluhforumID6/22957.html#3 Mon, 08 Aug 2011 14:15:16 GMT &gt;&gt; Адрес "марахайки" в Crypto ACL отсутствует?<br>&gt; Отсутствует.<br><br>Трансляция адресов?<br> https://www.opennet.ru/openforum/vsluhforumID6/22957.html#2 Mon, 08 Aug 2011 08:00:00 GMT &gt; Адрес "марахайки" в Crypto ACL отсутствует?<br><br>Отсутствует.<br> https://www.opennet.ru/openforum/vsluhforumID6/22957.html#1 Sat, 06 Aug 2011 09:55:04 GMT Адрес "марахайки" в Crypto ACL отсутствует?<br>