>Весь конфиг покажите, например я не вижу вообще crypto isakmp policy и crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
>access-list 112
access-list 112 permit ip host xxx.xxx.xxx.211 xxx.xxx.175.0 0.0.0.7
>А так же:
>sh crypto isakmp sa
dst src state conn-id status
тут инфа про другое vpn соединение
IPv6 Crypto ISAKMP SA
>sh crypto ipsec sa
local ident (addr/mask/prot/port): (xxx.xxx.xxx.211/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (xxx.xxx.175.0/255.255.255.248/0/0)
current_peer xxx.xxx.xxx.145 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: xxx.xxx.xxx.210, remote crypto endpt.: xxx.xxx.xxx.145
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
current outbound spi: 0x0(0)
PFS (Y/N): N, DH group: none
inbound esp sas:
inbound ah sas:
inbound pcp sas:
outbound esp sas:
outbound ah sas:
outbound pcp sas:
>
>И в чем конкретно проблема? Не поднимается туннель?
в какой-то момент я смог поднять isakmp, но из-за неправильной конфигурации ipsec всё грохнулось. с тех пор ничего не поднимается
>Не работает NAT как ожидалось?
я не уверен, что я правильно прячу некоторые свои адреса локальной сети за внешним адресом. ну и не уверен, что я правильно понимаю где и какой адрес в acl вписывать.
в 117м - локальный 10.0.10.0/24
в 112й уже внешний xxx.xxx.xxx.211
>Отлаживайте по частям - уберите NAT, повесьте внешний IP на loopback и
>добейтесь сперва чтобы IPSec поднимался, пингуя с loopback'а удаленную сторону. Потом
>приниматься за NAT.
спасибо за совет - думаю, так и попробую сделать.