Добрый день.

Возникла проблема с подключение cisco3825 и cisco870. Соединение между ними есть, туннель вроде устанавливается, пакеты не бегают. Гляньте свежим взглядом. Заранее спасибо.

Схема подключения

LAN 192.168.100.144/28---Cisco870----INET----Cisco3825-----LAN 10.0.0.0/8
                                                 |_________LAN 172.30.0.0/16

Необходима связь между данными подсетями, т.е. между 192.168.100.144/28 и 172.30.0.0/16 и 10.0.0.0/8.

sh ver c870-advsecurityk9-mz.124-15.T12.bin
sh ver c3825-advipservicesk9-mz.124-9.T6.bin

Cisco3825

crypto isakmp policy 23
encr aes
authentication pre-share
group 2
lifetime 28800
crypto isakmp key ************** address ***** no-xauth

crypto ipsec transform-set APT24_AES-SHA esp-aes esp-sha-hmac

crypto map APT24 29 ipsec-isakmp
description tunnel_to_
set peer **********
set transform-set APT24_AES-SHA
match address APT24PL-1

ip nat inside source list al interface GigabitEthernet0/1.40 overload

ip access-list extended APT24PL-1
permit ip 10.0.0.0 0.0.0.255 192.168.100.144 0.0.0.15
permit ip 172.16.0.0 0.0.15.255 192.168.100.144 0.0.0.15
permit ip 192.168.0.0 0.0.255.255 192.168.100.144 0.0.0.15
deny   ip any any

ip access-list extended al
deny   ip any 10.0.0.0 0.255.255.255
deny   ip any 172.16.0.0 0.15.255.255
deny   ip any 192.168.0.0 0.0.255.255
permit ip any host **************
deny   ip any any

Cisco 870

crypto isakmp policy 20
encr aes
authentication pre-share
group 2  
lifetime 28800
crypto isakmp key ***** address ********* no-xauth

crypto ipsec transform-set VPNSET_AES_SHA esp-aes esp-sha-hmac

crypto map APT24MAP 20 ipsec-isakmp
description tunnel_to_cisco
set peer ************
set transform-set VPNSET_AES_SHA
match address IPSEC_TRAFFIC

ip nat inside source list NONAT interface FastEthernet4 overload
!
ip access-list extended IPSEC_TRAFFIC
permit ip 192.168.100.144 0.0.0.15 10.0.0.0 0.255.255.255
permit ip 192.168.100.144 0.0.0.15 172.16.0.0 0.15.255.255
permit ip 192.168.100.144 0.0.0.15 192.168.0.0 0.0.255.255
ip access-list extended NONAT
deny   ip any 10.0.0.0 0.255.255.255
deny   ip any 172.16.0.0 0.15.255.255
deny   ip any 192.168.0.0 0.0.255.255
permit ip 192.168.100.144 0.0.0.15 any

Crypto map висят на правильных интерфейсах.
В дебаге видно что соединение установлено
*May 22 12:27:43.980: ISAKMP (0:1012): received packet from ******* dport 500 sport 500 Global (R) QM_IDLE      
*May 22 12:27:43.980: ISAKMP:(1012):deleting node -864327888 error FALSE reason "QM done (await)"
*May 22 12:27:43.980: ISAKMP:(1012):Node -864327888, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
*May 22 12:27:43.980: ISAKMP:(1012):Old State = IKE_QM_R_QM2  New State = IKE_QM_PHASE2_COMPLETE
*May 22 12:27:43.980: IPSEC(key_engine): got a queue event with 1 KMI message(s)
HeadOffice#
*May 22 12:27:43.980: IPSEC(key_engine_enable_outbound): rec'd enable notify from ISAKMP
*May 22 12:27:43.980: IPSEC(key_engine_enable_outbound): enable SA with spi 1489368869/50

sh cry isakmp sa с обоих сторон
показывает наличие активного соединения

sh cry ipsec sa с обоих сторон показывают инкапсулюцию/декапсуляцию пакетов.

Самое главное НО - пакеты не бегают.

Если есть идеи - welcome.