собственно впн получилось поднять но не стабильно (конфиг на циске)
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key bla-bla-key address 222.222.222.222
!
crypto ipsec transform-set VPN-office8 esp-3des esp-md5-hmac
mode transport
!
crypto map TUNNEL0 1 ipsec-isakmp
set peer 222.222.222.222
set transform-set VPN-office8
match address IPSEC-TUN0
qos pre-classify
!
interface Tunnel0
bandwidth 10000
ip address 192.168.8.140 255.255.255.0
ip tcp adjust-mss 1360
tunnel source FastEthernet4
tunnel destination 222.222.222.222
crypto map TUNNEL0ip access-list extended IPSEC-TUN0
permit ip any any
permit ip 192.168.10.0 0.0.0.255 any
permit ip 192.168.8.0 0.0.0.255 any
ip access-list extended inside
!
access-list 1 permit 192.168.10.0 0.0.0.255
acl 1 - это чтоб инет в подсеть циски пускать
проблема - со стороны 192.168.8.0 подсети подсеть циски (192.168.8.0) можно пинговать а наоборот нет
при этом канал устанолен
VPN-office10#sh crypto map
Crypto Map "TUNNEL0" 1 ipsec-isakmp
Peer = 222.222.222.222
Extended IP access list IPSEC-TUN0
access-list IPSEC-TUN0 permit ip any any
access-list IPSEC-TUN0 permit ip 192.168.10.0 0.0.0.255 any
access-list IPSEC-TUN0 permit ip 192.168.8.0 0.0.0.255 any
Current peer: 222.222.222.222
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
VPN-office10,
}
QOS pre-classification
Interfaces using crypto map TUNNEL0:
Tunnel0
VPN-office10#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
222.222.222.222 111.111.111.111 QM_IDLE 2007 0 ACTIVE
IPv6 Crypto ISAKMP SA
при этом туннель вроде как поднимается и тут-же падает
какой лучше указывать для ipsec вариант туннельный или транспортный?
как сделать ACL чтоб подсетки 192.168.8.0 и 192.168.10.0 видели друг друга??