- Нет соединений по VPN каналу,
 GolDi, 10:12 , 21-Янв-14 (1)>[оверквотинг удален]
> crypto map rtp 2 ipsec-isakmp
> set peer 10.145.10.62
> set transform-set rtpset
> match address 101
> interface GigabitEthernet0/0
> ip address 10.145.151.7 255.255.255.0
> ip tcp adjust-mss 1400
> crypto map rtp
> и присваиваю обоим шлюз, но нет результатов.... может где-то я делаю ошибку...
> подскажите пожалуйста. А NAT-а нет что-ли? - Нет соединений по VPN каналу, alecx, 10:16 , 21-Янв-14 (2)
sh cry ips sa
sh ver ip route есть в нужные подсети?
как проверяете что нет соединения?
- Нет соединений по VPN каналу, alecx, 10:17 , 21-Янв-14 (3)
> sh cry ips sa
> sh ver
> ip route есть в нужные подсети?
> как проверяете что нет соединения?И полный конфиг внешних и внутренних интерфейсов
- Нет соединений по VPN каналу, SLSit10, 10:25 , 21-Янв-14 (4)
>> sh cry ips sa
>> sh ver
>> ip route есть в нужные подсети?
>> как проверяете что нет соединения?
> И полный конфиг внешних и внутренних интерфейсов RouterA#
Building configuration... Current configuration : 2038 bytes
!
! Last configuration change at 13:10:55 UTC Thu Jan 16 2014
! NVRAM config last updated at 13:10:57 UTC Thu Jan 16 2014
! NVRAM config last updated at 13:10:57 UTC Thu Jan 16 2014
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname RouterA
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$1mLF$C4F6G.PgOaWxFybnMFMh11
!
no aaa new-model
!
no ipv6 cef
!
ip cef
!
multilink bundle-name authenticated
!
crypto pki token default removal timeout 0
!
license udi pid CISCO1941/K9 sn FGL1714224W
license boot module c1900 technology-package securityk9
license boot module c1900 technology-package datak9
!
redundancy
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco123 address 10.145.151.61
!
crypto ipsec transform-set rtpset esp-des esp-md5-hmac
!
crypto map rtp 2 ipsec-isakmp
set peer 10.145.151.61
set transform-set rtpset
match address 102
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
ip address 10.145.10.62 255.255.255.240
ip tcp adjust-mss 1400
duplex auto
speed auto
crypto map rtp
!
interface GigabitEthernet0/1
ip address 192.168.98.1 255.255.255.0
duplex auto
speed auto
!
interface GigabitEthernet0/0/0
no ip address
!
interface GigabitEthernet0/0/1
no ip address
!
interface GigabitEthernet0/0/2
no ip address
!
interface GigabitEthernet0/0/3
no ip address
!
interface Vlan1
no ip address
!
ip default-gateway 10.145.10.40
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
access-list 102 permit ip 192.168.98.0 0.0.0.255 192.168.99.0 0.0.0.255
!
control-plane
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output lat pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
login
transport input all
!
scheduler allocate 20000 1000
end RouterB#
Building configuration... Current configuration : 2056 bytes
!
! Last configuration change at 04:46:56 UTC Fri Jan 17 2014
! NVRAM config last updated at 04:48:13 UTC Fri Jan 17 2014
! NVRAM config last updated at 04:48:13 UTC Fri Jan 17 2014
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname RouterB
!
boot-start-marker
boot-end-marker
!
!
enable secret 4 daKYKG/09tp/TYVbvxlDi8/85nzz5u/yaMu4xzSWSiA
!
no aaa new-model
!
!
no ipv6 cef
ip source-route
ip cef
!
multilink bundle-name authenticated
!
crypto pki token default removal timeout 0
!
!
license udi pid CISCO1941/K9 sn FGL163712DS
license boot module c1900 technology-package securityk9
license boot module c1900 technology-package datak9
!
redundancy
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco123 address 10.145.10.62
!
crypto ipsec transform-set rtpset esp-des esp-md5-hmac
!
crypto map rtp 2 ipsec-isakmp
set peer 10.145.10.62
set transform-set rtpset
match address 101
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
ip address 10.145.151.61 255.255.255.0
ip tcp adjust-mss 1400
duplex auto
speed auto
crypto map rtp
!
interface GigabitEthernet0/1
ip address 192.168.99.1 255.255.255.0
duplex auto
speed auto
!
interface GigabitEthernet0/0/0
no ip address
!
interface GigabitEthernet0/0/1
no ip address
!
interface GigabitEthernet0/0/2
no ip address
!
interface GigabitEthernet0/0/3
no ip address
!
interface Vlan1
no ip address
!
ip default-gateway 10.145.151.1
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
!
access-list 101 permit ip 192.168.99.0 0.0.0.255 192.168.98.0 0.0.0.255
!
control-plane
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output lat pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
login
transport input all
!
scheduler allocate 20000 1000
end
- Нет соединений по VPN каналу, alecx, 10:29 , 21-Янв-14 (5)
ip default-gateway 10.145.151.1 - мимо кассыip routing
ip route 0.0.0.0 0.0.0.0 10.145.151.1
ip route 192.168.99.0 0.0.0.255 10.145.10.62 на первом аналогично.
и сделайте:
sh cry ips sa
sh ver
- Нет соединений по VPN каналу, SLSit10, 15:01 , 21-Янв-14 (6)
RouterA#interface: GigabitEthernet0/0
Crypto map tag: rtp, local addr 10.145.10.62 protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.98.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.99.0/255.255.255.0/0/0)
current_peer 10.145.151.61 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0 local crypto endpt.: 10.145.10.62, remote crypto endpt.: 10.145.151.61
path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0
current outbound spi: 0x0(0)
PFS (Y/N): N, DH group: none inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: RouterB# interface: GigabitEthernet0/0
Crypto map tag: rtp, local addr 10.145.151.61 protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.99.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.98.0/255.255.255.0/0/0)
current_peer 10.145.10.62 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0 local crypto endpt.: 10.145.151.61, remote crypto endpt.: 10.145.10.62
path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0
current outbound spi: 0x0(0)
PFS (Y/N): N, DH group: none inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas:
- Нет соединений по VPN каналу, alecx, 16:30 , 21-Янв-14 (7)
Счетчики
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0с двух сторон говорят о том, что в туннель не попадает траффик. Это обычно связанно с неправильным ACL или маршрутизацией. 1. Проверьте ACL.
2. Пропишите маршруты.
3. Добавьте в crypto map с каждой стороны:
set pfs group2
- Нет соединений по VPN каналу, SLSit10, 16:55 , 21-Янв-14 (8)
> Счетчики
> #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
> #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
> с двух сторон говорят о том, что в туннель не попадает траффик.
> Это обычно связанно с неправильным ACL или маршрутизацией.
> 1. Проверьте ACL.
> 2. Пропишите маршруты.
> 3. Добавьте в crypto map с каждой стороны:
> set pfs group2 в ACL-е вроде все норм, добавил в crypto map с каждой стороны: set pfs group2, пинг со стороны RouterA проходит до шлюза RouterB, но RouterB не видет своего шлюза
- Нет соединений по VPN каналу, бен Бецалель, 06:26 , 22-Янв-14 (9)
сделайте gre туннель между цысками
и зашифруйте ipsec профилем
удобнее и понятнее в настройке и отладке
- Нет соединений по VPN каналу, SLSit10, 13:06 , 22-Янв-14 (10)
> сделайте gre туннель между цысками
> и зашифруйте ipsec профилем
> удобнее и понятнее в настройке и отладке Можно по точнее? просто я пока новичок в этом деле, а в форумах по разному советуют, иду то по одной пути, то по другой, и в конце запутался... есть ли конкретные советы? или конкретные настройки VPN между двумя Cisco маршрутизаторами.
- Нет соединений по VPN каналу, inte, 17:13 , 27-Янв-14 (13)
>[оверквотинг удален]
>> #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
>> с двух сторон говорят о том, что в туннель не попадает траффик.
>> Это обычно связанно с неправильным ACL или маршрутизацией.
>> 1. Проверьте ACL.
>> 2. Пропишите маршруты.
>> 3. Добавьте в crypto map с каждой стороны:
>> set pfs group2
> в ACL-е вроде все норм, добавил в crypto map с каждой стороны:
> set pfs group2, пинг со стороны RouterA проходит до шлюза RouterB,
> но RouterB не видет своего шлюза И все таки похоже на проблемы с ACL и маршрутами.
Что значит с RouterB не видит шлюза ?
вывод ping 10.145.151.1 с routerB Ещё сбросьте счетчики acl clear access-list counters И делайте пинг в сторону вашей сети 192.168.99.0 с routerB
смотрите show access-list меняется ли количество вхождений по правилу (mathes) - должно меняться ! Далее включить debug crypto isakmp, debug crypto ipsec. Не забыть про команду terminal monitor, сам про неё все время забываю. Вывод сюда.
|
Версия для распечатки
Нет соединений по VPN каналу, 
