Добрый день. Подскажите пожалуйста кто знает как решить мою проблему. Суть в следующем: есть маршрутизаторы cisco 1760 и cisco 2811, находятся в разных городах, м/у ними через интернет поднят VPN на IPsec. Проблема в том, что это VPN временами падает (переодичности нет ни какой). Либо у меня что-то не докручено на железе либо воевать с провайдерами? (с разных сторон провайдеры разные)Части конфигов (ни чего особенного всё стандартно):
1760
crypto isakmp policy 1
authentication pre-share
group 2
crypto isakmp key ******** address 212.164.xxx.yyy
crypto ipsec transform-set pkomplex-vpn esp-des esp-sha-hmac
crypto map pkomplexvpn 10 ipsec-isakmp
set peer 212.164.xxx.yyy
set transform-set pkomplex-vpn
match address 120
qos pre-classify
..................
interface FastEthernet0/0.24
encapsulation dot1Q 24
ip address dhcp
ip nat outside
no snmp trap link-status
crypto map pkomplexvpn
2811
crypto isakmp policy 1
authentication pre-share
group 2
crypto isakmp key PKompl@x address 109.174.xxx.yyy
crypto ipsec transform-set pkomplex-vpn esp-des esp-sha-hmac
crypto map pkomplexvpn 10 ipsec-isakmp
set peer 109.174.xxx.yyy
set transform-set pkomplex-vpn
match address 120
qos pre-classify
....................
interface Dialer1
ip address negotiated
ip nat outside
ip virtual-reassembly max-fragments 64 max-reassemblies 1024 timeout 5
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username USER password 0 PASS
crypto map pkomplexvpn
в выдаёт логах следующее:
на 1760
.Feb 26 06:37:33.993: %CRYPTO-4-IKMP_NO_SA: IKE message from 10.10.25.1 has no SA and
is not an initialization offer
на 2811
Feb 26 07:11:24.620: %CRYPTO-4-IKMP_BAD_MESSAGE: IKE message from 109.174.19.63 failed its
sanity check or is malformed
небольшое уточнение:
2811 получает постоянный IP адрес 212.164.xxx.yyy по PPPoE
1760 "белого" IP не имеет, провайдер пробрасывает пару портов для IPSec. Причём 109.174.19.63 и 10.10.25.1 - это IP адреса на железе провайдера со стороны 1760.
кто знает подскажите что делать.