forum.opennet.ru - "IPSec туннель поднимается, но трафик не проходит" (11)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"IPSec туннель поднимается, но трафик не проходит"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"IPSec туннель поднимается, но трафик не проходит"	+/–
Сообщение от iCrash (ok) on 26-Авг-14, 10:49
Доброго времени суток! Ситуация такова - 2 циски (2901 и 2921), между ними поднят ipsec tunnel и на каждой поднят впн-сервер, поднимается через интернет, с одной стороны после маршрутизатора стоят 2 каталиста и статическая маршрутизация, а с другой два нексуса и поднят eigrp. Вообщем, туннель как таковой поднимается, о чем говорит sh crypto isakm sa / ipsec sa, но не совсем понятно почему. Для его поднятия, если я не ошибаюсь, нужно послать трафик через него. Делаю clear crypto isakmp, сесия удаляется и уже через пять секунд заново поднимается. Что самое плохое, пинги не идут. Помогите разобраться, пожалуйста! R_1 crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 lifetime 3600 ! crypto isakmp policy 3 encr 3des authentication pre-share crypto isakmp key cisco123 address 37...* ! crypto isakmp client configuration group **** key * dns * domain * pool ippool acl vpnuser save-password crypto isakmp profile VPN match identity group *** client authentication list userauthen isakmp authorization list groupauthor client configuration address respond ! ! crypto ipsec transform-set letsgo esp-3des esp-md5-hmac mode tunnel crypto ipsec transform-set myset esp-aes esp-md5-hmac mode tunnel ! ! ! crypto dynamic-map dynmap 10 set transform-set letsgo set isakmp-profile VPN reverse-route ! ! crypto map DAVAI 2 ipsec-isakmp set peer 37...* set transform-set letsgo match address ipsec crypto map DAVAI 100 ipsec-isakmp dynamic dynmap interface GigabitEthernet0/0 ip address 178...* ip nat outside ip virtual-reassembly in duplex auto speed auto crypto map DAVAI ! interface GigabitEthernet0/1 ip address 10.255.0.5 255.255.255.252 ip nat inside ip virtual-reassembly in duplex auto speed auto ! interface GigabitEthernet0/2 ip address 10.255.0.13 255.255.255.252 ip nat inside ip virtual-reassembly in duplex auto speed auto ! interface Virtual-Template1 ip unnumbered GigabitEthernet0/0 peer default ip address pool test no keepalive ppp encrypt mppe auto ppp authentication ms-chap ms-chap-v2 ! router eigrp 100 network 10.255.0.0 0.0.0.255 redistribute static redistribute connected ! ip local pool ippool 10.10.20.1 10.10.22.254 ip forward-protocol nd ! no ip http server no ip http secure-server ! ip route 0.0.0.0 0.0.0.0 178...* ip route 10.10.12.0 255.255.255.0 10.255.0.6 ip route 10.10.12.0 255.255.255.0 10.255.0.14 ! ip access-list extended internet deny ip host 10.10.53.10 10.10.20.0 0.0.3.255 permit ip host 10.10.53.10 any ip access-list extended ipsec permit ip 10.10.12.0 0.0.0.255 192.168.1.0 0.0.0.255 permit ip 10.10.12.0 0.0.0.255 10.255.1.0 0.0.0.255 permit ip 10.255.0.0 0.0.0.255 10.255.1.0 0.0.0.255 ip access-list extended nat deny ip 10.10.12.0 0.0.0.255 192.168.1.0 0.0.0.255 permit ip 10.10.12.0 0.0.0.255 any ip access-list extended vpnuser permit ip 10.10.0.0 0.0.255.255 10.10.0.0 0.0.255.255 permit ip 10.10.12.0 0.0.0.255 10.10.20.0 0.0.3.255 permit ip 10.10.48.0 0.0.7.255 10.10.20.0 0.0.3.255 R_2 crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 lifetime 3600 ! crypto isakmp policy 3 encr 3des authentication pre-share crypto isakmp key cisco123 address 178...* ! crypto isakmp client configuration group *** key * dns * domain *** pool vpnpool acl vpnuser save-password crypto isakmp profile VPN match identity group comlombard client authentication list userauthen isakmp authorization list groupauthor client configuration address respond ! ! crypto ipsec transform-set letsgo esp-3des esp-md5-hmac mode tunnel crypto ipsec transform-set myset esp-aes esp-md5-hmac mode tunnel ! ! ! crypto dynamic-map dynmap 10 set transform-set letsgo set isakmp-profile VPN reverse-route ! ! crypto map DAVAI 2 ipsec-isakmp set peer 178...* set transform-set letsgo match address ipsec crypto map DAVAI 100 ipsec-isakmp dynamic dynmap ! ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address duplex auto speed auto ! interface GigabitEthernet0/0.5 encapsulation dot1Q 5 ip address 10.255.1.5 255.255.255.252 ip nat inside ip virtual-reassembly in ! interface GigabitEthernet0/0.100 encapsulation dot1Q 100 ip address 37...* ip nat outside ip virtual-reassembly in crypto map DAVAI ! interface GigabitEthernet0/1 no ip address duplex auto speed auto ! interface GigabitEthernet0/1.9 encapsulation dot1Q 9 ip address 10.255.1.9 255.255.255.252 ip nat inside ip virtual-reassembly in ! interface Virtual-Template1 ip unnumbered GigabitEthernet0/0.100 peer default ip address pool namepool no keepalive ppp encrypt mppe auto ppp authentication ms-chap ms-chap-v2 ! ip local pool vpnpool 10.10.23.1 10.10.23.254 ip forward-protocol nd ! no ip http server no ip http secure-server ! ip nat inside source list nat interface GigabitEthernet0/0.100 overload ip route 0.0.0.0 0.0.0.0 37...* ip route 192.168.0.0 255.255.255.0 10.255.1.6 ip route 192.168.0.0 255.255.255.0 10.255.1.10 ip route 192.168.1.0 255.255.255.0 10.255.1.6 ip route 192.168.1.0 255.255.255.0 10.255.1.10 ! ip access-list extended internet permit ip 192.168.0.0 0.0.0.255 any ip access-list extended ipsec permit ip 192.168.1.0 0.0.0.255 10.10.12.0 0.0.0.255 permit ip 192.168.1.0 0.0.0.255 10.255.0.0 0.0.0.255 permit ip 10.255.1.0 0.0.0.255 10.255.0.0 0.0.0.255 ip access-list extended nat deny ip 192.168.1.0 0.0.0.255 10.10.12.0 0.0.0.255 permit ip 192.168.1.0 0.0.0.255 any ip access-list extended test deny ip 192.168.1.0 0.0.0.255 10.10.12.0 0.0.0.255 permit ip 192.168.1.0 0.0.0.255 any ip access-list extended vpnuser sh crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status 37.,,* 178.,,* QM_IDLE 18035 ACTIVE IPv6 Crypto ISAKMP SA
Ответить \| Правка \| Cообщить модератору

Оглавление

IPSec туннель поднимается, но трафик не проходит, ShyLion, 12:08 , 26-Авг-14, (1)

IPSec туннель поднимается, но трафик не проходит, iCrash, 13:18 , 26-Авг-14, (2)

IPSec туннель поднимается, но трафик не проходит, ShyLion, 07:28 , 27-Авг-14, (3)

IPSec туннель поднимается, но трафик не проходит, iCrash, 08:34 , 27-Авг-14, (4)
IPSec туннель поднимается, но трафик не проходит, iCrash, 08:42 , 27-Авг-14, (5)

IPSec туннель поднимается, но трафик не проходит, ShyLion, 08:54 , 27-Авг-14, (6)

IPSec туннель поднимается, но трафик не проходит, iCrash, 10:00 , 27-Авг-14, (7)

IPSec туннель поднимается, но трафик не проходит, Andrey, 11:16 , 27-Авг-14, (8)

IPSec туннель поднимается, но трафик не проходит, iCrash, 15:26 , 27-Авг-14, (9)

IPSec туннель поднимается, но трафик не проходит, Andrey, 17:52 , 27-Авг-14, (10)

IPSec туннель поднимается, но трафик не проходит, iCrash, 23:06 , 27-Авг-14, (11)

Сообщения по теме [Сортировка по времени | RSS]

1. "IPSec туннель поднимается, но трафик не проходит" +/–

Сообщение от ShyLion (ok) on 26-Авг-14, 12:08

> Доброго времени суток!
> Ситуация такова - 2 циски (2901 и 2921), между ними поднят ipsec
> tunnel
Совет. Между двумя IOS сиськами не используй криптомапы, а используй VTI

int tunnel X
tunnel mode ipsec ipv4
tunnel protection ipsec profile XXXX
тогда с роутингом на порядок проще разбираться, работает динамическая маршрутизация и т.д.
http://www.cisco.com/en/US/technologies/tk583/tk372/technolo...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "IPSec туннель поднимается, но трафик не проходит" +/–

Сообщение от iCrash (ok) on 26-Авг-14, 13:18

>[оверквотинг удален]
>> Ситуация такова - 2 циски (2901 и 2921), между ними поднят ipsec
>> tunnel
> Совет. Между двумя IOS сиськами не используй криптомапы, а используй VTI
>

> int tunnel X
>  tunnel mode ipsec ipv4
>  tunnel protection ipsec profile XXXX
>

> тогда с роутингом на порядок проще разбираться, работает динамическая маршрутизация и т.д.
> http://www.cisco.com/en/US/technologies/tk583/tk372/technolo...
не до конца понял логику соединения, но тем не менее настроил как в конфиге.
sh int t0
Tunnel0 is up, line protocol is up
sh crypto session detail
..........
Interface: Tunnel0
Session status: UP-NO-IKE

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "IPSec туннель поднимается, но трафик не проходит" +/–

Сообщение от ShyLion (ok) on 27-Авг-14, 07:28

sho run | sect ^crypto|^interface Tunnel

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "IPSec туннель поднимается, но трафик не проходит" +/–

Сообщение от iCrash (ok) on 27-Авг-14, 08:34

> sho run | sect ^crypto|^interface Tunnel
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco123 address 0.0.0.0
crypto isakmp keepalive 10
crypto ipsec transform-set TSET esp-3des esp-sha-hmac
mode tunnel
crypto ipsec profile VTI
set transform-set TSET
interface Tunnel0
ip address 10.0.0.2 255.255.255.0
tunnel source 37.*,*,*
tunnel mode ipsec ipv4
tunnel destination 178.*,*,*
tunnel protection ipsec profile VTI
service-policy output FOO

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "IPSec туннель поднимается, но трафик не проходит" +/–

Сообщение от iCrash (ok) on 27-Авг-14, 08:42

> sho run | sect ^crypto|^interface Tunnel
хотя смотрю, теперь все стало active, но трафик так и не идет. я так понял динамическая маршрутизация необязательный пункт, и прописал статику - безрезультатно. хоть все и в АПе и АКТИВ, но команда ping 10.0.0.1 sourse tunell0 не принесла результата

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "IPSec туннель поднимается, но трафик не проходит" +/–

Сообщение от ShyLion (ok) on 27-Авг-14, 08:54

>> sho run | sect ^crypto|^interface Tunnel
> хотя смотрю, теперь все стало active, но трафик так и не идет.
> я так понял динамическая маршрутизация необязательный пункт, и прописал статику -
> безрезультатно. хоть все и в АПе и АКТИВ, но команда ping
> 10.0.0.1 sourse tunell0 не принесла результата
Что-то подозреваю я что ты далеко не все скопипастил.
Есть еще криптомапы какие с теми-же адресами пиров?
ESP у тебя не фильтруется часом? У провайдера?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "IPSec туннель поднимается, но трафик не проходит" +/–

Сообщение от iCrash (ok) on 27-Авг-14, 10:00

>>> sho run | sect ^crypto|^interface Tunnel
>> хотя смотрю, теперь все стало active, но трафик так и не идет.
>> я так понял динамическая маршрутизация необязательный пункт, и прописал статику -
>> безрезультатно. хоть все и в АПе и АКТИВ, но команда ping
>> 10.0.0.1 sourse tunell0 не принесла результата
> Что-то подозреваю я что ты далеко не все скопипастил.
> Есть еще криптомапы какие с теми-же адресами пиров?
> ESP у тебя не фильтруется часом? У провайдера?
вдоль и поперек все провел, да и не такой уж он и большой, что б что то забыть.
конфиг сейчас до нельзя простой, практически идентичный сисковскому.
нет не фильтруется.
забыл упомянуть что туннель работал когда схемы была в сложнее (с хсрп, с впн, с впдн, с натом и кучей акл)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "IPSec туннель поднимается, но трафик не проходит" +/–

Сообщение от Andrey (??) on 27-Авг-14, 11:16

>[оверквотинг удален]
>>> 10.0.0.1 sourse tunell0 не принесла результата
>> Что-то подозреваю я что ты далеко не все скопипастил.
>> Есть еще криптомапы какие с теми-же адресами пиров?
>> ESP у тебя не фильтруется часом? У провайдера?
> вдоль и поперек все провел, да и не такой уж он и
> большой, что б что то забыть.
> конфиг сейчас до нельзя простой, практически идентичный сисковскому.
> нет не фильтруется.
> забыл упомянуть что туннель работал когда схемы была в сложнее (с хсрп,
> с впн, с впдн, с натом и кучей акл)
sh crypto ipsec sa
с обоих сторон.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "IPSec туннель поднимается, но трафик не проходит" +/–

Сообщение от iCrash (ok) on 27-Авг-14, 15:26

>[оверквотинг удален]
>>> Есть еще криптомапы какие с теми-же адресами пиров?
>>> ESP у тебя не фильтруется часом? У провайдера?
>> вдоль и поперек все провел, да и не такой уж он и
>> большой, что б что то забыть.
>> конфиг сейчас до нельзя простой, практически идентичный сисковскому.
>> нет не фильтруется.
>> забыл упомянуть что туннель работал когда схемы была в сложнее (с хсрп,
>> с впн, с впдн, с натом и кучей акл)
> sh crypto ipsec sa
> с обоих сторон.
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
37.*.*.*    178.*.*.*   QM_IDLE          18002 ACTIVE
178.*.*.*   37.*.*.*   QM_IDLE          18003 ACTIVE

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "IPSec туннель поднимается, но трафик не проходит" +/–

Сообщение от Andrey (??) on 27-Авг-14, 17:52

>[оверквотинг удален]
>> с обоих сторон.
> IPv4 Crypto ISAKMP SA
> dst
>  src
>    state
>   conn-id status
> 37.*.*.*    178.*.*.*   QM_IDLE
>      18002 ACTIVE
> 178.*.*.*   37.*.*.*   QM_IDLE
>     18003 ACTIVE
Хм... пока нет понятия чем отличаются crypto isakmp sa и crypto ipsec sa и фазы установления IPSec - разговор по большей части бесполезен.
Почитайте это http://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec...

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "IPSec туннель поднимается, но трафик не проходит" +/–

Сообщение от iCrash (ok) on 27-Авг-14, 23:06

>[оверквотинг удален]
>>  src
>>    state
>>   conn-id status
>> 37.*.*.*    178.*.*.*   QM_IDLE
>>      18002 ACTIVE
>> 178.*.*.*   37.*.*.*   QM_IDLE
>>     18003 ACTIVE
> Хм... пока нет понятия чем отличаются crypto isakmp sa и crypto ipsec
> sa и фазы установления IPSec - разговор по большей части бесполезен.
> Почитайте это http://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec...
упс, не внимательно прочитал. но там тоже все было ап-актив. короче, походу был некий баг или еще что, психанул - erase startap config, заново все собрал и...о чудо!
в любом случае, благодарю за помощь!

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "IPSec туннель поднимается, но трафик не проходит"	+/–
Сообщение от ShyLion (ok) on 26-Авг-14, 12:08
> Доброго времени суток! > Ситуация такова - 2 циски (2901 и 2921), между ними поднят ipsec > tunnel Совет. Между двумя IOS сиськами не используй криптомапы, а используй VTI int tunnel X tunnel mode ipsec ipv4 tunnel protection ipsec profile XXXX тогда с роутингом на порядок проще разбираться, работает динамическая маршрутизация и т.д. http://www.cisco.com/en/US/technologies/tk583/tk372/technolo...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "IPSec туннель поднимается, но трафик не проходит"	+/–
	Сообщение от iCrash (ok) on 26-Авг-14, 13:18
	>[оверквотинг удален] >> Ситуация такова - 2 циски (2901 и 2921), между ними поднят ipsec >> tunnel > Совет. Между двумя IOS сиськами не используй криптомапы, а используй VTI > > int tunnel X > tunnel mode ipsec ipv4 > tunnel protection ipsec profile XXXX > > тогда с роутингом на порядок проще разбираться, работает динамическая маршрутизация и т.д. > http://www.cisco.com/en/US/technologies/tk583/tk372/technolo... не до конца понял логику соединения, но тем не менее настроил как в конфиге. sh int t0 Tunnel0 is up, line protocol is up sh crypto session detail .......... Interface: Tunnel0 Session status: UP-NO-IKE
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "IPSec туннель поднимается, но трафик не проходит"	+/–
	Сообщение от ShyLion (ok) on 27-Авг-14, 07:28
	sho run \| sect ^crypto\|^interface Tunnel
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "IPSec туннель поднимается, но трафик не проходит"	+/–
	Сообщение от iCrash (ok) on 27-Авг-14, 08:34
	> sho run \| sect ^crypto\|^interface Tunnel crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key cisco123 address 0.0.0.0 crypto isakmp keepalive 10 crypto ipsec transform-set TSET esp-3des esp-sha-hmac mode tunnel crypto ipsec profile VTI set transform-set TSET interface Tunnel0 ip address 10.0.0.2 255.255.255.0 tunnel source 37.,,* tunnel mode ipsec ipv4 tunnel destination 178.,,* tunnel protection ipsec profile VTI service-policy output FOO
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "IPSec туннель поднимается, но трафик не проходит"	+/–
	Сообщение от iCrash (ok) on 27-Авг-14, 08:42
	> sho run \| sect ^crypto\|^interface Tunnel хотя смотрю, теперь все стало active, но трафик так и не идет. я так понял динамическая маршрутизация необязательный пункт, и прописал статику - безрезультатно. хоть все и в АПе и АКТИВ, но команда ping 10.0.0.1 sourse tunell0 не принесла результата
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	6. "IPSec туннель поднимается, но трафик не проходит"	+/–
	Сообщение от ShyLion (ok) on 27-Авг-14, 08:54
	>> sho run \| sect ^crypto\|^interface Tunnel > хотя смотрю, теперь все стало active, но трафик так и не идет. > я так понял динамическая маршрутизация необязательный пункт, и прописал статику - > безрезультатно. хоть все и в АПе и АКТИВ, но команда ping > 10.0.0.1 sourse tunell0 не принесла результата Что-то подозреваю я что ты далеко не все скопипастил. Есть еще криптомапы какие с теми-же адресами пиров? ESP у тебя не фильтруется часом? У провайдера?
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "IPSec туннель поднимается, но трафик не проходит"	+/–
	Сообщение от iCrash (ok) on 27-Авг-14, 10:00
	>>> sho run \| sect ^crypto\|^interface Tunnel >> хотя смотрю, теперь все стало active, но трафик так и не идет. >> я так понял динамическая маршрутизация необязательный пункт, и прописал статику - >> безрезультатно. хоть все и в АПе и АКТИВ, но команда ping >> 10.0.0.1 sourse tunell0 не принесла результата > Что-то подозреваю я что ты далеко не все скопипастил. > Есть еще криптомапы какие с теми-же адресами пиров? > ESP у тебя не фильтруется часом? У провайдера? вдоль и поперек все провел, да и не такой уж он и большой, что б что то забыть. конфиг сейчас до нельзя простой, практически идентичный сисковскому. нет не фильтруется. забыл упомянуть что туннель работал когда схемы была в сложнее (с хсрп, с впн, с впдн, с натом и кучей акл)
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "IPSec туннель поднимается, но трафик не проходит"	+/–
	Сообщение от Andrey (??) on 27-Авг-14, 11:16
	>[оверквотинг удален] >>> 10.0.0.1 sourse tunell0 не принесла результата >> Что-то подозреваю я что ты далеко не все скопипастил. >> Есть еще криптомапы какие с теми-же адресами пиров? >> ESP у тебя не фильтруется часом? У провайдера? > вдоль и поперек все провел, да и не такой уж он и > большой, что б что то забыть. > конфиг сейчас до нельзя простой, практически идентичный сисковскому. > нет не фильтруется. > забыл упомянуть что туннель работал когда схемы была в сложнее (с хсрп, > с впн, с впдн, с натом и кучей акл) sh crypto ipsec sa с обоих сторон.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "IPSec туннель поднимается, но трафик не проходит"	+/–
	Сообщение от iCrash (ok) on 27-Авг-14, 15:26
	>[оверквотинг удален] >>> Есть еще криптомапы какие с теми-же адресами пиров? >>> ESP у тебя не фильтруется часом? У провайдера? >> вдоль и поперек все провел, да и не такой уж он и >> большой, что б что то забыть. >> конфиг сейчас до нельзя простой, практически идентичный сисковскому. >> нет не фильтруется. >> забыл упомянуть что туннель работал когда схемы была в сложнее (с хсрп, >> с впн, с впдн, с натом и кучей акл) > sh crypto ipsec sa > с обоих сторон. IPv4 Crypto ISAKMP SA dst src state conn-id status 37...* 178...* QM_IDLE 18002 ACTIVE 178...* 37...* QM_IDLE 18003 ACTIVE
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "IPSec туннель поднимается, но трафик не проходит"	+/–
	Сообщение от Andrey (??) on 27-Авг-14, 17:52
	>[оверквотинг удален] >> с обоих сторон. > IPv4 Crypto ISAKMP SA > dst > src > state > conn-id status > 37...* 178...* QM_IDLE > 18002 ACTIVE > 178...* 37...* QM_IDLE > 18003 ACTIVE Хм... пока нет понятия чем отличаются crypto isakmp sa и crypto ipsec sa и фазы установления IPSec - разговор по большей части бесполезен. Почитайте это http://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec...
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "IPSec туннель поднимается, но трафик не проходит"	+/–
	Сообщение от iCrash (ok) on 27-Авг-14, 23:06
	>[оверквотинг удален] >> src >> state >> conn-id status >> 37...* 178...* QM_IDLE >> 18002 ACTIVE >> 178...* 37...* QM_IDLE >> 18003 ACTIVE > Хм... пока нет понятия чем отличаются crypto isakmp sa и crypto ipsec > sa и фазы установления IPSec - разговор по большей части бесполезен. > Почитайте это http://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec... упс, не внимательно прочитал. но там тоже все было ап-актив. короче, походу был некий баг или еще что, психанул - erase startap config, заново все собрал и...о чудо! в любом случае, благодарю за помощь!
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору