f-MAN Опубликовано 31 августа, 2007 Поделиться Опубликовано 31 августа, 2007 Есть роутер, на котором реальный IP получается от провайдера через туннель (по другому — никак, к сожалению) Как добиться того, чтобы SA для IP–Sec исходил из реального айпи, а не от частного, который привязан к интерфейсу? Вот что там есть: interface Tunnel1 ip address 80.ххх.ххх.ххх 255.255.255.252 — реальный IP ip nat outside ip virtual–reassembly ip tcp adjust–mss 1436 tunnel source 10.18.0.90 tunnel destination 217.zzz.zzz.zzz - IP провайдера, где второй конец туннеля interface Ethernet1 ip address 10.18.0.90 255.255.255.240 ip access–group 104 in ip virtual–reassembly no ip route–cache cef duplex auto no cdp enable crypto map vpn–map #sh cryp ips sa interface: Tunnel1 Crypto map tag: vpn–map, local addr 10.18.0.90 — вот здесь нужен реальный IP 80.ххх.ххх.ххх, иначе вылазит вот такая фигня: %CRYPTO–6–IKMP_MODE_FAILURE: Processing of Quick mode failed with peer at 81.ууу.ууу.ууу — это мой IP, на котором все правильно настроено (есть рабочий ip–sec с роутером, на котором реальный IP прописан на физическом интерфейсе) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
switch Опубликовано 1 сентября, 2007 Поделиться Опубликовано 1 сентября, 2007 Есть роутер, на котором реальный IP получается от провайдера через туннель (по другому — никак, к сожалению)Как добиться того, чтобы SA для IP–Sec исходил из реального айпи, а не от частного, который привязан к интерфейсу? Вот что там есть: interface Tunnel1 ip address 80.ххх.ххх.ххх 255.255.255.252 — реальный IP ip nat outside ip virtual–reassembly ip tcp adjust–mss 1436 tunnel source 10.18.0.90 tunnel destination 217.zzz.zzz.zzz - IP провайдера, где второй конец туннеля interface Ethernet1 ip address 10.18.0.90 255.255.255.240 ip access–group 104 in ip virtual–reassembly no ip route–cache cef duplex auto no cdp enable crypto map vpn–map #sh cryp ips sa interface: Tunnel1 Crypto map tag: vpn–map, local addr 10.18.0.90 — вот здесь нужен реальный IP 80.ххх.ххх.ххх, иначе вылазит вот такая фигня: %CRYPTO–6–IKMP_MODE_FAILURE: Processing of Quick mode failed with peer at 81.ууу.ууу.ууу — это мой IP, на котором все правильно настроено (есть рабочий ip–sec с роутером, на котором реальный IP прописан на физическом интерфейсе) не видно конфига на isakmp, но рискну предположить что пользуете вы его в динамик моуд. поставьте прешаред. берете пузырь коньяка и читаете http://www.cisco.com/en/US/products/sw/ios...0080110bca.html если не помогло - пишите в личку. коньяк не пью, конфеты ем Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Blackened Опубликовано 19 сентября, 2007 Поделиться Опубликовано 19 сентября, 2007 Я так понимаю автор сначала к прову вяжется. По PPTP к примеру. Вот интересно мне, заработала у него такая схема при использовании IPSEC "в чистом виде" - а именно это он и пытается проделать, видимо. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.