Jump to content
Sign in to follow this  
f-MAN

Не Поднимается Ip-sec На Cisco

Recommended Posts

Есть роутер, на котором реальный IP получается от провайдера через туннель (по другому — никак, к сожалению)

Как добиться того, чтобы SA для IP–Sec исходил из реального айпи, а не от частного, который привязан к интерфейсу?

Вот что там есть:

interface Tunnel1

ip address 80.ххх.ххх.ххх 255.255.255.252 — реальный IP

ip nat outside

ip virtual–reassembly

ip tcp adjust–mss 1436

tunnel source 10.18.0.90

tunnel destination 217.zzz.zzz.zzz - IP провайдера, где второй конец туннеля

interface Ethernet1

ip address 10.18.0.90 255.255.255.240

ip access–group 104 in

ip virtual–reassembly

no ip route–cache cef

duplex auto

no cdp enable

crypto map vpn–map

#sh cryp ips sa

interface: Tunnel1

Crypto map tag: vpn–map, local addr 10.18.0.90 — вот здесь нужен реальный IP 80.ххх.ххх.ххх, иначе вылазит вот такая фигня:

%CRYPTO–6–IKMP_MODE_FAILURE: Processing of Quick mode failed with peer at 81.ууу.ууу.ууу — это мой IP, на котором все правильно настроено (есть рабочий ip–sec с роутером, на котором реальный IP прописан на физическом интерфейсе)

Share this post


Link to post
Share on other sites
Есть роутер, на котором реальный IP получается от провайдера через туннель (по другому — никак, к сожалению)

Как добиться того, чтобы SA для IP–Sec исходил из реального айпи, а не от частного, который привязан к интерфейсу?

Вот что там есть:

interface Tunnel1

ip address 80.ххх.ххх.ххх 255.255.255.252 — реальный IP

ip nat outside

ip virtual–reassembly

ip tcp adjust–mss 1436

tunnel source 10.18.0.90

tunnel destination 217.zzz.zzz.zzz - IP провайдера, где второй конец туннеля

interface Ethernet1

ip address 10.18.0.90 255.255.255.240

ip access–group 104 in

ip virtual–reassembly

no ip route–cache cef

duplex auto

no cdp enable

crypto map vpn–map

#sh cryp ips sa

interface: Tunnel1

Crypto map tag: vpn–map, local addr 10.18.0.90 — вот здесь нужен реальный IP 80.ххх.ххх.ххх, иначе вылазит вот такая фигня:

%CRYPTO–6–IKMP_MODE_FAILURE: Processing of Quick mode failed with peer at 81.ууу.ууу.ууу — это мой IP, на котором все правильно настроено (есть рабочий ip–sec с роутером, на котором реальный IP прописан на физическом интерфейсе)

не видно конфига на isakmp, но рискну предположить что пользуете вы его в динамик моуд. поставьте прешаред.

берете пузырь коньяка и читаете http://www.cisco.com/en/US/products/sw/ios...0080110bca.html

если не помогло - пишите в личку. коньяк не пью, конфеты ем :(

Share this post


Link to post
Share on other sites

Я так понимаю автор сначала к прову вяжется. По PPTP к примеру. Вот интересно мне, заработала у него такая схема при использовании IPSEC "в чистом виде" - а именно это он и пытается проделать, видимо. :lol:

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Интересные предложения

×
×
  • Create New...