Всем привет. Очень непонятный глюк случился, а решить очень надо. Есть Cisco PIX Firewall Version 6.3(4) Inside Hosts: Unlimited Throughput: Unlimited IKE peers: Unlimited Cisco поднимает ВПН до филиала, в филиале стоит D-link DI-804HV. На данный момент таким образом подключено 20 филиалов, все работает. При подключении 21-го филиала ВПН поднимается, но не идут пинги, не цепляется к серваку почта, не работает IP телефония, НО работает Radmin, работает корпоративная аська, работает файловый обмен. Все филиалы настроены аналогично друг другу, разница лишь в подсетях. Дело в циске, тестил из дома, таже фигня. Работают подсети с 201 по 220, дальше никак. Пробовал переводить филиал в 208 подсеть, все работает, вернул в 221 не работает. Еще смущает то, что впн подключений ровно 20, никих ограничений не может быть? access-list no_nat permit icmp 192.168.0.0 255.255.255.0 192.168.202.0 255.255.255.0 access-list no_nat permit icmp 192.168.202.0 255.255.255.0 192.168.0.0 255.255.255.0 access-list no_nat permit udp 192.168.0.0 255.255.255.0 192.168.202.0 255.255.255.0 access-list no_nat permit udp 192.168.202.0 255.255.255.0 192.168.0.0 255.255.255.0 access-list no_nat permit ip 192.168.202.0 255.255.255.0 192.168.0.0 255.255.255.0 access-list no_nat permit ip 192.168.0.0 255.255.255.0 192.168.202.0 255.255.255.0 … access-list my_acl permit ip 192.168.0.0 255.255.255.0 192.168.202.0 255.255.255.0 access-list my_acl permit ip 192.168.202.0 255.255.255.0 192.168.0.0 255.255.255.0 access-list my_acl permit icmp 192.168.0.0 255.255.255.0 192.168.202.0 255.255.255.0 access-list my_acl permit icmp 192.168.202.0 255.255.255.0 192.168.0.0 255.255.255.0 access-list my_acl permit udp 192.168.0.0 255.255.255.0 192.168.202.0 255.255.255.0 access-list my_acl permit udp 192.168.202.0 255.255.255.0 192.168.0.0 255.255.255.0 … crypto ipsec transform-set myset esp-3des esp-md5-hmac crypto map mymap 18 ipsec-isakmp crypto map mymap 18 match address my_acl crypto map mymap 18 set pfs group2 crypto map mymap 18 set peer х.х.х.х crypto map mymap 18 set transform-set myset crypto map mymap interface outside isakmp enable outside isakmp key ******** address х.х.х.х netmask 255.255.255.0 isakmp identity address isakmp log 20000 isakmp policy 15 authentication pre-share isakmp policy 15 encryption 3des isakmp policy 15 hash md5 isakmp policy 15 group 2 isakmp policy 15 lifetime 86400 Для остальных все тоже, изменяется только имя аксес листа с подсетью, myset, mymap №. Может кто сталкивался?
|