Добрый день.Есть проблема с организацией vpn-соединения между офисом и филиалом.
Схема подключения такова:
LAN 10.0.0.0/8 --- Cisco 3825 ---INTERNET---- Vigor Draytek--- LAN 192.168.100.32/28
Первая фаза IPSec проходит успешно, а вот вторая, при которой криптуются пакеты - нет.
debug cry ipsec показывает данную ошибку
IPSEC(epa_des_crypt): decrypted packet failed SA identity check
При этом sh cry ipsec
#send errors 0, #recv errors 528
На форумах говорят. что данная проблема связана с ошибками в access-list, но я уже 100 раз на них смотрел и не вижу ошибки.
Любые идеи - welcome.
Конфиги cisco:
crypto isakmp policy 23
encr aes
authentication pre-share
group 2
lifetime 28800
crypto isakmp key 123123 address 11.11.11.11 no-xauth
crypto ipsec transform-set 24_AES-SHA esp-aes esp-sha-hmac
crypto map A24 23 ipsec-isakmp
set peer 11.11.11.11
set transform-set 24_AES-SHA
match address 123
ip nat inside source list AL interface fa 0/1 overload
access-list 123 permit ip 10.0.0.0 0.255.255.255 192.168.100.32 0.0.0.15
access-list 123 deny ip any any
ip access-list extended AL
deny ip any 10.0.0.0 0.255.255.255
deny ip any 172.16.0.0 0.15.255.255
deny ip any 192.168.0.0 0.0.255.255
permit ip any host 11.11.11.11
deny ip any any
int fa 0/0
ip nat inside
ip address 10.1.11.1 255.0.0.0
int fa 0/1
ip nat outside
ip address ***********
crypto map A24
На Vigor сконфигурирована подcеть 192.168.100.32/28 с правильной маской, логи неинформативны.