The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Tunnel Cisco2811-Dir620-Cisco877"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"Tunnel Cisco2811-Dir620-Cisco877"  +/
Сообщение от Lhs (ok) on 22-Ноя-12, 09:19 
Доброго времени суток.
Примите новичка...

Ситуация такая: требуется выходить в своею сеть с произвольного географического места с оборудованием, которое не умеет поднимать VPN. В наличии есть Cisco 2811((C2800NM-ADVSECURITYK9-M, Version 12.4(24)T6, RELEASE SOFTWARE (fc2)), смотрящий в интернет с белым адресом. Для удаленного подключения есть Cisco 877 ((C870-ADVIPSERVICESK9-M), Version 12.4(24)T, RELEASE SOFTWARE (fc1)). Для подключения с877 к интеренету есть роутер D-Link Dir-620.
Собственно проблема: для первоначальной настройки делаю связь напрямую без участия провайдеров: Cisco2811-Dir620-Cisco877. Из прочтенного на форумах выяснил, что туннель через NAT может бегать только криптованный. Туннель не поднимается, а именно: после включения с877 туннель поднимается на примерно 1 минуту и выключается, больше попыток подняться не делает. Если из схемы исключить Dir-620, то туннель поднимается и функцианирует нормально.

Что я делаю не так? Ведь с компьютера на VPN сервер под виндой сквозь этот же dir-620 VPN соединение поднимается без вопросов.

Кусок конфига с2811

crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key SUPER_KEY address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set 3DES_MD5 esp-3des esp-md5-hmac
!
crypto dynamic-map DYNAMIC 10
set transform-set 3DES_MD5
!
crypto map VPN 10 ipsec-isakmp dynamic DYNAMIC
!
ip tcp selective-ack
ip tcp timestamp
ip tcp synwait-time 10
ip tcp path-mtu-discovery
!
interface Tunnel21
ip address 192.168.254.1 255.255.255.0
no ip redirects
ip nhrp authentication SECRET8
ip nhrp network-id 21
ip nhrp holdtime 60
keepalive 20 3
tunnel source FastEthernet0/1
tunnel mode gre multipoint
tunnel key 21
!
interface FastEthernet0/1
ip address 192.168.99.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
duplex auto
speed auto
no mop enabled
crypto map VPN

Кусок конфига С877
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key SUPER_KEY address 192.168.99.1
!
crypto ipsec transform-set 3DES_MD5 esp-3des esp-md5-hmac
!
crypto map VPN 10 ipsec-isakmp
set peer 192.168.99.1
set transform-set 3DES_MD5
match address SPOKE
!
ip ssh time-out 60
ip ssh authentication-retries 2
!
interface Tunnel21
ip address 192.168.254.2 255.255.255.0
ip nhrp authentication SECRET8
ip nhrp map 192.168.254.1 192.168.99.1
ip nhrp network-id 21
ip nhrp holdtime 60
ip nhrp nhs 192.168.254.1
keepalive 20 3
tunnel source 192.168.0.2
tunnel destination 192.168.99.1
tunnel key 21
!
interface FastEthernet0
description Internet
switchport access vlan 2
random-detect
!
interface Vlan2
description Vlan2-Fa0
ip address 192.168.0.2 255.255.255.0
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
snmp trap ip verify drop-rate
crypto map VPN
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Vlan2 192.168.0.1
ip route 0.0.0.0 0.0.0.0 Null0 254
ip http server
!
!
ip nat inside source list 199 interface Vlan2 overload
!
ip access-list extended SPOKE
permit gre host 192.168.0.2 host 192.168.99.1
!
access-list 199 permit ip 10.97.59.224 0.0.0.31 any
no cdp run

на 2811 дебаг заканчивается так:
066935: Nov 22 08:09:21.502 PCTime: ISAKMP:(1020):Sending an IKE IPv4 Packet.
066936: Nov 22 08:09:21.502 PCTime: ISAKMP:(1020):Node -683379492, Input = IKE_MESG_INTERNAL, IKE_GOT_SPI
066937: Nov 22 08:09:21.502 PCTime: ISAKMP:(1020):Old State = IKE_QM_SPI_STARVE  New State = IKE_QM_R_QM2
066938: Nov 22 08:09:21.502 PCTime: IPSEC(key_engine): got a queue event with 1 KMI message(s)
066939: Nov 22 08:09:21.502 PCTime: IPSEC(policy_db_add_ident): src 192.168.99.1, dest 192.168.0.2, dest_port 0

066940: Nov 22 08:09:21.506 PCTime: IPSEC(create_sa): sa created,
  (sa) sa_dest= 192.168.99.1, sa_proto= 50,
    sa_spi= 0x810EF8D6(2165242070),
    sa_trans= esp-3des esp-md5-hmac , sa_conn_id= 2033
    sa_lifetime(k/sec)= (4557475/3600)
066941: Nov 22 08:09:21.506 PCTime: IPSEC(create_sa): sa created,
  (sa) sa_dest= 10.97.57.238, sa_proto= 50,
    sa_spi= 0xFF34F5A7(4281660839),
    sa_trans= esp-3des esp-md5-hmac , sa_conn_id= 2034
    sa_lifetime(k/sec)= (4557475/3600)
066942: Nov 22 08:09:21.518 PCTime: ISAKMP (1020): received packet from 10.97.57.238 dport 4500 sport 4500 Global (R) QM_IDLE
066943: Nov 22 08:09:21.518 PCTime: ISAKMP:(1020):deleting node -683379492 error FALSE reason "QM done (await)"
066944: Nov 22 08:09:21.518 PCTime: ISAKMP:(1020):Node -683379492, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
066945: Nov 22 08:09:21.518 PCTime: ISAKMP:(1020):Old State = IKE_QM_R_QM2  New State = IKE_QM_PHASE2_COMPLETE
066946: Nov 22 08:09:21.518 PCTime: IPSEC(key_engine): got a queue event with 1 KMI message(s)
066947: Nov 22 08:09:21.518 PCTime: IPSEC(key_engine_enable_outbound): rec'd enable notify from ISAKMP
066948: Nov 22 08:09:21.518 PCTime: IPSEC(key_engine_enable_outbound): enable SA with spi 4281660839/50
066949: Nov 22 08:09:21.518 PCTime: IPSEC(update_current_outbound_sa): updated peer 10.97.57.238 current outbound sa to SPI FF34F5A7
066956: Nov 22 08:10:11.518 PCTime: ISAKMP:(1020):purging node -683379492


на 877 дебаг заканчивается так:
000172: *Nov 21 19:28:51.199 PCTime: Crypto mapdb : proxy_match
        src addr     : 192.168.0.2
        dst addr     : 192.168.99.1
        protocol     : 47
        src port     : 0
        dst port     : 0
000173: *Nov 21 19:28:51.199 PCTime: IPSEC(crypto_ipsec_sa_find_ident_head): reconnecting with the same proxies and peer 192.168.99.1
000174: *Nov 21 19:28:51.199 PCTime: IPSEC(policy_db_add_ident): src 192.168.0.2, dest 192.168.99.1, dest_port 0

000175: *Nov 21 19:28:51.203 PCTime: IPSEC(create_sa): sa created,
  (sa) sa_dest= 192.168.0.2, sa_proto= 50,
    sa_spi= 0xFF34F5A7(4281660839),
    sa_trans= esp-3des esp-md5-hmac , sa_conn_id= 1
    sa_lifetime(k/sec)= (4504604/3600)
000176: *Nov 21 19:28:51.203 PCTime: IPSEC(create_sa): sa created,
  (sa) sa_dest= 192.168.99.1, sa_proto= 50,
    sa_spi= 0x810EF8D6(2165242070),
    sa_trans= esp-3des esp-md5-hmac , sa_conn_id= 2
    sa_lifetime(k/sec)= (4504604/3600)
000177: *Nov 21 19:28:51.203 PCTime: IPSEC(update_current_outbound_sa): updated peer 192.168.99.1 current outbound sa to SPI 810EF8D6
000178: *Nov 21 19:28:52.939 PCTime: %LINK-3-UPDOWN: Interface Tunnel21, changed state to up
000179: *Nov 21 19:28:53.939 PCTime: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel21, changed state to up
000180: *Nov 21 19:28:54.687 PCTime: %SYS-5-CONFIG_I: Configured from console by admin21 on console
000181: *Nov 21 19:29:41.199 PCTime: ISAKMP:(2001):purging node -683379492
000182: *Nov 21 19:30:11.943 PCTime: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel21, changed state to down
cisco_877#

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Tunnel Cisco2811-Dir620-Cisco877"  +/
Сообщение от Николай (??) on 22-Ноя-12, 11:30 
DMVPN технология цисковская проприетарная и другими производителями не поддерживается.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Tunnel Cisco2811-Dir620-Cisco877"  +/
Сообщение от Lhs (ok) on 22-Ноя-12, 12:02 
> DMVPN технология цисковская проприетарная и другими производителями не поддерживается.

т.е. если на пути пакета от Cisco к Cisco встретится оборудование D-Link, то связь оборвется - так понимать?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Tunnel Cisco2811-Dir620-Cisco877"  +/
Сообщение от Николай (??) on 22-Ноя-12, 12:33 
>> DMVPN технология цисковская проприетарная и другими производителями не поддерживается.
>  т.е. если на пути пакета от Cisco к Cisco встретится оборудование
> D-Link, то связь оборвется - так понимать?

Я не знаю вашей схемы икак длинк пропускает или не пропускает пакеты - какая у него функциональная нагрузка.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Tunnel Cisco2811-Dir620-Cisco877"  +/
Сообщение от fantom (ok) on 22-Ноя-12, 12:40 
>>> DMVPN технология цисковская проприетарная и другими производителями не поддерживается.
>>  т.е. если на пути пакета от Cisco к Cisco встретится оборудование
>> D-Link, то связь оборвется - так понимать?
> Я не знаю вашей схемы икак длинк пропускает или не пропускает пакеты
> - какая у него функциональная нагрузка.

Судя по Dir620 там есть НАТ, надо рыть на тему работы DMVPN через НАТ...

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Tunnel Cisco2811-Dir620-Cisco877"  +/
Сообщение от Lhs (ok) on 22-Ноя-12, 12:43 
>>>> DMVPN технология цисковская проприетарная и другими производителями не поддерживается.
>>>  т.е. если на пути пакета от Cisco к Cisco встретится оборудование
>>> D-Link, то связь оборвется - так понимать?
>> Я не знаю вашей схемы икак длинк пропускает или не пропускает пакеты
>> - какая у него функциональная нагрузка.
> Судя по Dir620 там есть НАТ, надо рыть на тему работы DMVPN
> через НАТ...

Из того, что я прочел на форумах, просто туннели через NAT не бегают, именно для этого их оборачивают в IPSec, конфиг срисовал с другого форума как заведомо рабочий...

Схема простая до безобразия Cisco 2800 - Dir-620 - Cisco877 (за NATом)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Tunnel Cisco2811-Dir620-Cisco877"  +/
Сообщение от fantom (ok) on 22-Ноя-12, 13:01 
>[оверквотинг удален]
>>>>  т.е. если на пути пакета от Cisco к Cisco встретится оборудование
>>>> D-Link, то связь оборвется - так понимать?
>>> Я не знаю вашей схемы икак длинк пропускает или не пропускает пакеты
>>> - какая у него функциональная нагрузка.
>> Судя по Dir620 там есть НАТ, надо рыть на тему работы DMVPN
>> через НАТ...
> Из того, что я прочел на форумах, просто туннели через NAT не
> бегают, именно для этого их оборачивают в IPSec, конфиг срисовал с
> другого форума как заведомо рабочий...
> Схема простая до безобразия Cisco 2800 - Dir-620 - Cisco877 (за NATом)

Ну теперь надо изучить вопрос работы ipsec через НАТ ;) там тоже не все гладко...

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Tunnel Cisco2811-Dir620-Cisco877"  +/
Сообщение от karen durinyan (ok) on 22-Ноя-12, 13:13 
> DMVPN технология цисковская проприетарная и другими производителями не поддерживается.

вообще то удалось дружить linux как dmvpn spoke и cisco как dmvpn hub...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Tunnel Cisco2811-Dir620-Cisco877"  +/
Сообщение от бен Бецалель on 22-Ноя-12, 15:13 
если нужно это
"Ситуация такая: требуется выходить в своею сеть с произвольного географического места"

поднимите на 2811 EasyVPN Server
и цепляйтесь к нему цысковским софтовым клиентом

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Tunnel Cisco2811-Dir620-Cisco877"  +/
Сообщение от Lhs (ok) on 22-Ноя-12, 15:46 
> если нужно это
> "Ситуация такая: требуется выходить в своею сеть с произвольного географического места"
> поднимите на 2811 EasyVPN Server
> и цепляйтесь к нему цысковским софтовым клиентом

мне нужен туннель, чтоб подсоединить оборудование не на базе ПЭВМ, т.е. само оно поднимать туннель не может, так же как и цисковый софтовый клиент, а IP адрес нужен реальный, а не заNATченный

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Tunnel Cisco2811-Dir620-Cisco877"  +/
Сообщение от GolDi (??) on 22-Ноя-12, 16:16 
>> если нужно это
>> "Ситуация такая: требуется выходить в своею сеть с произвольного географического места"
>> поднимите на 2811 EasyVPN Server
>> и цепляйтесь к нему цысковским софтовым клиентом
> мне нужен туннель, чтоб подсоединить оборудование не на базе ПЭВМ, т.е. само
> оно поднимать туннель не может, так же как и цисковый софтовый
> клиент, а IP адрес нужен реальный, а не заNATченный

DMVPN прекпасно работает за NAT-ом.
Если у вас через DLINK не работает, то с ним и разберайтесь.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Tunnel Cisco2811-Dir620-Cisco877"  +/
Сообщение от Lhs (ok) on 22-Ноя-12, 16:33 
> DMVPN прекпасно работает за NAT-ом.
> Если у вас через DLINK не работает, то с ним и разберайтесь.

Согласен. Может сможете объяснить, почему тогда VPN от windows нормально поднимается?


Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Tunnel Cisco2811-Dir620-Cisco877"  +/
Сообщение от fantom (ok) on 22-Ноя-12, 16:41 
>> DMVPN прекпасно работает за NAT-ом.
>> Если у вас через DLINK не работает, то с ним и разберайтесь.
> Согласен. Может сможете объяснить, почему тогда VPN от windows нормально поднимается?

VPN - слишком общее понятие, на винде тот же протокол пользуете?
судя по тому, что после старта через минуту гаснет и не поднимается - это и есть время хжизни трансляции в длинке, по каким-то причинам он решает далее сию трансляцию в таблице не хранить, но вот ПОЧЕМУ он так решил - и есть вопрос, найдя ответ на который вы получите лучик в конце тоннеля :)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Tunnel Cisco2811-Dir620-Cisco877"  +/
Сообщение от Lhs (ok) on 22-Ноя-12, 16:46 
>>> DMVPN прекпасно работает за NAT-ом.
>>> Если у вас через DLINK не работает, то с ним и разберайтесь.
>> Согласен. Может сможете объяснить, почему тогда VPN от windows нормально поднимается?
> VPN - слишком общее понятие, на винде тот же протокол пользуете?
> судя по тому, что после старта через минуту гаснет и не поднимается
> - это и есть время хжизни трансляции в длинке, по каким-то
> причинам он решает далее сию трансляцию в таблице не хранить, но
> вот ПОЧЕМУ он так решил - и есть вопрос, найдя ответ
> на который вы получите лучик в конце тоннеля :)

Очень на это надеюсь. Поэтому задаю вопрос сюда, чтоб меня направили в нужном направлении... Могу выложить полный дебаг, только скажите чего... :|

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Tunnel Cisco2811-Dir620-Cisco877"  +/
Сообщение от GolDi (??) on 22-Ноя-12, 21:38 
>[оверквотинг удален]
>>>> Если у вас через DLINK не работает, то с ним и разберайтесь.
>>> Согласен. Может сможете объяснить, почему тогда VPN от windows нормально поднимается?
>> VPN - слишком общее понятие, на винде тот же протокол пользуете?
>> судя по тому, что после старта через минуту гаснет и не поднимается
>> - это и есть время хжизни трансляции в длинке, по каким-то
>> причинам он решает далее сию трансляцию в таблице не хранить, но
>> вот ПОЧЕМУ он так решил - и есть вопрос, найдя ответ
>> на который вы получите лучик в конце тоннеля :)
> Очень на это надеюсь. Поэтому задаю вопрос сюда, чтоб меня направили в
> нужном направлении... Могу выложить полный дебаг, только скажите чего... :|

DLINK-а конфиг и логи

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Tunnel Cisco2811-Dir620-Cisco877"  +/
Сообщение от spiegel (ok) on 22-Ноя-12, 23:52 
попробуйте так:
на с2811:

interface Tunnel21
изменить:
tunnel source <внешний_интерфейс>
добавить:
ip nhrp map multicast dynamic
ip mtu 1416

на с877:

interface Tunnel21
изменить:
tunnel source vlan2
ip nhrp map 192.168.254.1 <адрес внешн. инт. c2811>
no tunnel destination 192.168.99.1 (nhrp сделает это за нас)
добавить:
no ip redirects
ip mtu 1416
ip nhrp map multicast <адрес внешн. инт. c2811>
ip nhrp registration no-unique

попробуйте сперва без криптомап, тем более их надо вешать на внешние интерфейсы.
и еще надо нат на с2811 проверить, судя по дебагу, acl для ната надо подправить.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Tunnel Cisco2811-Dir620-Cisco877"  +/
Сообщение от spiegel (ok) on 23-Ноя-12, 00:07 
P.S. Если сеть небольшая, не проще ли поднять статические VTI?
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Tunnel Cisco2811-Dir620-Cisco877"  +/
Сообщение от Lhs (ok) on 23-Ноя-12, 06:46 
> P.S. Если сеть небольшая, не проще ли поднять статические VTI?

1)сеть небольшая.
2)схема (cisco)-(dir-620)-(cisco) сделана только ради настройки, именно поэтому используется внутренний интерфейс - потому что на время настройки я изнутри подключаюсь.
3) без криптомап и без NAT - работает прекрасно. С криптомапами и без NAT работает так же хорошо, хоть и чувствительно медленнее. Судя по теории, которую я вычитал на форумах без криптомапа через NAT вообще не пройдет, что собственно подтвердил практикой...

Ваши предложения попробую, отпишусь.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Tunnel Cisco2811-Dir620-Cisco877"  +/
Сообщение от Lhs (ok) on 23-Ноя-12, 10:16 
> Ваши предложения попробую, отпишусь.

Частичная победа: туннель поднялся, но пинги только от remote на hub бегают.

Hub
interface Tunnel21
ip address 192.168.254.1 255.255.255.0
no ip redirects
ip mtu 1416
ip nhrp authentication SECRET8
ip nhrp map multicast dynamic
ip nhrp network-id 21
ip nhrp holdtime 60
keepalive 20 3
tunnel source FastEthernet0/1
tunnel mode gre multipoint
tunnel key 21
end

ping 192.168.254.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.254.2, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)


Remote
interface Tunnel21
ip address 192.168.254.2 255.255.255.0
ip mtu 1416
ip nhrp authentication SECRET8
ip nhrp map 192.168.254.1 192.168.99.1
ip nhrp map multicast 192.168.99.1
ip nhrp network-id 21
ip nhrp holdtime 60
ip nhrp nhs 192.168.254.1
ip nhrp registration no-unique
keepalive 20 3
tunnel source 192.168.0.2
tunnel destination 192.168.99.1
tunnel key 21
end

ping 192.168.254.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.254.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/12 ms

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Tunnel Cisco2811-Dir620-Cisco877"  +/
Сообщение от spiegel (ok) on 23-Ноя-12, 10:44 
>[оверквотинг удален]
>  keepalive 20 3
>  tunnel source 192.168.0.2
>  tunnel destination 192.168.99.1
>  tunnel key 21
> end
> ping 192.168.254.1
> Type escape sequence to abort.
> Sending 5, 100-byte ICMP Echos to 192.168.254.1, timeout is 2 seconds:
> !!!!!
> Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/12 ms

Поздравляю, все правильно. Теперь надо на обоих роутерах включить например EIGRP и
пропагандтровать локальные сети через туннели.
На всякий случай проверьте:
sh ip nhrp nhs
sh ip nhrp brief

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Tunnel Cisco2811-Dir620-Cisco877"  +/
Сообщение от Lhs (ok) on 23-Ноя-12, 11:57 
н-да... держится 1 минуту 18 сек после подъема туннель падает...

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Tunnel Cisco2811-Dir620-Cisco877"  +/
Сообщение от fantom (ok) on 23-Ноя-12, 12:16 
> н-да... держится 1 минуту 18 сек после подъема туннель падает...

Попробуйте для эксперимента вместо длинка использовать другой роутер, вполне может оказаться что это проблема именно длинкового НАТ-а...


Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Tunnel Cisco2811-Dir620-Cisco877"  +/
Сообщение от Lhs (ok) on 23-Ноя-12, 12:17 
>> н-да... держится 1 минуту 18 сек после подъема туннель падает...
> Попробуйте для эксперимента вместо длинка использовать другой роутер, вполне может оказаться
> что это проблема именно длинкового НАТ-а...

Попробую, только на следующей неделе, под рукой пока другого нет...

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Tunnel Cisco2811-Dir620-Cisco877"  +/
Сообщение от spiegel (ok) on 23-Ноя-12, 17:05 
>>> н-да... держится 1 минуту 18 сек после подъема туннель падает...
>> Попробуйте для эксперимента вместо длинка использовать другой роутер, вполне может оказаться
>> что это проблема именно длинкового НАТ-а...
> Попробую, только на следующей неделе, под рукой пока другого нет...

Не совсем понял критерии выбора nhrp  в с вязке с DMVPI да еще через нат. По моему это не Ваш вариант. Как уже выше писали, лучше поднять esyVPN Remote на c877. Конфигурация nat+nhrp+DMVPI+IPSec+EIGRP при какой-нибудь трабле обернется кошмаром при устранении неисправностей. Чтобы не запутаться окончательно, установите cisco configuration proffesional (можно с торента скачать). Конфигурация железок упростится в разы.


Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру