>crypto ipsec transform-set vpn esp-3des esp-sha-hmac
>
>crypto map vpn 100 ipsec-isakmp
> set peer 195.162.?.?
> set transform-set vpn
> match address 101
> reverse-route
>!
>!
>interface Tunnel0
> ip address 172.16.19.2 255.255.255.0
> shutdown (пока down поднять не дает)
> tunnel source Dialer1
> tunnel destination 195.162.?.?
> crypto map vpn
>interface Vlan1
> description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
> ip address 172.16.19.100 255.255.255.0
> ip nat inside
> ip virtual-reassembly
> ip tcp adjust-mss 1452
>!
>interface Dialer1
> ip address 87.103.?.? 255.255.255.0
> ip mtu 1492
> ip nat outside
> ip virtual-reassembly
> encapsulation ppp
> dialer pool 1
> ppp authentication pap callin
> ppp pap sent-username ___________ password ____________ Не надо ни каких тунелей, и так все прекрасно работает.
1. Тунель убираем.
2. Где crypto-map на внешнем интерфейсе?
3. Трафик для шифрования должен быть указан одинаковый как на той так и на этой стороне
Тобишь на местной:
ip access-list extended encryption
permit ip 172.xx.xx.xx 0.0.0.255 172.yy.yy.yy 0.0.0.255
на удаленной:
ip access-list extended encryption
permit ip 172.yy.yy.yy 0.0.0.255 172.xx.xx.xx 0.0.0.255
4. VPN работать не будет с твоим конфигом т.к.(читать последовательность выполнения операций при попадании пакета на интерфейс) у тебя сначала выполняется НАТ а потом пакет шифруется. Соответственно acl для NAT должен исключать локальные ip:
ip access-list extended nat
deny ip 172.xx.xx.xx 0.0.0.255 (исли маска /24) 172.yy.yy.yy 0.0.0.255
permit 172.xx.xx.xx 0.0.0.255 any
5. Проверяем что открыты на входящее соединение udp 500,4500 и esp
6. После чего делаем пинг(лучше из сетки, либо с кошака но с source ip лан)
7. Смотрим sh crypto session или sh crypto ses de
8. если down
то включаем debug crypto ipsec debug crypto isakmp terminal monitor
копируем лог и постим сюда ;))
Если up то радуемся жизни ;)
