05-16-2017 02:05 AM - edited 02-21-2020 09:17 PM
Коллеги, добрый день.
Потребовалось подключить удаленный офис. В удаленном офисе в наследство досталась в наследство циска, ранее с этими маршрутизаторами не работал, посему просьба сильно не пинать. В головном офисе в качестве основного шлюза сервер с PFSense. После курения мануалов (http://www.cisco.com/c/ru_ru/support/docs/ip/internet-key-exchange-ike/117258-config-l2l.html) и (https://doc.pfsense.org/index.php/IPsec_between_pfSense_and_Cisco_IOS) туннель поднялся. Но пинги из одной сети в другую не проходят. Вывод команды show crypto session показывает, что соединение UP-ACTIVE, но пакеты дропаются. Понимаю, что дело в ACL, но компетенций не хватает. Прошу помочь. Конфиг циски прикладываю.
Сеть за PFSense 192.168.16.0/22 внешний адрес yyy.yyy.yyy.yyy
Сеть за Cisco 192.168.0.0/23 внешний адрес xxx.xxx.xxx.xxx
05-16-2017 02:17 AM
Удалить этот маршрут, поскольку он не нужен
no ip route 192.168.16.0 255.255.252.0 yyy.yyy.yyy.yyy
Если это не решит проблему, измените свой ACL NAT, чтобы запретить трафик VPN, используя расширенный ACL
ip access-list extended NAT_ACL
deny ip 192.168.0.0 0.0.1.255 192.168.16.0 0.0.3.255
permit ip 192.168.0.0 0.0.1.255 any
ip nat inside source list NAT_ACL interface fastethernet8 overload
HTH
Hitesh
05-16-2017 02:38 AM
Спасибо за ответ. Маршрут удалил - не помогло. Расширенный список создал - все равно дропает входящие пакеты.
05-16-2017 02:45 AM
show crypto session detail
Crypto session current status
Code: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation
X - IKE Extended Authentication, F - IKE Fragmentation
Interface: FastEthernet8
Uptime: 15:25:13
Session status: UP-ACTIVE
Peer: yyy.yyy.yyy.yyy port 500 fvrf: (none) ivrf: (none)
Phase1_id: yyy.yyy.yyy.yyy
Desc: (none)
IKEv1 SA: local xxx.xxx.xxx.xxx/500 remote yyy.yyy.yyy.yyy/500 Active
Capabilities:(none) connid:2007 lifetime:00:19:59
IPSEC FLOW: permit ip 192.168.0.0/255.255.254.0 192.168.16.0/255.255.252.0
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 188 drop 0 life (KB/Sec) 4540519/1890
Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 4540521/1890
Discover and save your favorite ideas. Come back to expert answers, step-by-step guides, recent topics, and more.
New here? Get started with these tips. How to use Community New member guide