Назад | Перейти на главную страницу

Cisco 1841 не будет инициировать site2site VPN

Я пытаюсь установить site2site VPN, используя Cisco 1841 с динамическим IP-адресом WAN с одной стороны (LAN 192.168.101.0/24) и Cisco ASA 5505 со статическим IP-адресом WAN с другой стороны (LAN 192.168.100.0/24).

Cisco 1841 не устанавливает туннель:

c1841#debug crypto engine
Crypto Engine debugging is on
c1841#debug crypto isakmp
Crypto ISAKMP debugging is on
c1841#debug crypto IPSec
Crypto IPSEC debugging is on
c1841#ping 192.168.100.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.100.1, timeout is 2 seconds:

*Oct  3 19:40:18.239: IPSEC(sa_initiate): Kicking the dialer interface.
*Oct  3 19:40:20.239: IPSEC(sa_initiate): Kicking the dialer interface
*Oct  3 19:40:20.419: %LINK-3-UPDOWN: Interface Cellular0/0/0, changed state to up
*Oct  3 19:40:21.199: IPSEC(recalculate_mtu): reset sadb_root 64F85A74 mtu to 1500.
*Oct  3 19:40:21.419: %LINEPROTO-5-UPDOWN: Line protocol on Interface Cellular0/0/0, changed state to up...
Success rate is 0 percent (0/5)

И это все. ASA 5505 ничего не отлаживает.

Как мне это исправить / диагностировать? Пожалуйста помоги.

Проблема заключалась в том, что правило NAT 1841 обрабатывало пакет до ACL. Спасибо всем за подсказки.

Предположительно, у вас есть одна строка в вашем криптографическом ACL, соответствующая трафику между 192.168.100.0/24 и 192.168.101.0/24.

Поэтому, когда вы просто делаете ping 192.168.100.1 это будет генерировать пакеты ICMP с WAN-адресом маршрутизатора в качестве исходного IP-адреса, и, следовательно, эти ICMP-пакеты не соответствуют криптографическому ACL, поэтому это нормально, что туннель не запускается.

Итак, чтобы открыть туннель, вам нужно либо выполнить эхо-запрос из локальной сети (т.е. с устройства с адресом 192.168.101.x), либо с маршрутизатора выполнить расширенный пинг, например 

ping 192.168.100.1 source 192.168.101.1

где 192.168.101.1 это IP-адрес интерфейса LAN маршрутизатора, или 

ping 192.168.100.1 source FastEthernet0/1

где FastEthernet0/1 это ваш интерфейс LAN.

Обратите внимание, что вы также можете настроить IP SLA чтобы туннель работал, и в этой конфигурации вам также нужно будет добавить source-ip или source-interface аргумент.