Я установил Site-Site VPN, и кажется, что конфигурация в порядке, поскольку другой сайт может нормально установить туннель. Моя проблема в том, что моя сторона никогда не пытается поднять туннель.
Ping / telnet приводит к тайм-ауту, и попытки просмотра журналов phase1 никогда не предпринимаются. Единственный способ, которым я могу сделать это, - это добавить мою внешнюю сеть (а также внутреннюю) к локальной сети в конфигурации vpn.
Кто-нибудь знает, что у меня может быть не так в конфигурации или как я могу отлаживать дальше?
Это может произойти, если вы забудете заявление об освобождении от NAT. Рассмотрим стандартный L2L IPSEC VPN:
Router 1: (Pseudocode)
interface inside
ip address 10.1.0.1/24
interface outside
ip address 1.2.3.4/24
nat exempt 10.1.0.0/24 to 10.2.0.0/24
pnat 10.1.0.0/24 to 1.2.3.4
ipsec protect 10.1.0.0/24 to/from 10.2.0.0/24 via 1.2.3.5 with PSK abcdef
Router 2:
interface inside
ip address 10.2.0.1/24
interface outside
ip address 1.2.3.5/24
nat exempt 10.2.0.0/24 to 10.1.0.0/24
pnat 10.2.0.0/24 to 1.2.3.5
ipsec protect 10.1.0.0/24 to/from 10.2.0.0/24 via 1.2.3.4 with PSK abcdef
если вы не включите операторы nat exclupt, трафик будет обработан до оценки IPsec и будет оцениваться с точки зрения защиты ACL как from 1.2.3.4 to 10.2.0.100, который не подходит.