Во время перенастройки VPN мы столкнулись с довольно серьезной проблемой, когда трафик VPN не передавался одноранговому узлу. Используя пакетный трассировщик, мы получили следующую отладку:
Фазы 1–9 прошли успешно. [...]
Фаза: 10
Тип: VPN
Подтип: шифрование
Результат: DROP
Конфиг:
Дополнительная информация:
Результат:
интерфейс ввода: внутренний
вход-статус: вверх
вход-линия-статус: вверх
выходной интерфейс: newiface
статус вывода: вверх
статус строки вывода: вверх
Действие: падение
Причина сброса: (acl-drop) Поток запрещен настроенным правилом
Мы просмотрели много документов в Google, но ничего не помогло.
К счастью, я уже могу ответить - я хочу позволить кому-то еще сэкономить несколько часов и много головной боли.
мы все настроили правильно - NAT, ACL, CACL, маршруты и т. д. Но мы забыли одну важную вещь - этот интерфейс был новым, и IPSEC не был включен на этом интерфейсе.
крипто ikev1 включить newiface
было решением нашей проблемы, после добавления этой команды все (ну, в основном) прошло без проблем. Я не нашел упоминания об этом как о возможном решении для (acl-drop) Поток запрещен настроенным правилом, поэтому я решил поделиться им с другими.