https://www.opennet.dev/openforum/vsluhforumID6/20414.html hi.<br><br> у меня проблемка. нужно создать тунель типа site-to-site. тк с другой стороны не пускают локальные ip нужно их заNATить за одним свободным внешним. <br>у меня получилось вот так:<br><br>ip nat inside source static 10.0.10.10 xx.xxx.xxx.211 route-map VPNNAT<br><br>route-map VPNNAT permit 10<br> match ip address 117<br><br>access-list 117 permit ip host 10.0.10.10 193.xxx.xxx.0 0.0.0.7 log<br><br>потом собственно VPN: <br><br>crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac<br>crypto isakmp key kluchike7d address xxx.xxx.xxx.145<br><br>crypto map SDM_CMAP_1 3 ipsec-isakmp <br> set peer xxx.xxx.xxx.145<br> set security-association lifetime seconds 86400<br> set transform-set ESP-AES-128-SHA<br> match address 112<br><br><br>что я сделал не так? <br> https://www.opennet.dev/openforum/vsluhforumID6/20414.html#4 Thu, 28 Jan 2010 21:30:49 GMT &gt;[оверквотинг удален]<br>&gt;&gt;access-list 117 permit ip host 10.0.10.10 193.xxx.xxx.0 0.0.0.7 log<br>&gt;<br>&gt;Это то что вы собираетесь NATить. <br>&gt;<br>&gt;&gt;access-list 112 permit ip host xxx.xxx.xxx.211 xxx.xxx.175.0 0.0.0.7<br>&gt;<br>&gt;Это то что вы хотите шифровать уже после NATа. Вторая половина этих <br>&gt;ACL должна совпадать в вашем случае. Куда NATим, туда же и <br>&gt;шифруем. <br>&gt;"193.xxx.xxx.0 0.0.0.7" = "xxx.xxx.175.0 0.0.0.7" ? <br><br>это ж надо было так зашифроваться :-) конечно, они равны. <br>значит у меня в этом граблей нет. уже радует. Не понимаю одно: почему ни isakmp ни ipsec после него уже не хотят коннектаться когда пытаюсь зателнениться на 193.ххх.ххх.2 <br><br> https://www.opennet.dev/openforum/vsluhforumID6/20414.html#3 Thu, 28 Jan 2010 21:20:49 GMT &gt;я не уверен, что я правильно прячу некоторые свои адреса локальной сети за внешним &gt;адресом. ну и не уверен, что я правильно понимаю где и какой адрес в acl вписывать.<br>&gt;в 117м - локальный 10.0.10.0/24<br>&gt;в 112й уже внешний xxx.xxx.xxx.211 <br><br>Вцелом выглядит верно:<br>&gt;access-list 117 permit ip host 10.0.10.10 193.xxx.xxx.0 0.0.0.7 log<br><br>Это то что вы собираетесь NATить.<br><br>&gt;access-list 112 permit ip host xxx.xxx.xxx.211 xxx.xxx.175.0 0.0.0.7<br><br>Это то что вы хотите шифровать уже после NATа. Вторая половина этих ACL должна совпадать в вашем случае. Куда NATим, туда же и шифруем.<br>"193.xxx.xxx.0 0.0.0.7" = "xxx.xxx.175.0 0.0.0.7" ?<br> https://www.opennet.dev/openforum/vsluhforumID6/20414.html#2 Thu, 28 Jan 2010 21:02:46 GMT &gt;Весь конфиг покажите, например я не вижу вообще crypto isakmp policy и <br><br>crypto isakmp policy 1<br> encr 3des<br> authentication pre-share<br> group 2<br><br>&gt;access-list 112 <br><br>access-list 112 permit ip host xxx.xxx.xxx.211 xxx.xxx.175.0 0.0.0.7<br><br>&gt;А так же: <br>&gt;sh crypto isakmp sa <br><br>dst src state conn-id status<br>тут инфа про другое vpn соединение<br><br>IPv6 Crypto ISAKMP SA<br><br>&gt;sh crypto ipsec sa<br><br> local ident (addr/mask/prot/port): (xxx.xxx.xxx.211/255.255.255.255/0/0)<br> remote ident (addr/mask/prot/port): (xxx.xxx.175.0/255.255.255.248/0/0)<br> current_peer xxx.xxx.xxx.145 port 500<br> PERMIT, flags={origin_is_acl,}<br> #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0<br> #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0<br> #pkts compressed: 0, #pkts decompressed: 0<br> #pkts not compressed: 0, #pkts compr. failed: 0<br> #pkts not decompressed: 0, #pkts decompress failed: 0<br> #send errors 0, #recv errors 0<br><br> local crypto endpt.: xxx.xxx.xxx.210, remote cry https://www.opennet.dev/openforum/vsluhforumID6/20414.html#1 Thu, 28 Jan 2010 20:42:23 GMT Весь конфиг покажите, например я не вижу вообще crypto isakmp policy и access-list 112<br>А так же:<br>sh crypto isakmp sa<br>sh crypto ipsec sa<br><br>И в чем конкретно проблема? Не поднимается туннель? Не работает NAT как ожидалось?<br>Отлаживайте по частям - уберите NAT, повесьте внешний IP на loopback и добейтесь сперва чтобы IPSec поднимался, пингуя с loopback'а удаленную сторону. Потом приниматься за NAT.<br>