Добрый день,
Вот такая есть конфигурация:
Cisco26XX---PIX----INTERNET----AS3500
Надо прокинуть IPSec c GRE Tunnel между Cisco26XX и AS3500.
Ситуевина ослажняется тем, что на PIX осуществляется NAT и
адрес на "внешнем" интерфейсе Cisco26XX NAT-ится на PIX-e.
Судя по документации - при использовании статического NAT IPsec
должен жить. Он и живет, но без GRE Тунеля (то есть когда шифруем трафик
напрямую, не засовывая его в туннель).
Всяческие извраты с NAT на AS3500 ( попытки пронатить Inside global
Cisco26XX
в Outside global, дабы crypto map, access-list на crypto-map-e и
Tunnel distinational зеркально совпадали на обеих роутерах )
не привели к каким-то изменениям в поведении системы.
В логах на AS3500 - ничего существенного, на Cisco26XX есть интересное
сообщение
типа:
IPSEC(validate_proposal): invalid local address X.X.X.X
где X.X.X.X - адрес на внешнем интерфейсе Cisco26XX.
Доку по траблам на www.cisco.com внимательно изучил.
Но crypto map map-name local-address interface-id командочка подана
правильно
и crypto map повешен на нужные интерфейсы.
Господа,
Может у кого есть какие-нибудь мысли что с этим еще можно сделать?
С уважением
Modest Sokolov
--
Modest M. Sokolov MMS101-RIPE
mailto:modest@nwgsm.ru +7 812 9673532
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
