OpenForum RSS: IPSec между Cisco 3825 и DLink DFL-260E трафик теряется https://www.opennet.ru/openforum/vsluhforumID6/1225.html Доброго дня всем!<br>Нужно соединить две офисные сети посредством сабжевых устройств. Что и сделано.<br>Однако трафик между ними ходит непонятно куда.<br>Схема:<br><br>10.11.12.0/24 &lt;-&gt; yy1.yy1.yy1.146 &lt;-&gt; INTERNET &lt;-&gt; yy.yy.yy.yy &lt;-&gt; 192.168.10.0/24<br> Cisco 3825 DLink DFL-260E<br><br>Канал поднимается. <br>Пингую с 192.168.10.100 машину 10.11.12.127, что показывает сниффер на 10.11.12.127:<br>192.168.10.100 10.11.12.127 ICMP 98 Echo (ping) request<br>10.11.12.127 192.168.10.100 ICMP 98 Echo (ping) reply<br>то есть пинг до машины 10.11.12.127 доходит и отправляется на Cisco 3825, а вот она в свою очередь пакет куда-то не туда отправляет.<br>То есть нет маршрута...<br>Конфигурация DLink'а проверена, с другим DLink'ом вместо циски она работает.<br><br>Вопрос: что я сделал не так? или что не сделал? Прошу помощи!<br><br>Вот конфиг:<br>!<br>version 12.4<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>service password-encryption<br>!<br>hostname main-gw<br>!<br>boot-start-marker<br>bo IPSec между Cisco 3825 и DLink DFL-260E трафик теряется (star117) https://www.opennet.ru/openforum/vsluhforumID6/1225.html#2 Fri, 14 Feb 2014 08:42:20 GMT &gt;[оверквотинг удален]<br>&gt;&gt; deny ip 192.168.10.0 0.0.0.255 any <br>&gt;&gt; permit ip 10.11.12.0 0.0.0.255 any <br>&gt; У вас пакеты из 10.11.12.0 в 192.168.10.0 в нат уходят.<br>&gt; Нат перенастройте примерно так: <br>&gt; access-list 100 permit ip 10.11.12.0 0.0.0.255 192.168.10.0 0.0.0.255 <br>&gt; access-list 10 permit 10.11.12.0 0.0.0.255 <br>&gt; route-map NAT deny 10 <br>&gt; match ip address 100 <br>&gt; route-map NAT permit 20 <br>&gt; match ip address 10 <br><br>СПАСИБО!!! Заработало!<br><br>Еще могу добавить, что у меня была ошибка!<br>ip route 192.168.10.0 255.255.255.0 GigabitEthernet0/0.55 - так не работает, нужно указывать просто IP шлюза своего.<br><br>Кстати попробовал отключить NAT на интерфейсах, убрать ip nat inside ... и трафик пошёл сразу.<br>Но это так, может кому-то пригодится в понимании процессов :)<br> IPSec между Cisco 3825 и DLink DFL-260E трафик теряется (Merridius) https://www.opennet.ru/openforum/vsluhforumID6/1225.html#1 Fri, 14 Feb 2014 08:00:09 GMT <br>&gt; ip nat inside source list LAN_INET interface GigabitEthernet0/0.55 overload <br>&gt; !<br>&gt; ip access-list extended KTI_ADDRESS <br>&gt; permit ip 10.11.12.0 0.0.0.255 192.168.10.0 0.0.0.255 <br>&gt; ip access-list extended LAN_INET <br>&gt; deny ip 192.168.10.0 0.0.0.255 any <br>&gt; permit ip 10.11.12.0 0.0.0.255 any <br><br>У вас пакеты из 10.11.12.0 в 192.168.10.0 в нат уходят.<br><br>Нат перенастройте примерно так:<br><br>access-list 100 permit ip 10.11.12.0 0.0.0.255 192.168.10.0 0.0.0.255<br>access-list 10 permit 10.11.12.0 0.0.0.255<br><br>route-map NAT deny 10<br> match ip address 100<br>route-map NAT permit 20<br> match ip address 10<br><br>ip nat inside source route-map NAT interface GigabitEthernet0/0.55 overload <br>