https://slinkov.ru/openforum/vsluhforumID6/1625.html Стоит задача пострить туннель между головным офисом и филиалом, использую Cisco 881G через сотового провайдера Билайн.<br><br>Главная циска настроена правильно, протестировал подняв туннель с другой циской на котором стоял статитический айпи адрес, работает.<br><br>На циске филиала где стоит симка Билайн, интернет поднимается и раздает всё нормально, вот только не пытается конектится к главной циске и не поднимается туннель.<br><br>Помогите пожалуйста (все айпи адреса в конфиге придуманные)<br><br><br>Вот конфига главной циски: <br><br><br>crypto isakmp policy 10<br> encr aes 256<br> hash md5<br> authentication pre-share<br> group 5<br>crypto isakmp key test&&* address 0.0.0.0 0.0.0.0<br>!<br>!<br>crypto ipsec transform-set auth_branch esp-aes 256 esp-md5-hmac<br>!<br>crypto dynamic-map DYNMAP 10<br> set transform-set auth_branch<br> match address acl_vpn<br>!<br>!<br>crypto map CMAP 65535 ipsec-isakmp dynamic DYNMAP<br>!<br>!<br>!<br>!<br>!<br>interface FastEthernet0<br>!<br>interface FastEthernet1<br>!<br>interface FastEthernet2<br>!<br>interface FastEthernet3<br>!<br>interface FastEther https://slinkov.ru/openforum/vsluhforumID6/1625.html#3 Tue, 17 Feb 2015 11:51:58 GMT &gt;[оверквотинг удален]<br>&gt;&gt; show crypto isakmp sa <br>&gt; 3g_test# sh crypto isakmp sa <br>&gt; IPv4 Crypto ISAKMP SA <br>&gt; dst <br>&gt; src <br>&gt; state <br>&gt; conn-id status <br>&gt; IPv6 Crypto ISAKMP SA <br>&gt; 3g_test# <br>&gt; не поднимается ( <br><br>Всё заработал, спасибо большое )<br><br>Вот конфиг переделанный: <br><br>crypto isakmp policy 10<br> encr aes 256<br> hash md5<br> authentication pre-share<br> group 5<br>crypto isakmp key test&&* address 85.113.25.114<br>!<br>!<br>crypto ipsec transform-set auth_branch esp-aes 256 esp-md5-hmac<br> mode tunnel<br>!<br>!<br>!<br>crypto map bta 20 ipsec-isakmp<br> set peer 85.113.25.114<br> set transform-set auth_branch<br> match address to-branch<br>!<br>!<br>!<br>!<br>!<br>interface FastEthernet0<br> no ip address<br>!<br>interface FastEthernet1<br> no ip address<br>!<br>interface FastEthernet2<br> no ip address<br>!<br>interface FastEthernet3<br> no ip address<br>!<br>interface FastEthernet4<br> no ip address<br> shutdown<br> duplex auto<br> speed auto<br>!<br>interface Cellular0<br> ip address negotiated<br> ip nat outside<br> ip virtual-reassembly in<br> https://slinkov.ru/openforum/vsluhforumID6/1625.html#2 Tue, 17 Feb 2015 09:57:01 GMT &gt;[оверквотинг удален]<br>&gt; в сеть 172.22.40.0 0.0.0.255 Натится.<br>&gt; Пример <br>&gt; access-list 103 deny ip 192.168.65.0 0.0.0.255 172.22.40.0 0.0.0.255 <br>&gt; access-list 103 permit ip 192.168.65.0 0.0.0.255 any <br>&gt; Затем прикрепите ваш акссес лист к NAT правилу <br>&gt; Пример <br>&gt; ip nat inside source list 103 interface Dialer0 overload <br>&gt; А также по хорошему сделайте вывод <br>&gt; show crypto ipsec sa <br>&gt; show crypto isakmp sa <br><br>3g_test# sh crypto isakmp sa<br><br>IPv4 Crypto ISAKMP SA<br>dst src state conn-id status<br><br>IPv6 Crypto ISAKMP SA<br><br>3g_test#<br><br><br>не поднимается (<br> https://slinkov.ru/openforum/vsluhforumID6/1625.html#1 Tue, 17 Feb 2015 07:13:34 GMT &gt;[оверквотинг удален]<br>&gt; script dialer GSM <br>&gt; modem InOut <br>&gt; no exec <br>&gt; rxspeed 21600000 <br>&gt; txspeed 5760000 <br>&gt; line vty 0 4 <br>&gt; transport input all <br>&gt; !<br>&gt; !<br>&gt; end <br><br>Для начала создайте нормальный ACL. А то ваш трафик при попытке попасть в сеть 172.22.40.0 0.0.0.255 Натится.<br><br><br>Пример<br><br>access-list 103 deny ip 192.168.65.0 0.0.0.255 172.22.40.0 0.0.0.255<br>access-list 103 permit ip 192.168.65.0 0.0.0.255 any<br><br>Затем прикрепите ваш акссес лист к NAT правилу<br><br>Пример<br><br>ip nat inside source list 103 interface Dialer0 overload<br><br><br>А также по хорошему сделайте вывод<br><br>show crypto ipsec sa<br><br><br>show crypto isakmp sa<br><br><br><br><br><br> <br>