OpenForum RSS: ipsec vpn cisco 1841 и dlink di-804hv https://opennet.ru/openforum/vsluhforumID6/19442.html вот такой вот site to site vpn <br>при этом он завязывается но потери при <br>передаче 40-70 процентов. при этом если пинг с самой cisco<br>ping 192.168.3.1 source vlan1 то он 100% доходит.<br>просто ping 192.168.3.1 с cisco не один не доходит. т.е. 100% потерь. <br>помогите понять причину.<br>acl 100, 104 , 107 , 110 пробовал вовсе выключать, убирать. результат тот же.<br><br><br>crypto isakmp policy 1<br> encr 3des<br> authentication pre-share<br> group 2<br>crypto isakmp key 12345678 address 10.200.8.1 no-xauth<br><br>crypto ipsec transform-set ESP_3DES/MD5 esp-3des esp-md5-hmac <br><br>crypto map IPsec_branch 3 ipsec-isakmp <br> set peer 10.200.8.1<br> set security-association lifetime seconds 28800<br> set transform-set ESP_3DES/MD5 <br> set pfs group2<br> match address eight_acl<br><br><br>interface FastEthernet0/0<br> description ext-real ip address on cisco<br> ip address 10.200.7.54 255.255.255.252<br> ip access-group 104 in<br> ip access-group 107 out<br> ip verify unicast reverse-path<br> no ip redirects<br> no ip proxy-arp<br> ip nbar protocol-discovery<br> ip flo ipsec vpn cisco 1841 и dlink di-804hv (Eduard_k) https://opennet.ru/openforum/vsluhforumID6/19442.html#1 Tue, 11 Aug 2009 13:32:05 GMT &gt;вот такой вот site to site vpn <br>&gt;при этом он завязывается но потери при <br>&gt;передаче 40-70 процентов. при этом если пинг с самой cisco <br>&gt;ping 192.168.3.1 source vlan1 то он 100% доходит. <br>&gt;просто ping 192.168.3.1 с cisco не один не доходит. т.е. 100% потерь. <br>&gt;<br>&gt;помогите понять причину. <br><br>причина простая, когда вы запускаете просто пинг, не указывая source interface, роутер смотрит RIB, и видит, что данная сеть доступна через интерфейс FastEthernet0/0, поэтому пакеты уходят с source IP=10.200.7.54 и в ваш впн не попадают.<br>уберите строчки ip route 192.168.20.0 255.255.255.0 Vlan1 (она у вас и так директли коннектед)<br>ip route 192.168.3.0 255.255.255.0 FastEthernet0/0 (в широковещательных сетях маршруты прописываются не на интерфейс , а на next hop), кроме того пакеты в данную сеть и так уйдут правильно по default route<br>в ip access-list extended eight_acl уберите вторую строчку. не то, чтобы она мешается, просто она тут нахрен не нужна.<br><br>40-70 процентов потерь какого трафика? как определяли? если это