https://slinkov.ru/openforum/vsluhforumID6/304.html Доброго времени суток.<br>Примите новичка...<br><br>Ситуация такая: требуется выходить в своею сеть с произвольного географического места с оборудованием, которое не умеет поднимать VPN. В наличии есть Cisco 2811((C2800NM-ADVSECURITYK9-M, Version 12.4(24)T6, RELEASE SOFTWARE (fc2)), смотрящий в интернет с белым адресом. Для удаленного подключения есть Cisco 877 ((C870-ADVIPSERVICESK9-M), Version 12.4(24)T, RELEASE SOFTWARE (fc1)). Для подключения с877 к интеренету есть роутер D-Link Dir-620.<br>Собственно проблема: для первоначальной настройки делаю связь напрямую без участия провайдеров: Cisco2811-Dir620-Cisco877. Из прочтенного на форумах выяснил, что туннель через NAT может бегать только криптованный. Туннель не поднимается, а именно: после включения с877 туннель поднимается на примерно 1 минуту и выключается, больше попыток подняться не делает. Если из схемы исключить Dir-620, то туннель поднимается и функцианирует нормально.<br><br>Что я делаю не так? Ведь с компьютера на VPN сервер под виндой сквозь этот же dir-620 https://slinkov.ru/openforum/vsluhforumID6/304.html#23 Fri, 23 Nov 2012 13:05:11 GMT &gt;&gt;&gt; н-да... держится 1 минуту 18 сек после подъема туннель падает...<br>&gt;&gt; Попробуйте для эксперимента вместо длинка использовать другой роутер, вполне может оказаться <br>&gt;&gt; что это проблема именно длинкового НАТ-а...<br>&gt; Попробую, только на следующей неделе, под рукой пока другого нет...<br><br>Не совсем понял критерии выбора nhrp в с вязке с DMVPI да еще через нат. По моему это не Ваш вариант. Как уже выше писали, лучше поднять esyVPN Remote на c877. Конфигурация nat+nhrp+DMVPI+IPSec+EIGRP при какой-нибудь трабле обернется кошмаром при устранении неисправностей. Чтобы не запутаться окончательно, установите cisco configuration proffesional (можно с торента скачать). Конфигурация железок упростится в разы.<br><br><br> https://slinkov.ru/openforum/vsluhforumID6/304.html#22 Fri, 23 Nov 2012 08:17:22 GMT &gt;&gt; н-да... держится 1 минуту 18 сек после подъема туннель падает...<br>&gt; Попробуйте для эксперимента вместо длинка использовать другой роутер, вполне может оказаться <br>&gt; что это проблема именно длинкового НАТ-а...<br><br>Попробую, только на следующей неделе, под рукой пока другого нет...<br> https://slinkov.ru/openforum/vsluhforumID6/304.html#21 Fri, 23 Nov 2012 08:16:00 GMT &gt; н-да... держится 1 минуту 18 сек после подъема туннель падает...<br><br>Попробуйте для эксперимента вместо длинка использовать другой роутер, вполне может оказаться что это проблема именно длинкового НАТ-а...<br><br><br> https://slinkov.ru/openforum/vsluhforumID6/304.html#20 Fri, 23 Nov 2012 07:57:04 GMT н-да... держится 1 минуту 18 сек после подъема туннель падает...<br><br><br><br> https://slinkov.ru/openforum/vsluhforumID6/304.html#19 Fri, 23 Nov 2012 06:44:27 GMT &gt;[оверквотинг удален]<br>&gt; keepalive 20 3 <br>&gt; tunnel source 192.168.0.2 <br>&gt; tunnel destination 192.168.99.1 <br>&gt; tunnel key 21 <br>&gt; end <br>&gt; ping 192.168.254.1 <br>&gt; Type escape sequence to abort.<br>&gt; Sending 5, 100-byte ICMP Echos to 192.168.254.1, timeout is 2 seconds: <br>&gt; !!!!!<br>&gt; Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/12 ms <br><br>Поздравляю, все правильно. Теперь надо на обоих роутерах включить например EIGRP и <br>пропагандтровать локальные сети через туннели.<br>На всякий случай проверьте:<br>sh ip nhrp nhs <br>sh ip nhrp brief <br> <br> https://slinkov.ru/openforum/vsluhforumID6/304.html#18 Fri, 23 Nov 2012 06:16:21 GMT &gt; Ваши предложения попробую, отпишусь.<br><br>Частичная победа: туннель поднялся, но пинги только от remote на hub бегают.<br><br>Hub<br>interface Tunnel21<br> ip address 192.168.254.1 255.255.255.0<br> no ip redirects<br> ip mtu 1416<br> ip nhrp authentication SECRET8<br> ip nhrp map multicast dynamic<br> ip nhrp network-id 21<br> ip nhrp holdtime 60<br> keepalive 20 3<br> tunnel source FastEthernet0/1<br> tunnel mode gre multipoint<br> tunnel key 21<br>end<br><br>ping 192.168.254.2<br>Type escape sequence to abort.<br>Sending 5, 100-byte ICMP Echos to 192.168.254.2, timeout is 2 seconds:<br>.....<br>Success rate is 0 percent (0/5)<br><br><br>Remote<br>interface Tunnel21<br> ip address 192.168.254.2 255.255.255.0<br> ip mtu 1416<br> ip nhrp authentication SECRET8<br> ip nhrp map 192.168.254.1 192.168.99.1<br> ip nhrp map multicast 192.168.99.1<br> ip nhrp network-id 21<br> ip nhrp holdtime 60<br> ip nhrp nhs 192.168.254.1<br> ip nhrp registration no-unique<br> keepalive 20 3<br> tunnel source 192.168.0.2<br> tunnel destination 192.168.99.1<br> tunnel key 21<br>end<br><br>ping 192.168.254.1<br>Ty https://slinkov.ru/openforum/vsluhforumID6/304.html#17 Fri, 23 Nov 2012 02:46:17 GMT &gt; P.S. Если сеть небольшая, не проще ли поднять статические VTI?<br><br>1)сеть небольшая.<br>2)схема (cisco)-(dir-620)-(cisco) сделана только ради настройки, именно поэтому используется внутренний интерфейс - потому что на время настройки я изнутри подключаюсь.<br>3) без криптомап и без NAT - работает прекрасно. С криптомапами и без NAT работает так же хорошо, хоть и чувствительно медленнее. Судя по теории, которую я вычитал на форумах без криптомапа через NAT вообще не пройдет, что собственно подтвердил практикой...<br><br>Ваши предложения попробую, отпишусь.<br> https://slinkov.ru/openforum/vsluhforumID6/304.html#16 Thu, 22 Nov 2012 20:07:41 GMT P.S. Если сеть небольшая, не проще ли поднять статические VTI?<br> https://slinkov.ru/openforum/vsluhforumID6/304.html#15 Thu, 22 Nov 2012 19:52:14 GMT попробуйте так:<br>на с2811:<br><br>interface Tunnel21<br>изменить:<br>tunnel source &lt;внешний_интерфейс&gt; <br>добавить:<br>ip nhrp map multicast dynamic<br>ip mtu 1416<br><br>на с877:<br><br>interface Tunnel21<br>изменить:<br>tunnel source vlan2 <br>ip nhrp map 192.168.254.1 &lt;адрес внешн. инт. c2811&gt;<br>no tunnel destination 192.168.99.1 (nhrp сделает это за нас)<br>добавить:<br>no ip redirects<br>ip mtu 1416<br>ip nhrp map multicast &lt;адрес внешн. инт. c2811&gt;<br>ip nhrp registration no-unique<br><br>попробуйте сперва без криптомап, тем более их надо вешать на внешние интерфейсы.<br>и еще надо нат на с2811 проверить, судя по дебагу, acl для ната надо подправить.<br>