Cisco Support Community
cancel
Showing results for 
Search instead for 
Did you mean: 
Announcements

Welcome to Cisco Support Community. We would love to have your feedback.

For an introduction to the new site, click here. And see here for current known issues.

New Member

IPSEC Cisco 852 PFSense

Коллеги, добрый день.

Потребовалось подключить удаленный офис. В удаленном офисе в наследство досталась в наследство циска, ранее с этими маршрутизаторами не работал, посему просьба сильно не пинать. В головном офисе в качестве основного шлюза сервер с PFSense.  После курения мануалов (http://www.cisco.com/c/ru_ru/support/docs/ip/internet-key-exchange-ike/117258-config-l2l.html) и (https://doc.pfsense.org/index.php/IPsec_between_pfSense_and_Cisco_IOS) туннель поднялся. Но пинги из одной сети в другую не проходят. Вывод команды show crypto session показывает, что соединение UP-ACTIVE, но пакеты дропаются. Понимаю, что дело в ACL, но компетенций не хватает. Прошу помочь. Конфиг циски прикладываю.

Сеть за PFSense 192.168.16.0/22 внешний адрес yyy.yyy.yyy.yyy
Сеть за Cisco 192.168.0.0/23 внешний адрес xxx.xxx.xxx.xxx

Everyone's tags (1)
3 REPLIES

Удалить этот маршрут,

Удалить этот маршрут, поскольку он не нужен

no ip route 192.168.16.0 255.255.252.0 yyy.yyy.yyy.yyy

Если это не решит проблему, измените свой ACL NAT, чтобы запретить трафик VPN, используя расширенный ACL

ip access-list extended NAT_ACL
deny ip 192.168.0.0 0.0.1.255 192.168.16.0 0.0.3.255
permit ip 192.168.0.0 0.0.1.255 any

ip nat inside source list NAT_ACL interface fastethernet8 overload

HTH
Hitesh

New Member

Спасибо за ответ. Маршрут

Спасибо за ответ. Маршрут удалил - не помогло. Расширенный список создал - все равно дропает входящие пакеты.

New Member

show crypto session

show crypto session detail
Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation
X - IKE Extended Authentication, F - IKE Fragmentation

Interface: FastEthernet8
Uptime: 15:25:13
Session status: UP-ACTIVE
Peer: yyy.yyy.yyy.yyy port 500 fvrf: (none) ivrf: (none)
      Phase1_id: yyy.yyy.yyy.yyy
      Desc: (none)
  IKEv1 SA: local xxx.xxx.xxx.xxx/500 remote yyy.yyy.yyy.yyy/500 Active
          Capabilities:(none) connid:2007 lifetime:00:19:59
  IPSEC FLOW: permit ip 192.168.0.0/255.255.254.0 192.168.16.0/255.255.252.0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 188 drop 0 life (KB/Sec) 4540519/1890
        Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 4540521/1890

121
Views
0
Helpful
3
Replies