Настроил IPSec с ESP между двумя роутерами, все отлично работало, пока я не написал лист доступа и не повесил его на внешний интерфейс для обработки входящего трафика.
access-list 100 permit esp host 209.165.200.1 host 209.165.200.26Первая строчка не отрабатывала вообще. PT в симуляции писал что полученный пакет (в пакете значился номер протокола 50 или 0x32) не соответствует ни одному правилу листа и по этому отбрасывается. Вторая строчка отрабатывала правильно.
access-list 100 permit udp host 209.165.200.1 host 209.165.200.26 eq isakmp
Дальше выяснилось, что если вместо этих двух строк написать одну
access-list 100 permit ip host 209.165.200.1 host 209.165.200.26то в этом случае, роутер получит и расшифровывает пакет. Но затем, после расшифровки, зачем то еще раз проверяет адреса пакета по тому же листу доступа. А так как адреса запакованного в ipsec пакета листу не соответствую, то пакет отбрасывается.
Будьте бдительны.