Настроил IPSec с ESP между двумя роутерами, все отлично работало, пока я не написал лист доступа и не повесил его на внешний интерфейс для обработки входящего трафика.
access-list 100 permit esp host 209.165.200.1 host 209.165.200.26Первая строчка не отрабатывала вообще. PT в симуляции писал что полученный пакет (в пакете значился номер протокола 50 или 0x32) не соответствует ни одному правилу листа и по этому отбрасывается. Вторая строчка отрабатывала правильно.
access-list 100 permit udp host 209.165.200.1 host 209.165.200.26 eq isakmp
Дальше выяснилось, что если вместо этих двух строк написать одну
access-list 100 permit ip host 209.165.200.1 host 209.165.200.26то в этом случае, роутер получит и расшифровывает пакет. Но затем, после расшифровки, зачем то еще раз проверяет адреса пакета по тому же листу доступа. А так как адреса запакованного в ipsec пакета листу не соответствую, то пакет отбрасывается.
Будьте бдительны.
R3(config)# access-list 102 permit ahp host 172.30.2.2 host 172.30.1.2
ОтветитьУдалитьR3(config)# access-list 102 permit esp host 172.30.2.2 host 172.30.1.2
R3(config)# access-list 102 permit udp host 172.30.2.2 host 172.30.1.2 eq isakmp
не?
в GNS3 всё отлично работает
в gns то работает)
ОтветитьУдалить