Уважаемые коллеги, последняя надежда на вас.
Имеются вот такие настройки ipsec:
!
crypto isakmp policy 100
encr aes 256
authentication pre-share
group 2
crypto isakmp key Mykey address 10.200.200.70
crypto isakmp aggressive-mode disable
!
!
crypto ipsec transform-set IPSEC-TS esp-aes 256 esp-sha-hmac
mode tunnel
!
!
!
crypto map IPSEC-CM local-address Vlan148
crypto map IPSEC-CM 100 ipsec-isakmp
set peer 10.200.200.70
set security-association lifetime seconds 28800
set transform-set IPSEC-TS
set pfs group2
match address IPSEC-ACL
<skip>
interface Vlan145
description USERS
ip address 10.127.145.1 255.255.255.0
ip helper-address 10.127.144.100
interface Vlan147
ip address 10.127.147.1 255.255.255.128
ip helper-address 10.127.144.100
interface Vlan148
description IPSEC
ip address 10.200.200.14 255.255.255.252
crypto map IPSEC-CM
<skip>
ip route 10.200.200.68 255.255.255.252 10.200.200.13
ip route 10.127.161.128 255.255.255.192 10.200.200.13
<skip>
ip access-list extended IPSEC-ACL
permit ip host 10.127.145.81 host 10.127.161.130
при такой настройке, пинг при запуске с узла 10.127.145.81 не получает ответа от 10.127.161.130
в show crypto isa sa
не активных соединений.
При инициализации ipsec со стороны пира, первая фаза ipsec устанавливается, а с моей стороны в show crypto ipsec sa
туннели поднимаются, но счётчик encripted пакетов равен нулю, а decripted растёт.
Но если я изменяю ACL на:
ip access-list extended IPSEC-ACL
permit ip host 10.127.147.1 host 10.127.161.130
и запускаю ping 10.127.161.130 source 10.127.147.1 с коммутатора, то пинг проходит, и в ipsec поднимается.
Такое впечатление что трафик с узла 10.127.145.81 не попадает на Interface Vlan148.
Помогите разобраться.
Железо: cisco WS-C2960XR-24TS-I
IOS: Cisco IOS Software, C2960X Software (C2960X-UNIVERSALK9-M), Version 15.2(2)E6, RELEASE SOFTWARE (fc1)