RN3DCX Posted September 25, 2017 · Report post Мож кто сталкивался с подобной проблемой. На центральном маршрутизаторе поднят DMVPN, создаю на нём же еще VPN туннель и вещаю его на интерфейс GI0/0. Всё отлично работает до первой перезагрузки. После нее нет соединений между маршрутизаторами через DMVPN и не возможно подключиться vpn'ом к маршрутизатору. Но по отдельности если, что то одно выключить, всё работает как часы... Спойлер aaa authentication login default local aaa authentication login userauthenication local aaa authorization network groupauthenication local crypto isakmp policy 10 encr 3des authentication pre-share group 2 ! crypto isakmp policy 1000 authentication pre-share crypto isakmp key 12345 address 89.X.X.X crypto isakmp key 12345 address 188.X.X.X crypto isakmp key 12345 address 194.X.X.X ! crypto isakmp client configuration group pex_VPN_connect key 8899 pool VPN_pool acl VPN save-password ! ! crypto ipsec transform-set IPsec_Authenication_Router's ah-sha-hmac mode transport crypto ipsec transform-set IPsec_Authenication_VPN_client esp-3des esp-md5-hmac mode tunnel ! crypto ipsec profile DMVPN set transform-set IPsec_Authenication_Router's ! ! ! crypto dynamic-map pex_map 10 set transform-set IPsec_Authenication_VPN_client reverse-route ! ! crypto map vpn_client_map client authentication list userauthenication crypto map vpn_client_map isakmp authorization list groupauthenication crypto map vpn_client_map client configuration address respond crypto map vpn_client_map 10 ipsec-isakmp dynamic pex_map ! ! ! ! ! ! interface Tunnel1 ip address 10.255.255.1 255.255.255.0 no ip redirects ip nhrp map multicast dynamic ip nhrp network-id 1 ip tcp adjust-mss 1412 ip ospf network broadcast tunnel source GigabitEthernet0/0 tunnel mode gre multipoint tunnel protection ipsec profile DMVPN ! interface GigabitEthernet0/0 description UPlink ip address dhcp ip nat outside ip virtual-reassembly in duplex auto speed auto media-type rj45 no negotiation auto ntp disable crypto map vpn_client_map ! interface GigabitEthernet0/1 no ip address shutdown duplex auto speed auto media-type rj45 no negotiation auto ! interface GigabitEthernet0/2 description Down_link_to_local_network ip address 192.168.200.254 255.255.255.0 ip nat inside ip virtual-reassembly in duplex auto speed auto media-type rj45 no negotiation auto ! router ospf 1 router-id 10.255.255.1 passive-interface default no passive-interface Tunnel1 network 10.255.255.0 0.0.0.255 area 0 network 192.168.1.0 0.0.0.255 area 0 network 192.168.10.0 0.0.0.255 area 0 network 192.168.100.0 0.0.0.255 area 0 network 192.168.200.0 0.0.0.255 area 0 ! ip local pool VPN_pool 192.168.11.10 192.168.11.100 ip forward-protocol nd no ip http server no ip http secure-server ! ! ip nat inside source list NAT interface GigabitEthernet0/0 overload ! ip access-list extended NAT deny ip 192.168.200.0 0.0.0.255 192.168.11.0 0.0.0.255 permit ip any any ! ip access-list extended VPN permit ip 192.168.200.0 0.0.0.255 192.168.11.0 0.0.0.255 ! no cdp run ! ! ! ! ! control-plane ! ! ! mgcp profile default ! ! ! gatekeeper shutdown ! ! line con 0 exec-timeout 60 0 logging synchronous stopbits 1 line aux 0 no exec transport output none stopbits 1 line vty 0 4 exec-timeout 60 0 privilege level 15 logging synchronous transport input ssh ! ntp update-calendar ntp server 195.3.254.2 source GigabitEthernet0/0 ntp server 192.36.143.130 source GigabitEthernet0/0 ntp server 185.22.60.71 source GigabitEthernet0/0 ! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted September 25, 2017 · Report post А нет, обычный VPN туннель работает после перезагрузки, а вот DMVPN нет. Если временно выключить crypto map vpn_client_map на интерфейсе GI0/0 , связь между маршрутизаторами сразу появляется. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted September 25, 2017 · Report post А DMVPN у вас не через VPN ходит случайно? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted September 25, 2017 · Report post ну это фантастика! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted September 25, 2017 · Report post Не уже ли перевелись на данном форуме циско-сиськоведы? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted September 26, 2017 · Report post А что за VPN тунель? site2site? так это по другому настраивается. Динамическая мапа там с какой целью? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sunrise333 Posted September 26, 2017 · Report post Совсем не поднимается или поднимается долго? Я про DMVPN? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted September 26, 2017 (edited) · Report post 8 часов назад, ShyLion сказал: А что за VPN тунель? site2site? так это по другому настраивается. Динамическая мапа там с какой целью? 1. Hub to Spoke. Ниже выделил конфиг хаба: Спойлер crypto isakmp policy 1000 authentication pre-share crypto isakmp key 12345 address 89.X.X.X crypto isakmp key 12345 address 188.X.X.X crypto isakmp key 12345 address 194.X.X.X ! ! ! crypto ipsec transform-set IPsec_Authenication_Router's ah-sha-hmac mode transport ! crypto ipsec profile DMVPN set transform-set IPsec_Authenication_Router's ! ! ! interface Tunnel1 ip address 10.255.255.1 255.255.255.0 no ip redirects ip nhrp map multicast dynamic ip nhrp network-id 1 ip tcp adjust-mss 1412 ip ospf network broadcast tunnel source GigabitEthernet0/0 tunnel mode gre multipoint tunnel protection ipsec profile DMVPN ! ! router ospf 1 router-id 10.255.255.1 passive-interface default no passive-interface Tunnel1 network 10.255.255.0 0.0.0.255 area 0 network 192.168.1.0 0.0.0.255 area 0 network 192.168.10.0 0.0.0.255 area 0 network 192.168.100.0 0.0.0.255 area 0 network 192.168.200.0 0.0.0.255 area 2. Vpn (классический туннель от ПК пользователя до маршрутизатора, через cisco vpn client) Ниже выделил конфиг тунеля: Спойлер aaa authentication login default local aaa authentication login userauthenication local aaa authorization network groupauthenication local ! username yes privilege 15 password 7 0Z1P19530A5951 username user privilege 0 password 7 040A5951 ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 ! crypto isakmp client configuration group pex_VPN_connect key 8899 pool VPN_pool acl VPN save-password ! ! crypto ipsec transform-set IPsec_Authenication_VPN_client esp-3des esp-md5-hmac mode tunnel ! ! ! ! crypto dynamic-map pex_map 10 set transform-set IPsec_Authenication_VPN_client reverse-route ! ! crypto map vpn_client_map client authentication list userauthenication crypto map vpn_client_map isakmp authorization list groupauthenication crypto map vpn_client_map client configuration address respond crypto map vpn_client_map 10 ipsec-isakmp dynamic pex_map ! ! ! ! ! ! ! interface GigabitEthernet0/0 description UPlink ip address dhcp ip nat outside ip virtual-reassembly in duplex auto speed auto media-type rj45 no negotiation auto ntp disable crypto map vpn_client_map ! interface GigabitEthernet0/1 no ip address shutdown duplex auto speed auto media-type rj45 no negotiation auto ! interface GigabitEthernet0/2 description Down_link_to_local_network ip address 192.168.200.254 255.255.255.0 ip nat inside ip virtual-reassembly in duplex auto speed auto media-type rj45 no negotiation auto ! router ospf 1 router-id 10.255.255.1 passive-interface default no passive-interface Tunnel1 network 10.255.255.0 0.0.0.255 area 0 network 192.168.1.0 0.0.0.255 area 0 network 192.168.10.0 0.0.0.255 area 0 network 192.168.100.0 0.0.0.255 area 0 network 192.168.200.0 0.0.0.255 area 0 ! ip local pool VPN_pool 192.168.11.10 192.168.11.100 ip forward-protocol nd no ip http server no ip http secure-server ! ! ip nat inside source list NAT interface GigabitEthernet0/0 overload ! ip access-list extended NAT deny ip 192.168.200.0 0.0.0.255 192.168.11.0 0.0.0.255 permit ip any any ! ip access-list extended VPN permit ip 192.168.200.0 0.0.0.255 192.168.11.0 0.0.0.255 ! 4 часа назад, sunrise333 сказал: Совсем не поднимается или поднимается долго? Я про DMVPN? Если выключить на интерфейсе GI0/0 crypto map vpn_client_map. DMVPN поднимается и работает без нареканий. Дальше самое интересное, включаю crypto map vpn_client_map и тут казалось бы всё работает, т.е. и DMVPN и обычный VPN туннель. До первой перезагрузки. Поосле перезарузки работает только " обычный VPN туннель". Пока не повторить действия: Спойлер "выключить на интерфейсе GI0/0 crypto map vpn_client_map" Edited September 26, 2017 by RN3DCX Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...