RN3DCX Опубликовано 25 сентября, 2017 · Жалоба Мож кто сталкивался с подобной проблемой. На центральном маршрутизаторе поднят DMVPN, создаю на нём же еще VPN туннель и вещаю его на интерфейс GI0/0. Всё отлично работает до первой перезагрузки. После нее нет соединений между маршрутизаторами через DMVPN и не возможно подключиться vpn'ом к маршрутизатору. Но по отдельности если, что то одно выключить, всё работает как часы... Спойлер aaa authentication login default local aaa authentication login userauthenication local aaa authorization network groupauthenication local crypto isakmp policy 10 encr 3des authentication pre-share group 2 ! crypto isakmp policy 1000 authentication pre-share crypto isakmp key 12345 address 89.X.X.X crypto isakmp key 12345 address 188.X.X.X crypto isakmp key 12345 address 194.X.X.X ! crypto isakmp client configuration group pex_VPN_connect key 8899 pool VPN_pool acl VPN save-password ! ! crypto ipsec transform-set IPsec_Authenication_Router's ah-sha-hmac mode transport crypto ipsec transform-set IPsec_Authenication_VPN_client esp-3des esp-md5-hmac mode tunnel ! crypto ipsec profile DMVPN set transform-set IPsec_Authenication_Router's ! ! ! crypto dynamic-map pex_map 10 set transform-set IPsec_Authenication_VPN_client reverse-route ! ! crypto map vpn_client_map client authentication list userauthenication crypto map vpn_client_map isakmp authorization list groupauthenication crypto map vpn_client_map client configuration address respond crypto map vpn_client_map 10 ipsec-isakmp dynamic pex_map ! ! ! ! ! ! interface Tunnel1 ip address 10.255.255.1 255.255.255.0 no ip redirects ip nhrp map multicast dynamic ip nhrp network-id 1 ip tcp adjust-mss 1412 ip ospf network broadcast tunnel source GigabitEthernet0/0 tunnel mode gre multipoint tunnel protection ipsec profile DMVPN ! interface GigabitEthernet0/0 description UPlink ip address dhcp ip nat outside ip virtual-reassembly in duplex auto speed auto media-type rj45 no negotiation auto ntp disable crypto map vpn_client_map ! interface GigabitEthernet0/1 no ip address shutdown duplex auto speed auto media-type rj45 no negotiation auto ! interface GigabitEthernet0/2 description Down_link_to_local_network ip address 192.168.200.254 255.255.255.0 ip nat inside ip virtual-reassembly in duplex auto speed auto media-type rj45 no negotiation auto ! router ospf 1 router-id 10.255.255.1 passive-interface default no passive-interface Tunnel1 network 10.255.255.0 0.0.0.255 area 0 network 192.168.1.0 0.0.0.255 area 0 network 192.168.10.0 0.0.0.255 area 0 network 192.168.100.0 0.0.0.255 area 0 network 192.168.200.0 0.0.0.255 area 0 ! ip local pool VPN_pool 192.168.11.10 192.168.11.100 ip forward-protocol nd no ip http server no ip http secure-server ! ! ip nat inside source list NAT interface GigabitEthernet0/0 overload ! ip access-list extended NAT deny ip 192.168.200.0 0.0.0.255 192.168.11.0 0.0.0.255 permit ip any any ! ip access-list extended VPN permit ip 192.168.200.0 0.0.0.255 192.168.11.0 0.0.0.255 ! no cdp run ! ! ! ! ! control-plane ! ! ! mgcp profile default ! ! ! gatekeeper shutdown ! ! line con 0 exec-timeout 60 0 logging synchronous stopbits 1 line aux 0 no exec transport output none stopbits 1 line vty 0 4 exec-timeout 60 0 privilege level 15 logging synchronous transport input ssh ! ntp update-calendar ntp server 195.3.254.2 source GigabitEthernet0/0 ntp server 192.36.143.130 source GigabitEthernet0/0 ntp server 185.22.60.71 source GigabitEthernet0/0 ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 25 сентября, 2017 · Жалоба А нет, обычный VPN туннель работает после перезагрузки, а вот DMVPN нет. Если временно выключить crypto map vpn_client_map на интерфейсе GI0/0 , связь между маршрутизаторами сразу появляется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 25 сентября, 2017 · Жалоба А DMVPN у вас не через VPN ходит случайно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 25 сентября, 2017 · Жалоба ну это фантастика! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 25 сентября, 2017 · Жалоба Не уже ли перевелись на данном форуме циско-сиськоведы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 26 сентября, 2017 · Жалоба А что за VPN тунель? site2site? так это по другому настраивается. Динамическая мапа там с какой целью? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sunrise333 Опубликовано 26 сентября, 2017 · Жалоба Совсем не поднимается или поднимается долго? Я про DMVPN? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 26 сентября, 2017 (изменено) · Жалоба 8 часов назад, ShyLion сказал: А что за VPN тунель? site2site? так это по другому настраивается. Динамическая мапа там с какой целью? 1. Hub to Spoke. Ниже выделил конфиг хаба: Спойлер crypto isakmp policy 1000 authentication pre-share crypto isakmp key 12345 address 89.X.X.X crypto isakmp key 12345 address 188.X.X.X crypto isakmp key 12345 address 194.X.X.X ! ! ! crypto ipsec transform-set IPsec_Authenication_Router's ah-sha-hmac mode transport ! crypto ipsec profile DMVPN set transform-set IPsec_Authenication_Router's ! ! ! interface Tunnel1 ip address 10.255.255.1 255.255.255.0 no ip redirects ip nhrp map multicast dynamic ip nhrp network-id 1 ip tcp adjust-mss 1412 ip ospf network broadcast tunnel source GigabitEthernet0/0 tunnel mode gre multipoint tunnel protection ipsec profile DMVPN ! ! router ospf 1 router-id 10.255.255.1 passive-interface default no passive-interface Tunnel1 network 10.255.255.0 0.0.0.255 area 0 network 192.168.1.0 0.0.0.255 area 0 network 192.168.10.0 0.0.0.255 area 0 network 192.168.100.0 0.0.0.255 area 0 network 192.168.200.0 0.0.0.255 area 2. Vpn (классический туннель от ПК пользователя до маршрутизатора, через cisco vpn client) Ниже выделил конфиг тунеля: Спойлер aaa authentication login default local aaa authentication login userauthenication local aaa authorization network groupauthenication local ! username yes privilege 15 password 7 0Z1P19530A5951 username user privilege 0 password 7 040A5951 ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 ! crypto isakmp client configuration group pex_VPN_connect key 8899 pool VPN_pool acl VPN save-password ! ! crypto ipsec transform-set IPsec_Authenication_VPN_client esp-3des esp-md5-hmac mode tunnel ! ! ! ! crypto dynamic-map pex_map 10 set transform-set IPsec_Authenication_VPN_client reverse-route ! ! crypto map vpn_client_map client authentication list userauthenication crypto map vpn_client_map isakmp authorization list groupauthenication crypto map vpn_client_map client configuration address respond crypto map vpn_client_map 10 ipsec-isakmp dynamic pex_map ! ! ! ! ! ! ! interface GigabitEthernet0/0 description UPlink ip address dhcp ip nat outside ip virtual-reassembly in duplex auto speed auto media-type rj45 no negotiation auto ntp disable crypto map vpn_client_map ! interface GigabitEthernet0/1 no ip address shutdown duplex auto speed auto media-type rj45 no negotiation auto ! interface GigabitEthernet0/2 description Down_link_to_local_network ip address 192.168.200.254 255.255.255.0 ip nat inside ip virtual-reassembly in duplex auto speed auto media-type rj45 no negotiation auto ! router ospf 1 router-id 10.255.255.1 passive-interface default no passive-interface Tunnel1 network 10.255.255.0 0.0.0.255 area 0 network 192.168.1.0 0.0.0.255 area 0 network 192.168.10.0 0.0.0.255 area 0 network 192.168.100.0 0.0.0.255 area 0 network 192.168.200.0 0.0.0.255 area 0 ! ip local pool VPN_pool 192.168.11.10 192.168.11.100 ip forward-protocol nd no ip http server no ip http secure-server ! ! ip nat inside source list NAT interface GigabitEthernet0/0 overload ! ip access-list extended NAT deny ip 192.168.200.0 0.0.0.255 192.168.11.0 0.0.0.255 permit ip any any ! ip access-list extended VPN permit ip 192.168.200.0 0.0.0.255 192.168.11.0 0.0.0.255 ! 4 часа назад, sunrise333 сказал: Совсем не поднимается или поднимается долго? Я про DMVPN? Если выключить на интерфейсе GI0/0 crypto map vpn_client_map. DMVPN поднимается и работает без нареканий. Дальше самое интересное, включаю crypto map vpn_client_map и тут казалось бы всё работает, т.е. и DMVPN и обычный VPN туннель. До первой перезагрузки. Поосле перезарузки работает только " обычный VPN туннель". Пока не повторить действия: Спойлер "выключить на интерфейсе GI0/0 crypto map vpn_client_map" Изменено 26 сентября, 2017 пользователем RN3DCX Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...