Почему не поднимается тоннель между cisco rv320 и cisco 871?

Question

[topbanana]

Здравствуйте!
Пытаюсь по нескольким мануалам настроить site-to-site vpn тоннель между cisco rv320 и cisco 871, и что-то не получается.

Схема сети вот такая:


На cisco 871 настроен dyndns, туда и пытаюсь подключиться.

Настройки на RV320:





На 871 прописываю вот это:

crypto isakmp policy 1
 encr 3des
 authentication pre-share
 lifetime 28800
crypto isakmp key preshared-key address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set MYSET esp-aes esp-sha-hmac 
!
crypto dynamic-map hq-vpn 10
 set security-association lifetime seconds 28800
 set transform-set MYSET 
 match address 100
!
crypto map VPNMAP 1 ipsec-isakmp dynamic hq-vpn 
!
interface FastEthernet4
 crypto map VPNMAP
!
access-list 100 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255

При попытке пинговать 871 с компьютера, подключенного к RV320, тоннель не поднимается.
Что я делаю не так?

Answer 1

[topbanana]

включил deb crypto ipsec и deb crypto isakmp, включил на RV320 general log для IPSec & PPTP VPN и для SSL VPN.

RV320 в логах пишет только вот это

2014-07-04, 06:29:17	 VPN Log	 [g2gips0] #442: [Tunnel Established] ISAKMP SA established

871 пишет вот что:

Jul  4 14:38:08.250: ISAKMP:(1012):atts are acceptable.
Jul  4 14:38:08.250: IPSEC(validate_proposal_request): proposal part #1
Jul  4 14:38:08.250: IPSEC(validate_proposal_request): proposal part #1,
  (key eng. msg.) INBOUND local= 93.190.176.206, remote= 93.190.178.205, 
    local_proxy= 10.1.1.0/255.255.255.0/0/0 (type=4), 
    remote_proxy= 10.1.2.0/255.255.255.0/0/0 (type=4),
    protocol= AH, transform= ah-sha-hmac  (Tunnel), 
    lifedur= 0s and 0kb, 
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0
Jul  4 14:38:08.250: IPSEC(validate_proposal_request): proposal part #2
Jul  4 14:38:08.254: IPSEC(validate_proposal_request): proposal part #2,
  (key eng. msg.) INBOUND local= 93.190.176.206, remote= 93.190.178.205, 
    local_proxy= 10.1.1.0/255.255.255.0/0/0 (type=4), 
    remote_proxy= 10.1.2.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-aes 256 esp-sha-hmac  (Tunnel), 
    lifedur= 0s and 0kb, 
    spi= 0x0(0), conn_id= 0, keysize= 256, flags= 0x0
Jul  4 14:38:08.254: IPSEC(crypto_ipsec_process_proposal): invalid local address 93.190.176.206
Jul  4 14:38:08.254: ISAKMP:(1012): IPSec policy invalidated proposal
Jul  4 14:38:08.254: ISAKMP:(1012): phase 2 SA policy not acceptable! (local 93.190.176.206 remote 93.190.178.205)
Jul  4 14:38:08.254: ISAKMP: set new node 680991999 to QM_IDLE      
Jul  4 14:38:08.254: ISAKMP:(1012):Sending NOTIFY PROPOSAL_NOT_CHOSEN protocol 2
	spi 2204243888, message ID = 680991999

320 подключен через tp-link, потому что провайдер раздает интернет через pptp, а 320 не умеет так подключаться.

UPD.

Переставил crypto map с FE4 на Dialer0, мне debug выдал другую ошибку

Jul  4 15:08:33.746: IPSEC(crypto_ipsec_process_proposal): transform proposal not supported for identity: 
    {ah-sha-hmac esp-aes 256 esp-sha-hmac }

Тогда я поменял transform-set на то, что написано в дебаге, тоннель вроде поднялся.

Но пинг не проходит

Comments

[Ринат Гарипов]

@topbanana охохонюшки. конечно crypto map всегда на внешнем интерфейсе :)

[Ринат Гарипов]

@topbanana пинг не проходит по следующей причине: в access-list на роутере 871, который отвечает за NAT, первой нужно внести строку, запрещающую NAT-ить пакеты для vpn. Например у вас NAT описан так: ip nat inside source list 101 interface Dialer0
тогда редактируем access-list 101 до такого вида:
access-list 101 deny ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
access-list 101 permit ip 10.1.1.0 0.0.0.255 any

[topbanana]

@ragent, извиняюсь за глупость, но до меня что-то не доходит куда вставить запрет. Конфиг вот такой

На 871 такой конфиг:

871

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
!
hostname V871_router
!
boot-start-marker
boot-end-marker
!
enable secret 5 secret
!
no aaa new-model
!
resource policy
!
clock timezone Moscow 3
clock summer-time Moscow recurring last Sun Mar 2:00 last Sun Oct 2:00
ip subnet-zero
no ip gratuitous-arps
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.1.1.1 10.1.1.99
ip dhcp excluded-address 10.1.1.200
!
ip dhcp pool LAN
   network 10.1.1.0 255.255.255.0
   dns-server 10.1.1.1 
   default-router 10.1.1.1 
!
!
ip domain name router.com
ip name-server 8.8.8.8
ip name-server 4.2.2.2
ip name-server 208.67.222.222
ip name-server 208.67.220.220
ip multicast-routing 
ip ssh version 2
ip ddns update method DNSupdate
 HTTP
  add http://zzzzz:login@dynupdate.no-ip.com/nic/update?hostname=<h>&myip=<a>
  remove http://zzzzzzz:login@dynupdate.no-ip.com/nic/update?hostname=<h>&myip=<a>
 interval maximum 1 0 0 0
!
vpdn enable
!
vpdn-group 1
 request-dialin
  protocol pptp
  rotary-group 0
 initiate-to ip 192.168.117.249
!
vpdn-group VPN
! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
!
!
!
!
username user secret 5 secret
archive   
 log config
  logging enable
  hidekeys
!
! 
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 lifetime 28800
crypto isakmp key my_key address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set MYSET ah-sha-hmac esp-aes 256 esp-sha-hmac 
!
crypto dynamic-map hq-vpn 10
 set security-association lifetime seconds 28800
 set transform-set MYSET 
 match address 100
!
!
!
!
crypto map VPNMAP 1 ipsec-isakmp dynamic hq-vpn 
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
 mac-address 0015.5898.dd6a
 ip address dhcp client-id FastEthernet4
 ip access-group RDP in
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface Virtual-Template1 
 ip unnumbered Vlan1
 peer default ip address pool VPN
 no keepalive
 ppp encrypt mppe auto
 ppp authentication pap chap ms-chap ms-chap-v2
!
interface Vlan1
 ip address 10.1.1.1 255.255.255.0
 ip nat inside
 ip nat enable
 ip virtual-reassembly
!
interface Dialer0
 mtu 1440
 ip ddns update hostname router.ddns.com
 ip ddns update DNSupdate
 ip address negotiated
 ip pim dense-mode
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip tcp adjust-mss 1400
 dialer in-band
 dialer idle-timeout 0
 dialer string kerch.net
 dialer vpdn
 dialer-group 1
 no cdp enable
 ppp chap hostname login
 ppp chap password 0 passwd
 crypto map VPNMAP
!
ip local pool VPN 10.1.1.50 10.1.1.75
ip default-gateway 10.1.1.1
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.0.0 255.255.0.0 FastEthernet4 dhcp
!
ip dns server
!
no ip http server
no ip http secure-server
ip nat inside source static tcp 10.1.1.200 445 interface FastEthernet4 445
ip nat inside source static tcp 10.1.1.200 139 interface FastEthernet4 139
ip nat inside source static tcp 10.1.1.200 138 interface FastEthernet4 138
ip nat inside source static tcp 10.1.1.200 137 interface FastEthernet4 137
ip nat inside source route-map INTERNET interface Dialer0 overload
ip nat inside source route-map LOCAL interface FastEthernet4 overload
ip nat inside source static tcp 10.1.1.200 3389 interface FastEthernet4 3389
!
ip access-list standard INSIDE_NAT
 permit 10.1.1.0 0.0.0.255
!
ip access-list extended RDP
 permit tcp host 192.168.104.109 any eq 3389
 permit tcp host 192.168.138.152 any eq 3389
 permit tcp host 192.168.74.130 any eq 3389
 permit tcp host 192.168.138.152 any range 137 139
 permit tcp host 192.168.138.152 any eq 445
 permit tcp host 192.168.74.130 any range 137 139
 permit tcp host 192.168.74.130 any eq 445
 deny   tcp any any eq 3389 log
 deny   tcp any any range 137 139
 deny   tcp any any eq 445
 permit ip any any
!
access-list 100 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
dialer-list 1 protocol ip permit
!
route-map INTERNET permit 10
 match ip address INSIDE_NAT
 match interface Dialer0
!
route-map LOCAL permit 10
 match ip address INSIDE_NAT
 match interface FastEthernet4
!
!
control-plane
!
!
line con 0
 logging synchronous
 no modem enable
line aux 0
line vty 0 4
 login local
 transport input ssh
!
scheduler max-task-time 5000
ntp clock-period 17175059
ntp master
ntp server 67.215.65.132
ntp server 91.236.251.12
end

[Ринат Гарипов]

@topbanana вот так надо сделать:
conf t
no ip access-list standard INSIDE_NAT
ip access-list extended INSIDE_NAT
deny ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
permit ip 10.1.1.0 0.0.0.255 any

[topbanana]

@ragent я так вчера делал уже, не работало. Сейчас сделал, как вы написали, теперь эта секция выглядит так:

ip nat inside source static tcp 10.1.1.200 3389 interface FastEthernet4 3389
ip nat inside source route-map INTERNET interface Dialer0 overload
ip nat inside source route-map LOCAL interface FastEthernet4 overload
ip nat inside source static tcp 10.1.1.200 137 interface FastEthernet4 137
ip nat inside source static tcp 10.1.1.200 138 interface FastEthernet4 138
ip nat inside source static tcp 10.1.1.200 139 interface FastEthernet4 139
ip nat inside source static tcp 10.1.1.200 445 interface FastEthernet4 445
!
ip access-list extended INSIDE_NAT
 deny   ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
 permit ip 10.1.1.0 0.0.0.255 any
ip access-list extended RDP
 permit tcp host 192.168.104.109 any eq 3389
 permit tcp host 192.168.138.152 any eq 3389
 permit tcp host 192.168.74.130 any eq 3389
 permit tcp host 192.168.138.152 any range 137 139
 permit tcp host 192.168.138.152 any eq 445
 permit tcp host 192.168.74.130 any range 137 139
 permit tcp host 192.168.74.130 any eq 445
 deny   tcp any any eq 3389 log
 deny   tcp any any range 137 139
 deny   tcp any any eq 445
 permit ip any any
!
access-list 100 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
dialer-list 1 protocol ip permit
!
route-map INTERNET permit 10
 match ip address INSIDE_NAT
 match interface Dialer0
!
route-map LOCAL permit 10
 match ip address INSIDE_NAT
 match interface FastEthernet4
!

Пинг не проходит =(

[Ринат Гарипов]

@topbanana тут еще думаю дело в route-map. Надо подумать, как их разделить. Покажите вывод sh route-map

[Ринат Гарипов]

@topbanana или так попробуйте пингануть: ping 10.1.2.1 source 10.1.1.1

[topbanana]

@ragent вот вывод

#sh route-map 
route-map INTERNET, permit, sequence 10
  Match clauses:
    ip address (access-lists): INSIDE_NAT 
    interface Dialer0 
  Set clauses:
  Policy routing matches: 0 packets, 0 bytes
route-map LOCAL, permit, sequence 10
  Match clauses:
    ip address (access-lists): INSIDE_NAT 
    interface FastEthernet4 
  Set clauses:
  Policy routing matches: 0 packets, 0 bytes

и пинг

#ping 10.1.2.1 source 10.1.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.2.1, timeout is 2 seconds:
Packet sent with a source address of 10.1.1.1 
.....
Success rate is 0 percent (0/5)

[topbanana]

Ну и вот, чтобы быть уверенным, что я не зря пингую

#show crypto session 
Crypto session current status

Interface: Dialer0
Session status: UP-ACTIVE     
Peer: 93.190.178.205 port 500 
  IKE SA: local 93.190.176.206/500 remote 93.190.178.205/500 Active 
  IPSEC FLOW: permit ip 10.1.1.0/255.255.255.0 10.1.2.0/255.255.255.0 
        Active SAs: 4, origin: dynamic crypto map

[Ринат Гарипов]

@topbanana а для теста можем убрать ip nat inside source route-map LOCAL interface FastEthernet4 и пропинговать: ping 10.1.2.1 source 10.1.1.1 ?

[Ринат Гарипов]

@topbanana и еще есть мнение, что в route-map INTERNET вот эта директива лишняя: match interface Dialer0.
После удаления (в кач-ве теста) строчки "ip nat inside source route-map LOCAL interface FastEthernet4" прошу проверить с отредактированным route-map INTERNET

[topbanana]

router(config)#no ip nat inside source route-map LOCAL interface fastEthernet 4 overload 
router(config)#exit 
router#ping 10.1.2.1 source 10.1.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.2.1, timeout is 2 seconds:
Packet sent with a source address of 10.1.1.1 
.....
Success rate is 0 percent (0/5)

возвращаю ip nat inside source route-map LOCAL interface fastEthernet 4 overload

[topbanana]

@ragent, убрал match interface Dialer0, ничего не изменилось для тоннеуля. Убрал дополнительно ip nat inside source route-map LOCAL interface fastEthernet 4 overload, тоже ничего не поменялось. Возвращаю.

[Ринат Гарипов]

@topbanana а в последний раз пинговали?

[Ринат Гарипов]

@topbanana все таки мне не совсем ясно, для чего эта конструкция: ip nat inside source route-map LOCAL interface FastEthernet4

[topbanana]

@ragent да, пинговал, конечно.
По поводу конфигурации на 871, мне так подсказал @throughtheether в ответе на вопрос на настройке pptp для этого 871-го вот тут Что не так с настройкой pptp client на cisco 871?

[throughtheether]

>мне не совсем ясно, для чего эта конструкция: ip nat inside source route-map LOCAL interface FastEthernet4

NAT в домовую сеть. Вполне может быть, что ее можно переписать по-другому.

[topbanana]

Если её убрать, то я с 871 не могу достучаться до компьютеров во внутренней сети провайдера. Но могу из этой сети достучаться до роутера. В принципе мне именно из сети провайдера до роутера и надо достучаться, чтобы подключаться к компьютеру за ним по rdp.

В любом случае наличие этого правила не влияет на работоспособность тоннеля.

[topbanana]

Так что же делать? Тоннель нужен очень. Можно пожертвовать возможностью ходить во внутреннюю сеть провайдера.

[Ринат Гарипов]

@topbanana а с обратной стороны, rv320 как обстоят дела?

[topbanana]

@ragent, Не знаю, как тут в комментариях вставить картинки дам ссылки. На RV320 стоит лог вот этого:
habrastorage.org/files/ae2/b13/3fb/ae2b133fb22b416...

После попытки пинга с rv320 вот что в логе:

2014-07-08, 21:58:02    VPN Log    [g2gips0]: cmd=up-client peer=93.190.176.206 peer_client=10.1.1.0/24 peer_client_net=10.1.1.0 peer_client_mask=255.255.255.0 
2014-07-08, 21:58:02    VPN Log    ip route add 10.1.1.0/24 via 192.168.1.1 dev eth1 metric 35 
2014-07-08, 21:58:02    VPN Log    iptables -t nat -I vpn -s 10.1.2.0/24 -d 10.1.1.0/24 -j ACCEPT 
2014-07-08, 21:58:02    VPN Log    iptables -t nat -I vpn -s 10.1.1.0/24 -d 10.1.2.0/24 -j ACCEPT 
2014-07-08, 21:58:02    VPN Log    iptables -t nat -I vpn_postrouting -s 10.1.2.0/24 -d 10.1.1.0/24 -j ACCEPT 
2014-07-08, 21:58:02    VPN Log    iptables -t nat -I vpn_postrouting -o eth0 -s 10.1.1.0/24 -d 10.1.2.0/24 -j ACCEPT 
2014-07-08, 21:58:02    VPN Log    [g2gips0] #1107: [Tunnel Established] sent QI2, IPsec SA established {ESP=>0x2f20b67b < 0xcc2ebbfa AH=>0x774b729a < 0xc43b8961}

Еще есть статистика по трафику. Непонятно, что за пакеты уходят в WAN2, если она не подключена. Цифры там потихоньку увеличиваются.
habrastorage.org/files/0ad/bdf/846/0adbdf84607a417...

На TP-Link вот такие настройки стоят:
habrastorage.org/files/1ea/93f/9f5/1ea93f9f512f4a4...

[topbanana]

Пока лазил искал что еще можно на RV320 увидеть, заметил, что у меня было добавлено 3 VLAN по умолчанию, решил 2 лишние удалить. В процессе удаления проскочили несколько пакетов пинга и mtr показал путь до 871. Потом все остановилось. Повторить добавлением и удалением vlan'ов это не получилось.

Зато если оставить пинг включенным и перезагрузить RV320, то пинг проскакивает, или как это понимать?
habrastorage.org/files/eb9/a9c/cac/eb9a9ccac6a6427...
Тут я дважды перезагружал RV320.

[Ринат Гарипов]

@topbanana посмотрел сейчас настройки на аналогичном шлюзе RV082 - есть пара моментов: 1. в настройках vpn в advanced можно поставить галку keep-alive.
2. проверить настройки Firewall. У меня там такое: https://yadi.sk/i/lwgelSkTWJowv

[Ринат Гарипов]

@topbanana и вот эта строка немного смущает: 2014-07-08, 21:58:02 VPN Log ip route add 10.1.1.0/24 via 192.168.1.1 dev eth1 metric 35.
В конфиге rv320 есть упоминание хоста 192.168.1.1?

[Ринат Гарипов]

@topbanana погуглил еще на предмет поддержки pptp на rv320. В доке утверждается, что он таки умеет: www.cisco.com/c/dam/en/us/td/docs/routers/csbr/rv3...
Может обновить прошивку на железке и поставить его сразу на линк, а не после tp-link??

[topbanana]

@ragent
Добавил такое же правило в firewall, добавил галку keepalive.
habrastorage.org/files/868/55f/da4/86855fda46ab454...

Изменений нет.

В конфиге тоннеля нет упоминания 192.168.1.1, но есть упоминание 192.168.1.100 - wan адрес rv320, а 192.168.1.1 это tp-link, который шлюз для rv320.

Прошивка последняя на rv320. В доке написано, что он может быть сервером pptp, но не клиентом. Может надо на 871 прошивку обновить до последней и тогда уже смотреть.

Вообще изначально настраивать пытался по этой доке https://supportforums.cisco.com/sites/default/file...
У них в методичке вообще все просто и не предполагается наличие проблем :-/

[Ринат Гарипов]

@topbanana у них на схеме не предполагается наличия tp-link между роутерами :)
а если серьезно, то есть еще идея попробовать выключить SPI на tp-link.
Но вот то правило меня смущает сильно (ip route add 10.1.1.0/24 via 192.168.1.1). Нашел тут еще online эмулятор web морды rv320 - на вкладке setup - advanced routing у вас точно ничего нет??

[topbanana]

@ragent есть такая вкладка habrastorage.org/files/b8f/635/ed0/b8f635ed068646d...
но там пусто.

Я обновил ios на 871, теперь у меня другая проблема появилась - он перестал подключаться к pptp серверу провайдера.

[topbanana]

Проблема с подключением была из-за окончания срока абонплаты.

Прошивку обновил еще раз до последней доступной c870-advipservicesk9-mz.124-24.T8.bin

VSH_871_router#sh crypto session detail 
Crypto session current status 

Code: C - IKE Configuration mode, D - Dead Peer Detection      
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation      
X - IKE Extended Authentication, F - IKE Fragmentation 

Interface: Dialer0 
Uptime: 00:40:37 
Session status: UP-ACTIVE      
Peer: 93.190.178.205 port 500 fvrf: (none) ivrf: (none) 
      Phase1_id: 192.168.1.100 
      Desc: (none) 
  IKE SA: local 93.190.177.103/500 remote 93.190.178.205/500 Active 
          Capabilities:(none) connid:2001 lifetime:07:19:22 
  IPSEC FLOW: permit ip 10.1.1.0/255.255.255.0 10.1.2.0/255.255.255.0 
        Active SAs: 4, origin: dynamic crypto map 
        Inbound:  #pkts dec'ed 0 <b>drop 30</b> life (KB/Sec) 4500544/1162 
        Outbound: #pkts enc'ed 5 drop 0 life (KB/Sec) 4500549/1162

Пакеты доходят, но он их режет?

[Ринат Гарипов]

@topbanana смотрите в чем дело: пакеты с 871 уходят (Outbound: #pkts enc'ed 5) а назад не возвращаются (Inbound: #pkts dec'ed 0)
попробуйте пингануть как мы обсуждали ping 10.1.2.1 source 10.1.1.1 и проверить счетчики inbound/outbound

[Ринат Гарипов]

и если действительно rv320 роутит подсеть 10.1.1.0/24 на tp-link (ip route add 10.1.1.0/24 via 192.168.1.1) то это проблема.

[topbanana]

Outbound увеличивается при попытке пингануть. 2 пинга, outbound enc'ed 10.

router#show crypto session detail   
Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection     
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation     
X - IKE Extended Authentication, F - IKE Fragmentation

Interface: Dialer0
Uptime: 00:45:11
Session status: UP-ACTIVE     
Peer: 93.190.178.205 port 500 fvrf: (none) ivrf: (none)
      Phase1_id: 192.168.1.100
      Desc: (none)
  IKE SA: local 93.190.177.215/500 remote 93.190.178.205/500 Active 
          Capabilities:(none) connid:2001 lifetime:07:14:48
  IPSEC FLOW: permit ip 10.1.1.0/255.255.255.0 10.1.2.0/255.255.255.0 
        Active SAs: 4, origin: dynamic crypto map
        Inbound:  #pkts dec'ed 0 drop 2701 life (KB/Sec) 4437914/888
        Outbound: #pkts enc'ed 10 drop 0 life (KB/Sec) 4438378/888

На днях отнесу rv320 к другому isp, попробую напрямую подключить его к сети и посмотрю что будет.

[Ринат Гарипов]

@topbanana а еще смущают drop. может все-таки debug? глянем, прилетает таки в ответ с rv320 что то или нет.

[topbanana]

@ragent вот для debug cry isa, debug crypto ipsec ...
kalinin.eu/log.txt

[topbanana]

Подключил rv320 напрямую к другому провайдеру, теперь у него внешний адрес wan 10.7.100.34, внутренний 10.1.2.1. Тоннель теперь вообще не поднимается.

вот что пишет 871

Jul 16 08:00:58.303: ISAKMP (2004): received packet from 193.200.22.2 dport 500 sport 500 Global (R) QM_IDLE
Jul 16 08:00:58.303: ISAKMP: set new node -611826507 to QM_IDLE
Jul 16 08:00:58.307: ISAKMP:(2004): processing HASH payload. message ID = -611826507
Jul 16 08:00:58.307: ISAKMP:(2004): processing SA payload. message ID = -611826507
Jul 16 08:00:58.307: ISAKMP:(2004):Checking IPSec proposal 0
Jul 16 08:00:58.307: ISAKMP: transform 0, AH_SHA
Jul 16 08:00:58.307: ISAKMP:   attributes in transform:
Jul 16 08:00:58.307: ISAKMP:      group is 5
Jul 16 08:00:58.307: ISAKMP:      encaps is 1 (Tunnel)
Jul 16 08:00:58.307: ISAKMP:      SA life type in seconds
Jul 16 08:00:58.307: ISAKMP:      SA life duration (basic) of 3600
Jul 16 08:00:58.307: ISAKMP:      authenticator is HMAC-SHA
Jul 16 08:00:58.307: ISAKMP:(2004):atts are acceptable.
Jul 16 08:00:58.307: ISAKMP:(2004):Checking IPSec proposal 0
Jul 16 08:00:58.307: ISAKMP: transform 0, ESP_AES
Jul 16 08:00:58.307: ISAKMP:   attributes in transform:
Jul 16 08:00:58.307: ISAKMP:      group is 5
Jul 16 08:00:58.307: ISAKMP:      encaps is 1 (Tunnel)
Jul 16 08:00:58.307: ISAKMP:      SA life type in seconds
Jul 16 08:00:58.307: ISAKMP:      SA life duration (basic) of 3600
Jul 16 08:00:58.307: ISAKMP:      authenticator is HMAC-SHA
Jul 16 08:00:58.307: ISAKMP:      key length is 256
Jul 16 08:00:58.307: ISAKMP:(2004):atts are acceptable.
Jul 16 08:00:58.307: IPSEC(validate_proposal_request): proposal part #1
Jul 16 08:00:58.307: IPSEC(validate_proposal_request): proposal part #1,
  (key eng. msg.) INBOUND local= 93.190.177.215, remote= 193.200.22.2,
    local_proxy= 10.1.1.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4),
    protocol= AH, transform= NONE  (Tunnel),
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0
Jul 16 08:00:58.307: IPSEC(validate_proposal_request): proposal part #2
Jul 16 08:00:58.307: IPSEC(validate_proposal_request): proposal part #2,
  (key eng. msg.) INBOUND local= 93.190.177.215, remote= 193.200.22.2,
    local_proxy= 10.1.1.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= NONE  (Tunnel),
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 256, flags= 0x0
Jul 16 08:00:58.307: Crypto mapdb : proxy_match
        src addr     : 10.1.1.0
        dst addr     : 192.168.1.0
        protocol     : 0
        src port     : 0
        dst port     : 0
Jul 16 08:00:58.311: Crypto mapdb : proxy_match
        src addr     : 10.1.1.0
        dst addr     : 192.168.1.0
        protocol     : 0
        src port     : 0
        dst port     : 0
Jul 16 08:00:58.311: map_db_find_best did not find matching map
Jul 16 08:00:58.311: IPSEC(ipsec_process_proposal): proxy identities not supported
Jul 16 08:00:58.311: ISAKMP:(2004): IPSec policy invalidated proposal with error 32
Jul 16 08:00:58.311: ISAKMP:(2004): phase 2 SA policy not acceptable! (local 93.190.177.215 remote 193.200.22.2)
Jul 16 08:00:58.311: ISAKMP: set new node 277978537 to QM_IDLE
Jul 16 08:00:58.311: ISAKMP:(2004):Sending NOTIFY PROPOSAL_NOT_CHOSEN protocol 2
        spi 2223674800, message ID = 277978537
Jul 16 08:00:58.311: ISAKMP:(2004): sending packet to 193.200.22.2 my_port 500 peer_port 500 (R) QM_IDLE
Jul 16 08:00:58.311: ISAKMP:(2004):Sending an IKE IPv4 Packet.
Jul 16 08:00:58.311: ISAKMP:(2004):purging node 277978537
Jul 16 08:00:58.311: ISAKMP:(2004):deleting node -611826507 error TRUE reason "QM rejected"
Jul 16 08:00:58.311: ISAKMP:(2004):Node -611826507, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
Jul 16 08:00:58.311: ISAKMP:(2004):Old State = IKE_QM_READY  New State = IKE_QM_READY
Jul 16 08:00:59.455: ISAKMP:(2003):purging node 2045592847
Jul 16 08:01:04.348: ISAKMP (0): received packet from 193.200.22.2 dport 500 sport 500 Global (N) NEW SA
Jul 16 08:01:04.348: %CRYPTO-4-IKMP_NO_SA: IKE message from 193.200.22.2 has no SA and is not an initialization offer
Jul 16 08:01:08.357: ISAKMP (2004): received packet from 193.200.22.2 dport 500 sport 500 Global (R) QM_IDLE
Jul 16 08:01:08.357: ISAKMP:(2004): phase 2 packet is a duplicate of a previous packet.
Jul 16 08:01:08.357: ISAKMP:(2004): retransmitting due to retransmit phase 2
Jul 16 08:01:08.357: ISAKMP:(2004): ignoring retransmission,because phase2 node marked dead -611826507
Jul 16 08:01:08.357: ISAKMP (2003): received packet from 193.200.22.2 dport 500 sport 500 Global (R) MM_NO_STATE

Что за dest addr 192.168.1.0? Этого адреса нет ни в конфиге 871, ни в настройках 320. Похоже, надо было брать d-link какой-нибудь.

[Ринат Гарипов]

@topbanana сеть 192.168.1.0 присылает rv320

[Ринат Гарипов]

@topbanana btw как сейчас дела с туннелем?

[topbanana]

@ragent Никак) Люди от меня устали и перестали отвечать на вопросы, собираюсь читать книгу по маршрутизации. В крайнем случае придется заплатить специалисту, который настроит туннели на микротиках. По цискам у нас в городе нет мастеров.

[Ринат Гарипов]

@topbanana привет. я извиняюсь за задержку с ответом - был в отпуске. а как же у вас не на платной разве основе услуги? требуйте ответов, раз Вы платите.

[topbanana]

@ragent Здравствуйте! Не понял, какие услуги на платной основе?

Получилось у меня все.
Теперь 2 роутера подключены напрямую к ISP и имеют белые ip. И оба cisco 871.

Я взял и недолго думая скопировал настройки с этого мануала www.firewall.cx/cisco-technical-knowledgebase/cisc...

Попробовал пинг с одного роутера до второго после всех настроек - и ничего. Хотел уже вас просить о помощи, но пропинговав удаленную сеть с компьютера, vpn поднялся и пинг прошел. Не знаю чего оно с роутера не идет.. Хм.. хотя если сделать ping 10.1.1.1 source vlan 1, то и с роутера идет пинг.

В общем с горем пополам заработало! Спасибо за вашу помощь =)

[Ринат Гарипов]

@topbanana замечательно. отметьте вопрос как решенный, пожалуйста

[Ринат Гарипов]

@topbanana P.S. у меня RV082 на белом адресе работает, поднимает туннель с cisco 2811

[topbanana]

@ragent А у меня RV320 не хочет, хотя 871 подключается =/
Похоже это еще не все.
Сейчас ситуация такая: тоннель поднимается, с обеих сторон можно пропинговать роутер на другом конце.
Назовем роутеры R1 и R2. R1 - старый роутер, R2 - замена для RV320.
Со стороны R2 c компьютера можно пропинговать все, что пингуется в сети R1, но не получается ни открыть сетевые папки, ни подключиться по rdp к серверу.
Со стороны R1 пингуется только роутер R2, компьютер не пингуется.
Что делать?

[topbanana]

Думаю это уже другой вопрос. В общем тоннель работает. Все пингуется с обеих сторон. Но не хочет открываться сетевая папка на другом конце и не подключается к rdp серверу. Если подключиться к роутеру по pptp, то все работает. Через ipsec нет.