Не ходит в GRE туннеле IPSEC

Question

[Алексей]

Доброго времени суток!
Быстрый вопрос к вам, товарищи!

Если два маршрутизатора через голый GRE туннель друг-друга видят, а с IPSEC уже нет, то в чём может быть проблема?

На всякий случай куски конфигов:

crypto isakmp policy 1
 encr 3des
 authentication pre-share
 lifetime 28800

crypto ipsec transform-set uch1 esp-3des esp-sha-hmac

crypto isakmp key dududu address 2.2.2.2

crypto map MAPMAP 1 ipsec-isakmp 
 description MAP
 set peer 2.2.2.2
 set transform-set uch1 
 match address 140

interface Tunnel1
 description T11
 ip address 192.168.19.86 255.255.255.248
 ip tcp adjust-mss 1452
 tunnel source 1.1.1.1
 tunnel destination 2.2.2.2
 crypto map MAPMAP

access-list 140 permit ip 192.168.0.0 0.0.63.255 192.168.19.80 0.0.0.7

crypto isakmp policy 1
 encr 3des
 authentication pre-share
 lifetime 28800

crypto ipsec transform-set uch1 esp-3des esp-sha-hmac

crypto isakmp key dududu address 1.1.1.1

crypto map PAMPAM 1 ipsec-isakmp
 description PAM
 set peer 1.1.1.1
 set transform-set uch1
 match address 140

interface Tunnel11
 ip address 192.168.19.81 255.255.255.248
 ip tcp adjust-mss 1452
 tunnel source 2.2.2.2
 tunnel destination 1.1.1.1
 crypto map PAMPAM

access-list 140 permit ip 192.168.19.80 0.0.0.7 192.168.0.0 0.0.63.255

Вменяемый дебаг сделать трудно т.к. туннель не один.

Comments

[Алексей]

Мне хватить полпинка в верном направлении ;)

Answer 1

[JDima]

IPSec должен шифровать трафик от физического интерфейса до физического интерфейса, а не между туннельными адресами. Т.е. между 1.1.1.1 и 2.2.2.2. Правьте crypto acl.

Comments

[Алексей]

Взял на заметку — попробую. Спасибо.

[JDima]

Что до дебага, сначала:
debug crypto condition peer ipv4 2.2.2.2
(это отфильтрует лишнее)
Затем уже debug crypto isakmp и debug crypto ipsec. Но скорее всего один только show crypto ipsec sa peer 2.2.2.2 позволит понять, в чем проблема.

[inch_88]

Вопрос давно "забыт"... Но что бы ваш(@JDima) совет заработал, необходимо дополнительно перевесить крипто-мап с туннелей на интерфейсы на которых висят 1.1.1.1 и 2.2.2.2 соответственно.

И человек хотел IPSec over GRE, а вы ему советы даете как будто он хотел строить GRE over IPSec ))