Почему не поднимается тоннель между cisco rv320 и cisco 871?

Думаю это уже другой вопрос. В общем тоннель работает. Все пингуется с обеих сторон. Но не хочет открываться сетевая папка на другом конце и не подключается к rdp серверу. Если подключиться к роутеру по pptp, то все работает. Через ipsec нет.

Почему не поднимается тоннель между cisco rv320 и cisco 871?

@ragent А у меня RV320 не хочет, хотя 871 подключается =/
Похоже это еще не все.
Сейчас ситуация такая: тоннель поднимается, с обеих сторон можно пропинговать роутер на другом конце.
Назовем роутеры R1 и R2. R1 - старый роутер, R2 - замена для RV320.
Со стороны R2 c компьютера можно пропинговать все, что пингуется в сети R1, но не получается ни открыть сетевые папки, ни подключиться по rdp к серверу.
Со стороны R1 пингуется только роутер R2, компьютер не пингуется.
Что делать?

Почему не поднимается тоннель между cisco rv320 и cisco 871?

@ragent Здравствуйте! Не понял, какие услуги на платной основе?

Получилось у меня все.
Теперь 2 роутера подключены напрямую к ISP и имеют белые ip. И оба cisco 871.

Я взял и недолго думая скопировал настройки с этого мануала www.firewall.cx/cisco-technical-knowledgebase/cisc...

Попробовал пинг с одного роутера до второго после всех настроек - и ничего. Хотел уже вас просить о помощи, но пропинговав удаленную сеть с компьютера, vpn поднялся и пинг прошел. Не знаю чего оно с роутера не идет.. Хм.. хотя если сделать ping 10.1.1.1 source vlan 1, то и с роутера идет пинг.

В общем с горем пополам заработало! Спасибо за вашу помощь =)

Почему не поднимается тоннель между cisco rv320 и cisco 871?

@ragent Никак) Люди от меня устали и перестали отвечать на вопросы, собираюсь читать книгу по маршрутизации. В крайнем случае придется заплатить специалисту, который настроит туннели на микротиках. По цискам у нас в городе нет мастеров.

Почему не поднимается тоннель между cisco rv320 и cisco 871?

Подключил rv320 напрямую к другому провайдеру, теперь у него внешний адрес wan 10.7.100.34, внутренний 10.1.2.1. Тоннель теперь вообще не поднимается.

вот что пишет 871

Jul 16 08:00:58.303: ISAKMP (2004): received packet from 193.200.22.2 dport 500 sport 500 Global (R) QM_IDLE
Jul 16 08:00:58.303: ISAKMP: set new node -611826507 to QM_IDLE
Jul 16 08:00:58.307: ISAKMP:(2004): processing HASH payload. message ID = -611826507
Jul 16 08:00:58.307: ISAKMP:(2004): processing SA payload. message ID = -611826507
Jul 16 08:00:58.307: ISAKMP:(2004):Checking IPSec proposal 0
Jul 16 08:00:58.307: ISAKMP: transform 0, AH_SHA
Jul 16 08:00:58.307: ISAKMP:   attributes in transform:
Jul 16 08:00:58.307: ISAKMP:      group is 5
Jul 16 08:00:58.307: ISAKMP:      encaps is 1 (Tunnel)
Jul 16 08:00:58.307: ISAKMP:      SA life type in seconds
Jul 16 08:00:58.307: ISAKMP:      SA life duration (basic) of 3600
Jul 16 08:00:58.307: ISAKMP:      authenticator is HMAC-SHA
Jul 16 08:00:58.307: ISAKMP:(2004):atts are acceptable.
Jul 16 08:00:58.307: ISAKMP:(2004):Checking IPSec proposal 0
Jul 16 08:00:58.307: ISAKMP: transform 0, ESP_AES
Jul 16 08:00:58.307: ISAKMP:   attributes in transform:
Jul 16 08:00:58.307: ISAKMP:      group is 5
Jul 16 08:00:58.307: ISAKMP:      encaps is 1 (Tunnel)
Jul 16 08:00:58.307: ISAKMP:      SA life type in seconds
Jul 16 08:00:58.307: ISAKMP:      SA life duration (basic) of 3600
Jul 16 08:00:58.307: ISAKMP:      authenticator is HMAC-SHA
Jul 16 08:00:58.307: ISAKMP:      key length is 256
Jul 16 08:00:58.307: ISAKMP:(2004):atts are acceptable.
Jul 16 08:00:58.307: IPSEC(validate_proposal_request): proposal part #1
Jul 16 08:00:58.307: IPSEC(validate_proposal_request): proposal part #1,
  (key eng. msg.) INBOUND local= 93.190.177.215, remote= 193.200.22.2,
    local_proxy= 10.1.1.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4),
    protocol= AH, transform= NONE  (Tunnel),
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0
Jul 16 08:00:58.307: IPSEC(validate_proposal_request): proposal part #2
Jul 16 08:00:58.307: IPSEC(validate_proposal_request): proposal part #2,
  (key eng. msg.) INBOUND local= 93.190.177.215, remote= 193.200.22.2,
    local_proxy= 10.1.1.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= NONE  (Tunnel),
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 256, flags= 0x0
Jul 16 08:00:58.307: Crypto mapdb : proxy_match
        src addr     : 10.1.1.0
        dst addr     : 192.168.1.0
        protocol     : 0
        src port     : 0
        dst port     : 0
Jul 16 08:00:58.311: Crypto mapdb : proxy_match
        src addr     : 10.1.1.0
        dst addr     : 192.168.1.0
        protocol     : 0
        src port     : 0
        dst port     : 0
Jul 16 08:00:58.311: map_db_find_best did not find matching map
Jul 16 08:00:58.311: IPSEC(ipsec_process_proposal): proxy identities not supported
Jul 16 08:00:58.311: ISAKMP:(2004): IPSec policy invalidated proposal with error 32
Jul 16 08:00:58.311: ISAKMP:(2004): phase 2 SA policy not acceptable! (local 93.190.177.215 remote 193.200.22.2)
Jul 16 08:00:58.311: ISAKMP: set new node 277978537 to QM_IDLE
Jul 16 08:00:58.311: ISAKMP:(2004):Sending NOTIFY PROPOSAL_NOT_CHOSEN protocol 2
        spi 2223674800, message ID = 277978537
Jul 16 08:00:58.311: ISAKMP:(2004): sending packet to 193.200.22.2 my_port 500 peer_port 500 (R) QM_IDLE
Jul 16 08:00:58.311: ISAKMP:(2004):Sending an IKE IPv4 Packet.
Jul 16 08:00:58.311: ISAKMP:(2004):purging node 277978537
Jul 16 08:00:58.311: ISAKMP:(2004):deleting node -611826507 error TRUE reason "QM rejected"
Jul 16 08:00:58.311: ISAKMP:(2004):Node -611826507, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
Jul 16 08:00:58.311: ISAKMP:(2004):Old State = IKE_QM_READY  New State = IKE_QM_READY
Jul 16 08:00:59.455: ISAKMP:(2003):purging node 2045592847
Jul 16 08:01:04.348: ISAKMP (0): received packet from 193.200.22.2 dport 500 sport 500 Global (N) NEW SA
Jul 16 08:01:04.348: %CRYPTO-4-IKMP_NO_SA: IKE message from 193.200.22.2 has no SA and is not an initialization offer
Jul 16 08:01:08.357: ISAKMP (2004): received packet from 193.200.22.2 dport 500 sport 500 Global (R) QM_IDLE
Jul 16 08:01:08.357: ISAKMP:(2004): phase 2 packet is a duplicate of a previous packet.
Jul 16 08:01:08.357: ISAKMP:(2004): retransmitting due to retransmit phase 2
Jul 16 08:01:08.357: ISAKMP:(2004): ignoring retransmission,because phase2 node marked dead -611826507
Jul 16 08:01:08.357: ISAKMP (2003): received packet from 193.200.22.2 dport 500 sport 500 Global (R) MM_NO_STATE

Что за dest addr 192.168.1.0? Этого адреса нет ни в конфиге 871, ни в настройках 320. Похоже, надо было брать d-link какой-нибудь.

Почему не поднимается тоннель между cisco rv320 и cisco 871?

@ragent вот для debug cry isa, debug crypto ipsec ...
kalinin.eu/log.txt

Почему не поднимается тоннель между cisco rv320 и cisco 871?

Outbound увеличивается при попытке пингануть. 2 пинга, outbound enc'ed 10.

router#show crypto session detail   
Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection     
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation     
X - IKE Extended Authentication, F - IKE Fragmentation

Interface: Dialer0
Uptime: 00:45:11
Session status: UP-ACTIVE     
Peer: 93.190.178.205 port 500 fvrf: (none) ivrf: (none)
      Phase1_id: 192.168.1.100
      Desc: (none)
  IKE SA: local 93.190.177.215/500 remote 93.190.178.205/500 Active 
          Capabilities:(none) connid:2001 lifetime:07:14:48
  IPSEC FLOW: permit ip 10.1.1.0/255.255.255.0 10.1.2.0/255.255.255.0 
        Active SAs: 4, origin: dynamic crypto map
        Inbound:  #pkts dec'ed 0 drop 2701 life (KB/Sec) 4437914/888
        Outbound: #pkts enc'ed 10 drop 0 life (KB/Sec) 4438378/888

На днях отнесу rv320 к другому isp, попробую напрямую подключить его к сети и посмотрю что будет.

Почему не поднимается тоннель между cisco rv320 и cisco 871?

Проблема с подключением была из-за окончания срока абонплаты.

Прошивку обновил еще раз до последней доступной c870-advipservicesk9-mz.124-24.T8.bin

VSH_871_router#sh crypto session detail 
Crypto session current status 

Code: C - IKE Configuration mode, D - Dead Peer Detection      
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation      
X - IKE Extended Authentication, F - IKE Fragmentation 

Interface: Dialer0 
Uptime: 00:40:37 
Session status: UP-ACTIVE      
Peer: 93.190.178.205 port 500 fvrf: (none) ivrf: (none) 
      Phase1_id: 192.168.1.100 
      Desc: (none) 
  IKE SA: local 93.190.177.103/500 remote 93.190.178.205/500 Active 
          Capabilities:(none) connid:2001 lifetime:07:19:22 
  IPSEC FLOW: permit ip 10.1.1.0/255.255.255.0 10.1.2.0/255.255.255.0 
        Active SAs: 4, origin: dynamic crypto map 
        Inbound:  #pkts dec'ed 0 <b>drop 30</b> life (KB/Sec) 4500544/1162 
        Outbound: #pkts enc'ed 5 drop 0 life (KB/Sec) 4500549/1162

Пакеты доходят, но он их режет?

Ошибка подключения cisco 871 к pptp серверу. В чем может быть проблема?

сделал на dialer0

no ppp chap hostname
no ppp chap password
ppp chap hostname login
ppp chap password password

Логин и пароль, как и были раньше, совпадают с договором. Но ошибка та же при подключении.

Ошибка подключения cisco 871 к pptp серверу. В чем может быть проблема?

буквально не менялся, я его не перезаливал. Сейчас попробую заново ввести логин и пароль.

Почему не поднимается тоннель между cisco rv320 и cisco 871?

@ragent есть такая вкладка habrastorage.org/files/b8f/635/ed0/b8f635ed068646d...
но там пусто.

Я обновил ios на 871, теперь у меня другая проблема появилась - он перестал подключаться к pptp серверу провайдера.

Почему не поднимается тоннель между cisco rv320 и cisco 871?

@ragent
Добавил такое же правило в firewall, добавил галку keepalive.
habrastorage.org/files/868/55f/da4/86855fda46ab454...

Изменений нет.

В конфиге тоннеля нет упоминания 192.168.1.1, но есть упоминание 192.168.1.100 - wan адрес rv320, а 192.168.1.1 это tp-link, который шлюз для rv320.

Прошивка последняя на rv320. В доке написано, что он может быть сервером pptp, но не клиентом. Может надо на 871 прошивку обновить до последней и тогда уже смотреть.

Вообще изначально настраивать пытался по этой доке https://supportforums.cisco.com/sites/default/file...
У них в методичке вообще все просто и не предполагается наличие проблем :-/

Почему не поднимается тоннель между cisco rv320 и cisco 871?

Пока лазил искал что еще можно на RV320 увидеть, заметил, что у меня было добавлено 3 VLAN по умолчанию, решил 2 лишние удалить. В процессе удаления проскочили несколько пакетов пинга и mtr показал путь до 871. Потом все остановилось. Повторить добавлением и удалением vlan'ов это не получилось.

Зато если оставить пинг включенным и перезагрузить RV320, то пинг проскакивает, или как это понимать?
habrastorage.org/files/eb9/a9c/cac/eb9a9ccac6a6427...
Тут я дважды перезагружал RV320.

Почему не поднимается тоннель между cisco rv320 и cisco 871?

@ragent, Не знаю, как тут в комментариях вставить картинки дам ссылки. На RV320 стоит лог вот этого:
habrastorage.org/files/ae2/b13/3fb/ae2b133fb22b416...

После попытки пинга с rv320 вот что в логе:

2014-07-08, 21:58:02    VPN Log    [g2gips0]: cmd=up-client peer=93.190.176.206 peer_client=10.1.1.0/24 peer_client_net=10.1.1.0 peer_client_mask=255.255.255.0 
2014-07-08, 21:58:02    VPN Log    ip route add 10.1.1.0/24 via 192.168.1.1 dev eth1 metric 35 
2014-07-08, 21:58:02    VPN Log    iptables -t nat -I vpn -s 10.1.2.0/24 -d 10.1.1.0/24 -j ACCEPT 
2014-07-08, 21:58:02    VPN Log    iptables -t nat -I vpn -s 10.1.1.0/24 -d 10.1.2.0/24 -j ACCEPT 
2014-07-08, 21:58:02    VPN Log    iptables -t nat -I vpn_postrouting -s 10.1.2.0/24 -d 10.1.1.0/24 -j ACCEPT 
2014-07-08, 21:58:02    VPN Log    iptables -t nat -I vpn_postrouting -o eth0 -s 10.1.1.0/24 -d 10.1.2.0/24 -j ACCEPT 
2014-07-08, 21:58:02    VPN Log    [g2gips0] #1107: [Tunnel Established] sent QI2, IPsec SA established {ESP=>0x2f20b67b < 0xcc2ebbfa AH=>0x774b729a < 0xc43b8961}

Еще есть статистика по трафику. Непонятно, что за пакеты уходят в WAN2, если она не подключена. Цифры там потихоньку увеличиваются.
habrastorage.org/files/0ad/bdf/846/0adbdf84607a417...

На TP-Link вот такие настройки стоят:
habrastorage.org/files/1ea/93f/9f5/1ea93f9f512f4a4...

Почему не поднимается тоннель между cisco rv320 и cisco 871?

Так что же делать? Тоннель нужен очень. Можно пожертвовать возможностью ходить во внутреннюю сеть провайдера.

Почему не поднимается тоннель между cisco rv320 и cisco 871?

Если её убрать, то я с 871 не могу достучаться до компьютеров во внутренней сети провайдера. Но могу из этой сети достучаться до роутера. В принципе мне именно из сети провайдера до роутера и надо достучаться, чтобы подключаться к компьютеру за ним по rdp.

В любом случае наличие этого правила не влияет на работоспособность тоннеля.

Почему не поднимается тоннель между cisco rv320 и cisco 871?

@ragent да, пинговал, конечно.
По поводу конфигурации на 871, мне так подсказал @throughtheether в ответе на вопрос на настройке pptp для этого 871-го вот тут Что не так с настройкой pptp client на cisco 871?

Почему не поднимается тоннель между cisco rv320 и cisco 871?

@ragent, убрал match interface Dialer0, ничего не изменилось для тоннеуля. Убрал дополнительно ip nat inside source route-map LOCAL interface fastEthernet 4 overload, тоже ничего не поменялось. Возвращаю.

Почему не поднимается тоннель между cisco rv320 и cisco 871?

router(config)#no ip nat inside source route-map LOCAL interface fastEthernet 4 overload 
router(config)#exit 
router#ping 10.1.2.1 source 10.1.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.2.1, timeout is 2 seconds:
Packet sent with a source address of 10.1.1.1 
.....
Success rate is 0 percent (0/5)

возвращаю ip nat inside source route-map LOCAL interface fastEthernet 4 overload

Почему не поднимается тоннель между cisco rv320 и cisco 871?

Ну и вот, чтобы быть уверенным, что я не зря пингую

#show crypto session 
Crypto session current status

Interface: Dialer0
Session status: UP-ACTIVE     
Peer: 93.190.178.205 port 500 
  IKE SA: local 93.190.176.206/500 remote 93.190.178.205/500 Active 
  IPSEC FLOW: permit ip 10.1.1.0/255.255.255.0 10.1.2.0/255.255.255.0 
        Active SAs: 4, origin: dynamic crypto map