Имеется 2 удаленных офиса подсоединенные к центральному. В одном офисе стоит Cisco857, за ней 192.168.8.0/24 сетка. В другом стоит Линуксоподобный роутер Микротик, за ним 192.168.2.0/24 сетка. В ЦО стоит 3845 циска, за ней 172.16.0.0/16 сетка.
Все это настроено так, чтобы 3845 маршрутизировал между удаленными сетками и они видели друг друга. Микротик запихивает весь траффик в туннель до ЦО и все. Конфиги цисок такие:857:
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key 0192837465 address X.X.X.X
crypto isakmp invalid-spi-recovery
!
!
crypto ipsec transform-set CO esp-3des esp-sha-hmac
!
crypto map OFFICE 10 ipsec-isakmp
set peer X.X.X.X
set transform-set CO
set pfs group2
match address 100
ip route 172.16.0.0 255.255.0.0 X.X.X.X
ip route 192.168.2.0 255.255.255.0 X.X.X.X
access-list 100 permit ip 192.168.8.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 100 permit tcp 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 permit udp 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 permit ip 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255
3845:
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key 0192837465 address 10.0.23.42
crypto isakmp key 0192837465 address 10.1.17.106
crypto isakmp invalid-spi-recovery
!
!
crypto ipsec transform-set REMOTE esp-3des esp-sha-hmac
!
crypto map Computers 108 ipsec-isakmp
set peer Y.Y.Y.Y
set transform-set REMOTE
set pfs group2
match address 108
!
crypto map TD-corporate local-address Loopback0
crypto map TD-corporate 102 ipsec-isakmp
set peer 10.1.3.242
set transform-set REMOTE
set pfs group2
match address 102
ip route 192.168.2.0 255.255.255.0 10.1.3.242
ip route 192.168.8.0 255.255.255.0 Y.Y.Y.Y
access-list 102 permit ip 172.16.0.0 0.0.255.255 192.168.2.0 0.0.0.255
access-list 102 permit tcp 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 102 permit udp 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 102 permit ip 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 108 permit ip 172.16.0.0 0.0.255.255 192.168.8.0 0.0.0.255
access-list 108 permit tcp 192.168.2.0 0.0.0.255 192.168.8.0 0.0.0.255
access-list 108 permit udp 192.168.2.0 0.0.0.255 192.168.8.0 0.0.0.255
access-list 108 permit ip 192.168.2.0 0.0.0.255 192.168.8.0 0.0.0.255
(permit tcp/udp были добавлены в листы в надежде что поможет протолкнуть)
Проблема: пинги спокойно летают между всеми сетками - 192.168.2.200 до 192.168.8.59, например. Как только я врубаю терминальную сессию (RDP) между этими же хостами, она начинает матерится на то что хост недоступен и у меня намертво пропадают пинги. При этом туннели из ЦО живут и цветут - что терминальные сессии, что пинги продолжают летать от 172 сетки до любого места.
Вот что говорит 857 циска после того как у нее отваливается пинг:
#show crypto session
Crypto session current status
Interface: BVI1
Session status: UP-ACTIVE
Peer: X.X.X.X port 500
IKE SA: local Y.Y.Y.Y/500 remote X.X.X.X/500 Active
IPSEC FLOW: permit 17 192.168.8.0/255.255.255.0 192.168.2.0/255.255.255.0
Active SAs: 2, origin: crypto map
IPSEC FLOW: permit ip 192.168.8.0/255.255.255.0 172.16.0.0/255.255.0.0
Active SAs: 2, origin: crypto map
IPSEC FLOW: permit ip 192.168.8.0/255.255.255.0 192.168.2.0/255.255.255.0
Active SAs: 2, origin: crypto map
IPSEC FLOW: permit 6 192.168.8.0/255.255.255.0 192.168.2.0/255.255.255.0
Active SAs: 2, origin: crypto map
В чем может быть прикол?
Вариант для распечатки
Маршрутизаторы CISCO и др. оборудование. (Public)
(??) on 10-Янв-08, 10:50 
