我的ipsec-vpn怎么debug没反应啊，郁闷死了啊，救救我吧！

w2480211 · 发表于 2011-7-22 12:46:17

两边参数一样啊，acl配置的是对称的啊，可是debug crypto ipsec 和debug crypto isakmp打开用扩展ping就是没反应，请求大哥们帮助呀，感激不尽！！！！！！！！！！
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
crypto isakmp key CCNP address 192.168.1.1
!
!
crypto ipsec transform-set SET esp-3des esp-md5-hmac
!
crypto map MAP 10 ipsec-isakmp
set peer 192.168.1.1
set transform-set SET
match address 100
!
!
!
!
interface Loopback0
ip address 2.2.2.2 255.255.255.0
!
interface Ethernet0/0
ip address 192.168.1.2 255.255.255.0
half-duplex
crypto map MAP
!
interface Ethernet0/1
no ip address
shutdown
half-duplex
!
interface Ethernet0/2
no ip address
shutdown
half-duplex
!
interface Ethernet0/3
no ip address
shutdown
half-duplex
!
ip http server
no ip http secure-server
ip classless
!
!
access-list 100 permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
outer#
Router#ping
Protocol [ip]:
Target IP address:
% Bad IP address
Router#
Router#ping
Protocol [ip]:
Target IP address: 1.1.1.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 2.2.2.2
Type of service [0]: y
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
Packet sent with a source address of 2.2.2.2
.....
Success rate is 0 percent (0/5)
Router#
Router#

mike · 发表于 2011-7-22 22:45:19

是否应该先做1.1.1.1到2.2.2.2的路由呢？

莪の⒑_指 · 发表于 2011-7-23 15:05:26

crypto map test local-address Loopback0 加上这一句就OK了。

莪の⒑_指 · 发表于 2011-7-23 15:06:29

直接set peer对方tunnel口IP是起不来的，debug查看原因是不用loopback口的话总是接收到公网IP发过来的ipsec链接请求，而非tunnel口

莪の⒑_指 · 发表于 2011-7-23 15:10:37

哦，忘了，另外需要两条静态路由指向两个边缘路由器的环回口，比如IP route 2.2.2.2 255.255.255.0 10.1.1.1

w2480211 · 发表于 2011-7-26 10:57:51

莪の⒑_指发表于 2011-7-23 15:10

登录/注册后可看大图

哦，忘了，另外需要两条静态路由指向两个边缘路由器的环回口，比如IP route 2.2.2.2 255.255.255.0 10.1.1. ...

谢谢你啊。。。。。。。

w2480211 · 发表于 2011-7-26 11:03:57

mike 发表于 2011-7-22 22:45

登录/注册后可看大图

是否应该先做1.1.1.1到2.2.2.2的路由呢？

先谢谢你，不知道是不是我的IOS不支持，我后来用了两条静态路由，拼通了，但没触发isakmp和ipsec,show crypto isakmp sa 时没任何信息，郁闷得要死啊。。。。。。。

琴心断弦 · 发表于 2013-11-18 19:15:16

没有静态或默认路由，中间应该再加一台路由器。两台不行的

琴心断弦 · 发表于 2013-11-19 11:34:31

IPESC VPN只是路由技术的拓展，现在没有去往1.1.1.0的路由，IPESC不会触发工作。所以要添加到1.1.1.0/24的路由。

账号		自动登录	找回密码
密码			论坛注册

[已解决] 我的ipsec-vpn怎么debug没反应啊，郁闷死了啊，救救我吧！

客服中心

投诉建议