Site to Site IPSec VPN CISCO891-K9 & Cisco RV120W Wireless-N VPN Firewall

@Иван_2013 · Регистрация: 29.05.2013

Студворк — интернет-сервис помощи студентам

Добрый день.

Есть роутер CISCO891-K9 на котором есть один site to site vpn туннель с таким же роутером CISCO891-K9 в другой организации(туннель работает отлично).

Есть необходимость создать 2-й VPN туннель с Cisco RV120W Wireless-N VPN Firewall в третьей организацией.
Пытался сам настроить не получается.

В логах RV120W пишет следующее:

Кликните здесь для просмотра всего текста

2013-07-16 16:28:46: [rv120w][IKE] INFO: accept a request to establish IKE-SA: **.249.123.121
2013-07-16 16:28:46: [rv120w][IKE] INFO: Configuration found for **.249.123.121.
2013-07-16 16:28:46: [rv120w][IKE] INFO: Initiating new phase 1 negotiation: ***.86.62.248[500]<=>**249.123.121[500]
2013-07-16 16:28:46: [rv120w][IKE] INFO: Beginning Aggressive mode.
2013-07-16 16:28:46: [rv120w][IKE] INFO: NAT-Traversal is Enabled
2013-07-16 16:28:46: [rv120w][IKE] INFO: [agg_i1send:256]: XXX: NUMNATTVENDORIDS: 3
2013-07-16 16:28:46: [rv120w][IKE] INFO: [agg_i1send:260]: XXX: setting vendorid: 4
2013-07-16 16:28:46: [rv120w][IKE] INFO: [agg_i1send:260]: XXX: setting vendorid: 8
2013-07-16 16:28:46: [rv120w][IKE] INFO: [agg_i1send:260]: XXX: setting vendorid: 9
2013-07-16 16:28:46: [rv120w][IKE] INFO: Received Vendor ID: CISCO-UNITY
2013-07-16 16:28:46: [rv120w][IKE] INFO: Received Vendor ID: DPD
2013-07-16 16:28:46: [rv120w][IKE] INFO: Received unknown Vendor ID
2013-07-16 16:28:46: [rv120w][IKE] INFO: Received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
2013-07-16 16:28:46: [rv120w][IKE] INFO: Received Vendor ID: RFC 3947
2013-07-16 16:28:46: [rv120w][IKE] INFO: NAT-D payload matches for ***.86.62.248[500]
2013-07-16 16:28:46: [rv120w][IKE] INFO: NAT-D payload matches for **.249.123.121[500]
2013-07-16 16:28:46: [rv120w][IKE] INFO: For **.249.123.121[500], Selected NAT-T version: RFC 3947
2013-07-16 16:28:46: [rv120w][IKE] INFO: NAT not detected
2013-07-16 16:28:46: [rv120w][IKE] INFO: ISAKMP-SA established for ***.86.62.248[500]-**.249.123.121[500] with spi:c2b1b44ee0863cb8:2caa6996723fd3f5
2013-07-16 16:28:46: [rv120w][IKE] INFO: Sending Informational Exchange: notify payload[INITIAL-CONTACT]
2013-07-16 16:28:47: [rv120w][IKE] INFO: Initiating new phase 2 negotiation: ***.86.62.248[500]<=>**.249.123.121[0]
2013-07-16 16:28:48: [rv120w][IKE] ERROR: Unknown notify message from **.249.123.121[500].No phase2 handle found.

Конфиг с CISCO891-K9

Кликните здесь для просмотра всего текста

license udi pid CISCO891-K9 sn FCZ1635C2X2

crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
lifetime 28800
crypto isakmp key 88888888888 address **.193.193.236
crypto isakmp key 99999999999999 address ***.86.62.248
!
crypto ipsec transform-set UA esp-aes 256 esp-sha-hmac
crypto ipsec transform-set OBOLON esp-aes 256 esp-sha-hmac
!
crypto map IPSEC 10 ipsec-isakmp
set peer **.193.193.236
set transform-set UA
set pfs group2
match address CRYPTO

crypto map IPSEC 11 ipsec-isakmp
set peer ***.86.62.248
set transform-set OBOLON
set pfs group2
match address CRYPTO
!
interface GigabitEthernet0
ip address **.249.123.121 255.255.255.0
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
crypto map IPSEC
!
interface Vlan1
ip address 192.168.1.200 255.255.255.0
ip access-group withoutspam in
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly in
!
ip http server
ip http authentication local
ip http secure-server
ip nat inside source route-map SDM_RMAP_1 interface GigabitEthernet0 overload
ip route 0.0.0.0 0.0.0.0 **.249.123.1
!
ip access-list extended CRYPTO
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

ip access-list extended NAT
remark CCP_ACL Category=16
deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 any

ip access-list extended withoutspam
remark CCP_ACL Category=17
permit tcp host 192.168.1.221 any eq smtp
deny tcp any any eq smtp
deny tcp host 192.168.1.150 eq ftp any eq ftp
permit ip 192.168.1.0 0.0.0.255 any
permit ip 192.168.2.0 0.0.0.255 any
!
route-map noNAT permit 10
match ip address NAT
!
route-map SDM_RMAP_1 permit 1
match ip address NAT

Картинки с RV120W

Кликните здесь для просмотра всего текста

https://dl.dropboxusercontent.... v120_1.jpg
https://dl.dropboxusercontent.... v120_2.jpg

Прошу помочь.

Jabbson · 16.07.2013, 19:37

Попробуйте разделить листы доступа, описывающие интересный трафик для обоих vpn.

@Иван_2013 · 17.07.2013, 16:26 **[ТС]**

Сообщение от Jabbson

Попробуйте разделить листы доступа, описывающие интересный трафик для обоих vpn.

Спасибо огромное за совет. Работает теперь отлично.

Jabbson · 17.07.2013, 17:18

Сообщение от Иван_2013

Спасибо огромное за совет. Работает теперь отлично.

Всегда пожалуйста.

Новые блоги и статьи Все статьи Все блоги /
50 самых полезных примеров кода Python для частых задач py-thonny 17.06.2025 Эффективность работы разработчика часто измеряется не количеством написаных строк, а скоростью решения задач. Готовые сниппеты значительно ускоряют разработку, помогают избежать типичных ошибок и. . .	C# и продвинутые приемы работы с БД stackOverflow 17.06.2025 Каждый . NET разработчик рано или поздно сталкивается с ситуацией, когда привычные методы работы с базами данных превращаются в источник бессонных ночей. Я сам неоднократно попадал в такие ситуации,. . .	Angular: Вопросы и ответы на собеседовании Reangularity 15.06.2025 Готовишься к техническому интервью по Angular? Я собрал самые распространенные вопросы, с которыми сталкиваются разработчики на собеседованиях в этом году. От базовых концепций до продвинутых. . .	Архитектура Onion в ASP.NET Core MVC stackOverflow 15.06.2025 Что такое эта "луковая" архитектура? Термин предложил Джеффри Палермо (Jeffrey Palermo) в 2008 году, и с тех пор подход только набирал обороты. Суть проста - представьте себе лук с его. . .	Unity 4D GameUnited 13.06.2025 Четырехмерное пространство. . . Звучит как что-то из научной фантастики, правда? Однако для меня, как разработчика со стажем в игровой индустрии, четвертое измерение давно перестало быть абстракцией из. . .
SSE (Server-Sent Events) в ASP.NET Core и .NET 10 UnmanagedCoder 13.06.2025 Кажется, Microsoft снова подкинула нам интересную фичу в новой версии фреймворка. Работая с превью . NET 10, я наткнулся на нативную поддержку Server-Sent Events (SSE) в ASP. NET Core Minimal APIs. Эта. . .	С днём независимости России! Hrethgir 13.06.2025 Решил побеседовать, с утра праздничного дня, с LM о завоеваниях. То что она написала о народе, представителем которого я являюсь сам сначала возмутило меня, но дальше только смешило. Это чисто. . .	Лето вокруг. kumehtar 13.06.2025 Лето вокруг. Наполненное бурями и ураганами событий. На фоне магии Жизни, священной и вечной, неумелой рукой человека рисуется панорама душевного непокоя. Странные серые краски проникают и. . .	Популярные LM модели ориентированы на увеличение затрат ресурсов пользователями сгенерированного кода (грязь -заслуги чистоплюев). Hrethgir 12.06.2025 Вообще обратил внимание, что они генерируют код (впрочем так-же ориентированы разработчики чипов даже), чтобы пользователь их использующий уходил в тот или иной убыток. Это достаточно опытные модели,. . .	Топ10 библиотек C для квантовых вычислений bytestream 12.06.2025 Квантовые вычисления - это та область, где теория встречается с практикой на границе наших знаний о физике. Пока большая часть шума вокруг квантовых компьютеров крутится вокруг языков высокого уровня. . .

@Иван_2013 0 / 0 / 0 Регистрация: 29.05.2013 Сообщений: 7

	Site to Site IPSec VPN CISCO891-K9 & Cisco RV120W Wireless-N VPN Firewall 16.07.2013, 18:07. Показов 3436. Ответов 3 Метки нет (Все метки) Добрый день. Есть роутер CISCO891-K9 на котором есть один site to site vpn туннель с таким же роутером CISCO891-K9 в другой организации(туннель работает отлично). Есть необходимость создать 2-й VPN туннель с Cisco RV120W Wireless-N VPN Firewall в третьей организацией. Пытался сам настроить не получается. В логах RV120W пишет следующее: Кликните здесь для просмотра всего текста 2013-07-16 16:28:46: [rv120w][IKE] INFO: accept a request to establish IKE-SA: .249.123.121 2013-07-16 16:28:46: [rv120w][IKE] INFO: Configuration found for .249.123.121. 2013-07-16 16:28:46: [rv120w][IKE] INFO: Initiating new phase 1 negotiation: *.86.62.248[500]<=>249.123.121[500] 2013-07-16 16:28:46: [rv120w][IKE] INFO: Beginning Aggressive mode. 2013-07-16 16:28:46: [rv120w][IKE] INFO: NAT-Traversal is Enabled 2013-07-16 16:28:46: [rv120w][IKE] INFO: [agg_i1send:256]: XXX: NUMNATTVENDORIDS: 3 2013-07-16 16:28:46: [rv120w][IKE] INFO: [agg_i1send:260]: XXX: setting vendorid: 4 2013-07-16 16:28:46: [rv120w][IKE] INFO: [agg_i1send:260]: XXX: setting vendorid: 8 2013-07-16 16:28:46: [rv120w][IKE] INFO: [agg_i1send:260]: XXX: setting vendorid: 9 2013-07-16 16:28:46: [rv120w][IKE] INFO: Received Vendor ID: CISCO-UNITY 2013-07-16 16:28:46: [rv120w][IKE] INFO: Received Vendor ID: DPD 2013-07-16 16:28:46: [rv120w][IKE] INFO: Received unknown Vendor ID 2013-07-16 16:28:46: [rv120w][IKE] INFO: Received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt 2013-07-16 16:28:46: [rv120w][IKE] INFO: Received Vendor ID: RFC 3947 2013-07-16 16:28:46: [rv120w][IKE] INFO: NAT-D payload matches for *.86.62.248[500] 2013-07-16 16:28:46: [rv120w][IKE] INFO: NAT-D payload matches for .249.123.121[500] 2013-07-16 16:28:46: [rv120w][IKE] INFO: For .249.123.121[500], Selected NAT-T version: RFC 3947 2013-07-16 16:28:46: [rv120w][IKE] INFO: NAT not detected 2013-07-16 16:28:46: [rv120w][IKE] INFO: ISAKMP-SA established for .86.62.248[500]-.249.123.121[500] with spi:c2b1b44ee0863cb8:2caa6996723fd3f5 2013-07-16 16:28:46: [rv120w][IKE] INFO: Sending Informational Exchange: notify payload[INITIAL-CONTACT] 2013-07-16 16:28:47: [rv120w][IKE] INFO: Initiating new phase 2 negotiation: .86.62.248[500]<=>.249.123.121[0] 2013-07-16 16:28:48: [rv120w][IKE] ERROR: Unknown notify message from .249.123.121[500].No phase2 handle found. Конфиг с CISCO891-K9 Кликните здесь для просмотра всего текста license udi pid CISCO891-K9 sn FCZ1635C2X2 crypto isakmp policy 10 encr aes 256 authentication pre-share group 2 lifetime 28800 crypto isakmp key 88888888888 address .193.193.236 crypto isakmp key 99999999999999 address *.86.62.248 ! crypto ipsec transform-set UA esp-aes 256 esp-sha-hmac crypto ipsec transform-set OBOLON esp-aes 256 esp-sha-hmac ! crypto map IPSEC 10 ipsec-isakmp set peer .193.193.236 set transform-set UA set pfs group2 match address CRYPTO crypto map IPSEC 11 ipsec-isakmp set peer *.86.62.248 set transform-set OBOLON set pfs group2 match address CRYPTO ! interface GigabitEthernet0 ip address .249.123.121 255.255.255.0 ip nat outside ip virtual-reassembly in duplex auto speed auto crypto map IPSEC ! interface Vlan1 ip address 192.168.1.200 255.255.255.0 ip access-group withoutspam in ip nbar protocol-discovery ip flow ingress ip flow egress ip nat inside ip virtual-reassembly in ! ip http server ip http authentication local ip http secure-server ip nat inside source route-map SDM_RMAP_1 interface GigabitEthernet0 overload ip route 0.0.0.0 0.0.0.0 **.249.123.1 ! ip access-list extended CRYPTO permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 ip access-list extended NAT remark CCP_ACL Category=16 deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 permit ip 192.168.1.0 0.0.0.255 any ip access-list extended withoutspam remark CCP_ACL Category=17 permit tcp host 192.168.1.221 any eq smtp deny tcp any any eq smtp deny tcp host 192.168.1.150 eq ftp any eq ftp permit ip 192.168.1.0 0.0.0.255 any permit ip 192.168.2.0 0.0.0.255 any ! route-map noNAT permit 10 match ip address NAT ! route-map SDM_RMAP_1 permit 1 match ip address NAT Картинки с RV120W Кликните здесь для просмотра всего текста https://dl.dropboxusercontent.... v120_1.jpg https://dl.dropboxusercontent.... v120_2.jpg Прошу помочь. 0

Jabbson 5904 / 3357 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	16.07.2013, 19:37
	Попробуйте разделить листы доступа, описывающие интересный трафик для обоих vpn. 1

Опции темы