Доброго всем дня.

Ковыряюсь уже несколько дней, близок к помешательству, прошу помощи

Есть две DSR-500n, обе аппаратной версии А1, одна с прошивкой 1.06B11_RU, вторая с 1.06B11_WW. Есть также 1921-я циска с IOS 15.1.

DSR-ка с WW прошивкой имеет внутренний адрес 192.168.11.1 и NATит в интернет подсеть 192.168.11.0/24.
DSR-ка с RU прошивкой имеет внутренний адрес 192.168.7.1 и NATит в интернет подсеть 192.168.7.0/24.
Циска имеет внутренний адрес 192.168.0.254 и NATит в интернет подсеть 192.168.0.0/24.

Необходимо поднять site2site туннели ну хотя бы от одной DSR-ки к циске.

Циску изначально конфигурировал так (исходя из WW прошивки):

crypto isakmp policy 1
encr 3des
authentication pre-share
group 1

crypto isakmp key OchenSlozhniyParol address 0.0.0.0 0.0.0.0

crypto IPsec transform-set T1 esp-3des esp-sha-hmac

crypto IPsec profile P1
set transform-set T1

interface Tunnel0
ip address 10.0.50.1 255.255.255.0
ip ospf mtu-ignore
load-interval 30
tunnel source 192.168.0.254
tunnel destination 192.168.11.1
tunnel mode IPsec ipv4
tunnel protection IPsec profile P1

ip route 192.168.11.0 255.255.255.0 Tunnel0


При попытке настроить DSR-ку с WW прошивкой хоть мастером хоть руками в логе VPN получаю:



Такой выхлоп в логе получается вне какой-то замеченной мной зависимости от параметров туннеля. Такое впечатление, что DSR-ка даже не стучится к циске.

Когда попробовал настроить туннель на DSR-ке с RU прошивкой (разумеется, скорректировав цискины параметры на обычное DES шифрование), получил похожие симптомы, но с другим выхлопом:




Уважаемые гуру, подскажите, что я делаю не так? Признаюсь, я не особенно опытен в настройке цисок - может, я где-то в цискином конфиге накосячил? К сожалению, гугление по ошибкам "[IKE] ERROR: No configuration found for" не даёт полезных результатов, да и гугление "[IKE] ERROR: failed to get iph2" от него недалеко уходит.


Заранее спасибо за советы.

Что же, всем спасибо за ответы...

Итого: это баг в прошивке, вылечилось апгрейдом до 1.06B43_WW. Заодно и постабильнее работать стал. Туннель, правда, так и не завёлся, но это тема для отдельного топика, который я создам позже.

dsr Железка новая и ООООООООООООООООООООООчень сырая в плане прошивки .
если есть возможность сдайте где покупали и купите DFL.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Спасибо за совет.

К сожалению, возможности нет, иначе сдал бы давно. Придётся работать с тем, что есть.

Сырость, кстати, меня потрясла. Я-то думал, у нас там интернет-канал такой плохой, что 3-5% пакетов теряются, техподдержку провайдера мучал... Перешили DSR-ку - волшебным образом 0% потерь. Я, конечно, всё понимаю, но железку, позиционирующуюся для бизнеса, с такими багами в продакшн выпускать - это как минимум странно. Так себя даже дешёвые SOHO-роутеры не ведут уже давно.