Cisco 1841 不會啟動 site2site VPN

我正在嘗試使用 Cisco 1841 在一側（LAN 192.168.101.0/24）和 Cisco ASA 5505 在另一側（LAN 192.168.100.0/24）使用靜態 WAN IP 建立 site2site VPN。

Cisco 1841 不會建立隧道：

c1841#debug crypto engine
Crypto Engine debugging is on
c1841#debug crypto isakmp
Crypto ISAKMP debugging is on
c1841#debug crypto IPSec
Crypto IPSEC debugging is on
c1841#ping 192.168.100.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.100.1, timeout is 2 seconds:

*Oct  3 19:40:18.239: IPSEC(sa_initiate): Kicking the dialer interface.
*Oct  3 19:40:20.239: IPSEC(sa_initiate): Kicking the dialer interface
*Oct  3 19:40:20.419: %LINK-3-UPDOWN: Interface Cellular0/0/0, changed state to up
*Oct  3 19:40:21.199: IPSEC(recalculate_mtu): reset sadb_root 64F85A74 mtu to 1500.
*Oct  3 19:40:21.419: %LINEPROTO-5-UPDOWN: Line protocol on Interface Cellular0/0/0, changed state to up...
Success rate is 0 percent (0/5)

就這樣。ASA 5505 在調試中沒有任何內容。

我該如何解決/診斷這個問題？請幫忙。

問題是 1841 上的 NAT 規則在 ACL 之前處理了數據包。謝謝大家的提示。

假設您的加密 ACL 中有一行，匹配 192.168.100.0/24 和 192.168.101.0/24 之間的流量。

因此，當您簡單地執行ping 192.168.100.1此操作時，將生成以路由器的 WAN 地址作為源 IP 地址的 ICMP 數據包，因此這些 ICMP 數據包與加密 ACL 不匹配，因此這不會啟動隧道是正常的。

因此，為了建立隧道，您需要從 LAN ping（即從具有 192.168.101.x 地址的設備）或從路由器執行擴展 ping，例如

ping 192.168.100.1 source 192.168.101.1

192.168.101.1路由器 LAN 介面的 IP 地址在哪裡，或者

ping 192.168.100.1 source FastEthernet0/1

FastEthernet0/1你的區域網路介面在哪裡。

請注意，您還可以配置 IP SLA以保持隧道正常執行，並且在該配置中您還必須添加一個source-ip orsource-interface參數。

引用自：https://serverfault.com/questions/806852