我很确定我知道这个问题的答案，但我不知道如何实现它。

尝试将 ipsec vpn 从 Cisco 2811 设置到运行 openswan 的 linux 机器。到目前为止，我可以启动第 1 阶段，但第 2 阶段有问题。它 100% 是配置问题。

我正在尝试做的是使用 VPN 另一端的互联网连接作为其网络网关，将网络和其他一些流量从 VPN 中推送出去。我收到密码映射错误。这是设置。1.1.1.1 成为思科。2.2.2.2地址是linux服务器，只有一个网卡。

192.168.xx/24 ----- 1.1.1.1 -- 互联网 2.2.2.2 ---->>> 互联网

我理解为什么它不能形成第二阶段隧道，它不能在地图上达成一致。但我不知道在这种情况下地图应该是什么。

我现在只用 ICMP 对其进行了测试。

我从 NAT 中排除了 ICMP：

ip access-list extended NAT
deny   icmp 192.168.30.0 0.0.0.255 any

那么vpn的“有趣的流量”是：

access-list 153 permit icmp 192.168.30.0 0.0.0.255 any

在 openswan 方面，我正在使用：

left=2.2.2.2
right=1.1.1.1
rightsubnet=192.168.30.3/24

那么思科立即开始抛出：

2d11h: map_db_find_best did not find matching map
2d11h: IPSEC(validate_transform_proposal): no IPSEC cryptomap exists for local address 1.1.1.1
2d11h: ISAKMP:(0:26:SW:1): IPSec policy invalidated proposal
2d11h: ISAKMP:(0:26:SW:1): phase 2 SA policy not acceptable! (local 1.1.1.1 remote 2.2.2.2)

我知道我想要它做什么，但我不知道如何设置它。如果这只是一个简单的内部子网到内部子网 vpn 没问题。

这里的任何方向都会非常有帮助。

路由器配置：

version 12.4
service timestamps debug uptime
service timestamps log datetime
service password-encryption
!
hostname Hex-2811
!
boot-start-marker
boot system flash c2800nm-advsecurityk9-mz.124-24.T5.bin
boot-end-marker
!
no logging buffered
aaa new-model
!
!
!
aaa session-id common
clock timezone EST -5
clock summer-time EDT recurring
no ip source-route
!
!
ip cef
!
!
no ip bootp server
ip domain name hexhome.int
ip name-server 192.168.30.8
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
ipv6 unicast-routing
crypto isakmp policy 1
encr aes 192
authentication pre-share
group 5
lifetime 43200
crypto isakmp key ********** address 2.2.2.2
!
!
crypto ipsec transform-set IOFSET2 esp-aes 192 esp-sha-hmac 
!
!
crypto map IOFVPN 1 ipsec-isakmp 
description Isle Of Man
set peer 2.2.2.2
set transform-set IOFSET2 
match address 153
!
! 
!
!
interface FastEthernet0/0
description Internal 192 Network
ip address 192.168.30.1 255.255.255.0
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
duplex full
speed 100
!
interface FastEthernet0/1
ip address dhcp
ip access-group 112 in
no ip redirects
no ip unreachables
ip accounting access-violations
ip nbar protocol-discovery
ip nat outside
ip virtual-reassembly
no ip route-cache cef
no ip mroute-cache
duplex auto
speed auto
no cdp enable
no mop enabled

crypto map IOFVPN
!

ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 174.59.28.1
!
ip flow-export source FastEthernet0/0
ip flow-export version 5
ip flow-export destination 192.168.30.45 3001
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000

ip nat inside source route-map POLICY-NAT interface FastEthernet0/1 overload

ip access-list extended NAT
deny   icmp 192.168.30.0 0.0.0.255 any
permit ip any any

access-list 153 permit icmp 192.168.30.0 0.0.0.255 any

route-map POLICY-NAT permit 10
match ip address NAT
!

更新：修复了 ACL: access-list 153 permit ip 192.168.30.0 0.0.0.255 host 2.2.2.2 并且隧道立即启动，我可以按预期 ping 通。

现在正在尝试通过网络流量.. 策略路由不起作用。我加了

route-map VPN_WEB permit 1
match ip address 155
set ip next-hop 2.2.2.2

access-list 155 permit tcp any any eq www

interface FastEthernet0/1
ip address dhcp
ip access-group 112 in
no ip redirects
no ip unreachables
ip accounting access-violations
ip nbar protocol-discovery
ip nat outside
ip virtual-reassembly
no ip route-cache cef
ip policy route-map VPN_WEB
no ip mroute-cache
duplex auto
speed auto
no cdp enable
no mop enabled
crypto map IOFVPN

我可以看到 www 流量上的路线图匹配，但它没有通过隧道。