ipsec + nat = bug
W jednym z oddziałów stoi sobie Cisco 876, które robi jako brama do Internetu (w sensie NATa) oraz terminator tuneli VPNowych spinających całą firmę. Ponieważ całe „biuro” składa się z kilku raptem osób, to takie urządzenie jest w zupełności wystarczające. Niestety, jeden z pracujących tam ludków zapragnąć posiadać zdalny dostęp do jakiegoś dziwnego programu, zainstalowanego właśnie we wspomnianej lokalizacji. OK, skoro musi… „standardy” przewidują, żeby mu zainstalować Cisco VPN clienta i skonfigurować wszystko tak, żeby mógł się do upragnionej aplikacji dostać, ale za pomocą połączenia szyfrowanego. Tak też zrobiłem, ale dziś temat wrócił z diagnozą „łączy się, ale nie działa”. Hmmm, widać coś poszło niezupełnie tak, jakbym chciał… [tutaj pominę mozolny etap stukrotnego czytania konfiguracji w celu znalezienia błędu].
Za pomocą wujka google’a znalazłem opis bardzo podobnego problemu – wprawdzie na zupełnie innym modelu routera i w innej wersji IOSa, ale jednak. Co ciekawe, w mojej konfiguracji nie było RRI, ale także i tutaj po wyłączeniu CEFa wszystko zaczynało działać. Postanowiłem więc spróbować metod, które był tam polecane.
Okazało się, że obejście problemu, polegające na dodaniu RRI z bezpośrednio podanym next-hopem poprawiło sytuację i u mnie :-) Nie mam pojęcia, dlaczego akurat tak, ale wszystko wydaje się działać bez zarzutu.
Kiedyś już miałem bardzo podobne objawy na serii 17xx, ale wtedy pomógł upgrade IOSa. Wynika mi też, że odpowiednik buga CSCtg41606 jest z nami od naprawdę dawna i pojawia się co n-tą wersję :-) I nawet ciężko to podciągnąć pod regułkę „it’s not a bug – it’s a feature” :-)