URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 10094
[ Назад ]

Исходное сообщение
"Easy vpn problem"

Отправлено Andrew , 17-Мрт-06 18:29 
Доброго времени суток!!!
Имеется следующая схема ...

cisco vpn client ------ Internet ----- Cisco2620 --- Lan
cisco vpn client коннектится к cisco2620, но доступа в Lan нет.

Господа помогите разобраться с конвигом.


Current configuration : 2019 bytes
!
version 12.2
service config
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname VPNtest
!
logging queue-limit 100
enable secret 5 $1$RCRI$no8otFK4Pxi1t6t2JuP7D/
!
username vpntest password 7 096F5C100911183B180D0F273B047A636574

aaa new-model
aaa authorization network vpn-access local
aaa session-id common
ip subnet-zero
!
!
!
ip audit notify log
ip audit po max-events 100
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp keepalive 10 5
crypto isakmp client configuration address-pool local dynpool
!
crypto isakmp client configuration group vpn-access
key 123456
pool dynpool
acl 150
!
!
crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 1
set transform-set transform-1
reverse-route
!
!
crypto map dynmap client authentication list vpn-access
crypto map dynmap isakmp authorization list vpn-access
crypto map dynmap client configuration address initiate
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap
!
!
!
!
!
!
!
!
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
mta receive maximum-recipients 0
!
!
!
!
interface FastEthernet0/0
description Internet
ip address x.x.x.x 255.255.255.240
duplex auto
speed auto
crypto map dynmap
!
interface FastEthernet0/1
ip address 192.168.1.250 255.255.255.0
duplex auto
speed auto
!
ip local pool dynpool 192.168.10.1 192.168.10.9
ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 x.x.x.x
!
!
!
access-list 150 permit ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255
!

call rsvp-sync
!
!
mgcp profile default
!
dial-peer cor custom
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
!
!
end


Содержание

Сообщения в этом обсуждении
"Easy vpn problem"
Отправлено sh_ , 17-Мрт-06 18:40 
no access-list 150 permit ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 150 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255

"Easy vpn problem"
Отправлено Andrew , 17-Мрт-06 18:46 
>no access-list 150 permit ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255
>access-list 150 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255


Спасибо за ответ, но...
Не помогло


"Easy vpn problem"
Отправлено sh_ , 18-Мрт-06 07:52 
route print покажи с того места, откуда законнектился...

"Easy vpn problem"
Отправлено andrew , 23-Мрт-06 16:30 
>route print покажи с того места, откуда законнектился...
C:\Documents and Settings\Administrator>route print
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x370003 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x370004 ...00 05 9a 3c 78 00 ...... Cisco Systems VPN Adapter - Packet Schedule
r Miniport
===========================================================================
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0     212.0.195.25    212.0.195.25       1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.1.0    255.255.255.0     192.168.10.1    192.168.10.1       1
     192.168.10.0    255.255.255.0     192.168.10.1    192.168.10.1       10
     192.168.10.1  255.255.255.255        127.0.0.1       127.0.0.1       10
   192.168.10.255  255.255.255.255     192.168.10.1    192.168.10.1       10
      212.0.193.1  255.255.255.255     212.0.195.25    212.0.195.25       1
     212.0.195.25  255.255.255.255        127.0.0.1       127.0.0.1       50
    212.0.195.255  255.255.255.255     212.0.195.25    212.0.195.25       50
   217.12.118.183  255.255.255.255     212.0.195.25    212.0.195.25       1
        224.0.0.0        240.0.0.0     192.168.10.1    192.168.10.1       10
        224.0.0.0        240.0.0.0     212.0.195.25    212.0.195.25       1
  255.255.255.255  255.255.255.255     192.168.10.1    192.168.10.1       1
Default Gateway:      212.0.195.25
===========================================================================
Persistent Routes:
  None


"Easy vpn problem"
Отправлено sh_ , 23-Мрт-06 18:59 
Все у вас должно работать!!! :) Почему вы решили, что не работает? Когда вы приконнектились к циске, 192.168.10.1 пингуется? Покажите трейс с компьютера в LAN.

"Easy vpn problem"
Отправлено andrew , 23-Мрт-06 19:43 
>Все у вас должно работать!!! :) Почему вы решили, что не работает?
>Когда вы приконнектились к циске, 192.168.10.1 пингуется? Покажите трейс с компьютера
>в LAN.


1. 192.168.10.1 пингуется
2. trace вообще не проходит, request timeout
3. Вот лог vpn клиента
1      18:38:06.178  03/23/06  Sev=Warning/3    CM/0xA310002C
Adapter address changed from 212.0.194.142.  Current address(es): 192.168.10.1.

2      18:38:06.178  03/23/06  Sev=Warning/3    IKE/0xE3000068
Failed to send 76 bytes to 217.12.119.138, error = 0xFFFFFFF0

3      18:38:06.178  03/23/06  Sev=Warning/3    IKE/0xE3000068
Failed to send 84 bytes to 217.12.119.138, error = 0xFFFFFFF0

и в статусе показывает
bites out: 5065, а bytes in : 0


"Easy vpn problem"
Отправлено sable , 18-Мрт-06 11:59 
Либо используй split-tunnel, либо поднимай nat. Понятно, что в этой конфигурации клиент "в мир" ходить лишен возможности.

"Easy vpn problem"
Отправлено andrew , 28-Мрт-06 12:57 
>Либо используй split-tunnel, либо поднимай nat. Понятно, что в этой конфигурации клиент
>"в мир" ходить лишен возможности.


Configuring Split Tunneling
When split tunneling is enabled, it allows an Easy VPN Remote device to send traffic directly to the Internet and not across the tunnel to the Easy VPN Server. However, split tunneling can be a security risk because hackers can potentially get direct access to the Easy VPN Remote device.

To configure split tunneling, use the following syntax:

Router(config-isakmp-group)# acl number

If you were using access list 159, the command you enter would look like the following:

Router(config-isakmp-group)# acl 159

Вроде в конфиге acl прописан.


"Easy vpn problem"
Отправлено sable , 30-Мрт-06 12:16 
Я бы посоветовал сделать так:
1. Убрать "acl 150" из "crypto isakmp client configuration group vpn-access", отключить split-tunnel.
2. Учитывая отсутствие split-tunnel (весь трафик идет, точнее - должен идти, на 1760), после соединения клиента посмотреть "show ip route" на 1760 и возможность доступа с клиента в LAN. К примеру, должны пинговаться все интерфейсы на 1760.
3. Далее действовать по обстоятельствам - если п.2 не работает, искать косяки. Если работает - включать обратно split-tunnel и бороться с маршрутизацией.


"Easy vpn problem"
Отправлено andrew , 30-Мрт-06 13:02 
>Я бы посоветовал сделать так:
>1. Убрать "acl 150" из "crypto isakmp client configuration group vpn-access", отключить
>split-tunnel.
>2. Учитывая отсутствие split-tunnel (весь трафик идет, точнее - должен идти, на
>1760), после соединения клиента посмотреть "show ip route" на 1760 и
>возможность доступа с клиента в LAN. К примеру, должны пинговаться все
>интерфейсы на 1760.
>3. Далее действовать по обстоятельствам - если п.2 не работает, искать косяки.
>Если работает - включать обратно split-tunnel и бороться с маршрутизацией.

1. Отключил split-tunnel
2. не работает... доступа в LAN нет....даже внутренний интерфейс рутера не пингуется


"Easy vpn problem"
Отправлено gallan , 30-Мрт-06 11:03 
попробуй добавь:
ip route 192.168.10.0 255.255.255.240 FastEthernet0/0

"Easy vpn problem"
Отправлено andrew , 30-Мрт-06 12:24 
>попробуй добавь:
>ip route 192.168.10.0 255.255.255.240 FastEthernet0/0


пасиба но не помогло...  


"Easy vpn problem"
Отправлено gallan , 30-Мрт-06 12:56 
каким клиентом соединяешься?
да,
access-list 150 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.15
cовет совершенно правильный, он будет добавлять маршрут клиенту
(route print или netstat -rn)

и есчо, конфиг полный? нет ли там дополнительных параметров, усиливающих безопасность, примененных к внутреннему интерфейсу? типа
no ip redirects
no ip unreachables

и покажи sh ip rou


"Easy vpn problem"
Отправлено andrew , 30-Мрт-06 13:17 
Самое интересное, то что когда я напрямую подключаюсь к  внешнему интерфесу и прописываю на ноутбуке адрес из внешней подсети, то все нормально работает.


"Easy vpn problem"
Отправлено sh_ , 30-Мрт-06 15:19 
Может оно тебе надо? :)
http://www.cisco.com/en/US/products/ps6350/products_configur...


"Easy vpn problem"
Отправлено andrew , 30-Мрт-06 16:22 
>Может оно тебе надо? :)
>http://www.cisco.com/en/US/products/ps6350/products_configur...


Может быть и надо :) но не помогает


"Easy vpn problem"
Отправлено sh_ , 30-Мрт-06 17:13 
То есть включение crypto ipsec nat-transparency udp-encapsulation не помогает?

Тогда сдаюсь. :(


"Easy vpn problem"
Отправлено ВОЛКА , 30-Мрт-06 19:57 
а текущий конфиг покажите...

"Easy vpn problem"
Отправлено andrew , 31-Мрт-06 09:45 
>а текущий конфиг покажите...


hostname VPNtest
!
logging queue-limit 100
enable secret 5 ***
!
username vpntest password 7 ***

aaa new-model
aaa authorization network vpn-access local
aaa session-id common
ip subnet-zero
!
!
!
ip audit notify log
ip audit po max-events 100
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp keepalive 10 5
crypto isakmp client configuration address-pool local dynpool
!
crypto isakmp client configuration group vpn-access
key 123456
pool dynpool
acl 150
!
!
crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 1
set transform-set transform-1
reverse-route
!
!
crypto map dynmap client authentication list vpn-access
crypto map dynmap isakmp authorization list vpn-access
crypto map dynmap client configuration address initiate
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap
!
!
!
!
!
!
!
!
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
mta receive maximum-recipients 0
!
!
!
!
interface FastEthernet0/0
description Internet
ip address x.x.x.x 255.255.255.240
duplex auto
speed auto
crypto map dynmap
!
interface FastEthernet0/1
ip address 192.168.1.250 255.255.255.0
duplex auto
speed auto
!
ip local pool dynpool 192.168.10.1 192.168.10.9
ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 x.x.x.x
!
!
!
access-list 150 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
!

call rsvp-sync
!
!
mgcp profile default
!
dial-peer cor custom
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
!
!


"Easy vpn problem"
Отправлено sh_ , 31-Мрт-06 11:01 
Блин, да все у вас работает. Залил ваш конфиг к себе на рутер и проверил. Может в LAN'е на компах шлюзом не 192.168.1.250 прописано...

"Easy vpn problem"
Отправлено andrew , 31-Мрт-06 16:34 
>Блин, да все у вас работает. Залил ваш конфиг к себе на
>рутер и проверил. Может в LAN'е на компах шлюзом не 192.168.1.250
>прописано...


Дык... даже внутренний ip не пингуется :)


"Easy vpn problem"
Отправлено Изгой , 05-Апр-06 09:10 
>>Блин, да все у вас работает. Залил ваш конфиг к себе на
>>рутер и проверил. Может в LAN'е на компах шлюзом не 192.168.1.250
>>прописано...
>
>
>Дык... даже внутренний ip не пингуется :)


Бла бла бла , сейчас лень искать
вот здесь на память надо дописать , а вообще эта тема уже разбиралась

aaa new-model
aaa authorization network vpn-access local
aaa session-id common ( тут не хватает строчки ) - на память

Поищите в избранных вроде весит, так вот при конечном работающем конфиге , конфиг приходилось периписать с 0 и ребутить циску - тогда всё заработало


"Easy vpn problem"
Отправлено Andrew , 07-Апр-06 17:19 

>
>
>Бла бла бла , сейчас лень искать
>вот здесь на память надо дописать , а вообще эта тема уже
>разбиралась
>
>aaa new-model
>aaa authorization network vpn-access local
>aaa session-id common ( тут не хватает строчки ) - на память

hm... a po konkretnee mojno

>
>Поищите в избранных вроде весит, так вот при конечном работающем конфиге ,
>конфиг приходилось периписать с 0 и ребутить циску - тогда всё
>заработало

naiti ni4ego ne nashel.

Tem nemenee spasibo...


"Easy vpn problem"
Отправлено 42day , 03-Ноя-06 17:41 
Добрый день!
как на VPN с натом влияют no ip redirects и no ip unreachables?