Доброго времени суток!!!
Имеется следующая схема ...cisco vpn client ------ Internet ----- Cisco2620 --- Lan
cisco vpn client коннектится к cisco2620, но доступа в Lan нет.Господа помогите разобраться с конвигом.
Current configuration : 2019 bytes
!
version 12.2
service config
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname VPNtest
!
logging queue-limit 100
enable secret 5 $1$RCRI$no8otFK4Pxi1t6t2JuP7D/
!
username vpntest password 7 096F5C100911183B180D0F273B047A636574aaa new-model
aaa authorization network vpn-access local
aaa session-id common
ip subnet-zero
!
!
!
ip audit notify log
ip audit po max-events 100
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp keepalive 10 5
crypto isakmp client configuration address-pool local dynpool
!
crypto isakmp client configuration group vpn-access
key 123456
pool dynpool
acl 150
!
!
crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 1
set transform-set transform-1
reverse-route
!
!
crypto map dynmap client authentication list vpn-access
crypto map dynmap isakmp authorization list vpn-access
crypto map dynmap client configuration address initiate
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap
!
!
!
!
!
!
!
!
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
mta receive maximum-recipients 0
!
!
!
!
interface FastEthernet0/0
description Internet
ip address x.x.x.x 255.255.255.240
duplex auto
speed auto
crypto map dynmap
!
interface FastEthernet0/1
ip address 192.168.1.250 255.255.255.0
duplex auto
speed auto
!
ip local pool dynpool 192.168.10.1 192.168.10.9
ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 x.x.x.x
!
!
!
access-list 150 permit ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255
!call rsvp-sync
!
!
mgcp profile default
!
dial-peer cor custom
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
!
!
end
no access-list 150 permit ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 150 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
>no access-list 150 permit ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255
>access-list 150 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
Спасибо за ответ, но...
Не помогло
route print покажи с того места, откуда законнектился...
>route print покажи с того места, откуда законнектился...
C:\Documents and Settings\Administrator>route print
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x370003 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x370004 ...00 05 9a 3c 78 00 ...... Cisco Systems VPN Adapter - Packet Schedule
r Miniport
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 212.0.195.25 212.0.195.25 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.10.1 192.168.10.1 1
192.168.10.0 255.255.255.0 192.168.10.1 192.168.10.1 10
192.168.10.1 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.10.255 255.255.255.255 192.168.10.1 192.168.10.1 10
212.0.193.1 255.255.255.255 212.0.195.25 212.0.195.25 1
212.0.195.25 255.255.255.255 127.0.0.1 127.0.0.1 50
212.0.195.255 255.255.255.255 212.0.195.25 212.0.195.25 50
217.12.118.183 255.255.255.255 212.0.195.25 212.0.195.25 1
224.0.0.0 240.0.0.0 192.168.10.1 192.168.10.1 10
224.0.0.0 240.0.0.0 212.0.195.25 212.0.195.25 1
255.255.255.255 255.255.255.255 192.168.10.1 192.168.10.1 1
Default Gateway: 212.0.195.25
===========================================================================
Persistent Routes:
None
Все у вас должно работать!!! :) Почему вы решили, что не работает? Когда вы приконнектились к циске, 192.168.10.1 пингуется? Покажите трейс с компьютера в LAN.
>Все у вас должно работать!!! :) Почему вы решили, что не работает?
>Когда вы приконнектились к циске, 192.168.10.1 пингуется? Покажите трейс с компьютера
>в LAN.
1. 192.168.10.1 пингуется
2. trace вообще не проходит, request timeout
3. Вот лог vpn клиента
1 18:38:06.178 03/23/06 Sev=Warning/3 CM/0xA310002C
Adapter address changed from 212.0.194.142. Current address(es): 192.168.10.1.2 18:38:06.178 03/23/06 Sev=Warning/3 IKE/0xE3000068
Failed to send 76 bytes to 217.12.119.138, error = 0xFFFFFFF03 18:38:06.178 03/23/06 Sev=Warning/3 IKE/0xE3000068
Failed to send 84 bytes to 217.12.119.138, error = 0xFFFFFFF0и в статусе показывает
bites out: 5065, а bytes in : 0
Либо используй split-tunnel, либо поднимай nat. Понятно, что в этой конфигурации клиент "в мир" ходить лишен возможности.
>Либо используй split-tunnel, либо поднимай nat. Понятно, что в этой конфигурации клиент
>"в мир" ходить лишен возможности.
Configuring Split Tunneling
When split tunneling is enabled, it allows an Easy VPN Remote device to send traffic directly to the Internet and not across the tunnel to the Easy VPN Server. However, split tunneling can be a security risk because hackers can potentially get direct access to the Easy VPN Remote device.To configure split tunneling, use the following syntax:
Router(config-isakmp-group)# acl number
If you were using access list 159, the command you enter would look like the following:
Router(config-isakmp-group)# acl 159
Вроде в конфиге acl прописан.
Я бы посоветовал сделать так:
1. Убрать "acl 150" из "crypto isakmp client configuration group vpn-access", отключить split-tunnel.
2. Учитывая отсутствие split-tunnel (весь трафик идет, точнее - должен идти, на 1760), после соединения клиента посмотреть "show ip route" на 1760 и возможность доступа с клиента в LAN. К примеру, должны пинговаться все интерфейсы на 1760.
3. Далее действовать по обстоятельствам - если п.2 не работает, искать косяки. Если работает - включать обратно split-tunnel и бороться с маршрутизацией.
>Я бы посоветовал сделать так:
>1. Убрать "acl 150" из "crypto isakmp client configuration group vpn-access", отключить
>split-tunnel.
>2. Учитывая отсутствие split-tunnel (весь трафик идет, точнее - должен идти, на
>1760), после соединения клиента посмотреть "show ip route" на 1760 и
>возможность доступа с клиента в LAN. К примеру, должны пинговаться все
>интерфейсы на 1760.
>3. Далее действовать по обстоятельствам - если п.2 не работает, искать косяки.
>Если работает - включать обратно split-tunnel и бороться с маршрутизацией.1. Отключил split-tunnel
2. не работает... доступа в LAN нет....даже внутренний интерфейс рутера не пингуется
попробуй добавь:
ip route 192.168.10.0 255.255.255.240 FastEthernet0/0
>попробуй добавь:
>ip route 192.168.10.0 255.255.255.240 FastEthernet0/0
пасиба но не помогло...
каким клиентом соединяешься?
да,
access-list 150 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.15
cовет совершенно правильный, он будет добавлять маршрут клиенту
(route print или netstat -rn)и есчо, конфиг полный? нет ли там дополнительных параметров, усиливающих безопасность, примененных к внутреннему интерфейсу? типа
no ip redirects
no ip unreachablesи покажи sh ip rou
Самое интересное, то что когда я напрямую подключаюсь к внешнему интерфесу и прописываю на ноутбуке адрес из внешней подсети, то все нормально работает.
Может оно тебе надо? :)
http://www.cisco.com/en/US/products/ps6350/products_configur...
>Может оно тебе надо? :)
>http://www.cisco.com/en/US/products/ps6350/products_configur...
Может быть и надо :) но не помогает
То есть включение crypto ipsec nat-transparency udp-encapsulation не помогает?Тогда сдаюсь. :(
а текущий конфиг покажите...
>а текущий конфиг покажите...
hostname VPNtest
!
logging queue-limit 100
enable secret 5 ***
!
username vpntest password 7 ***aaa new-model
aaa authorization network vpn-access local
aaa session-id common
ip subnet-zero
!
!
!
ip audit notify log
ip audit po max-events 100
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp keepalive 10 5
crypto isakmp client configuration address-pool local dynpool
!
crypto isakmp client configuration group vpn-access
key 123456
pool dynpool
acl 150
!
!
crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 1
set transform-set transform-1
reverse-route
!
!
crypto map dynmap client authentication list vpn-access
crypto map dynmap isakmp authorization list vpn-access
crypto map dynmap client configuration address initiate
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap
!
!
!
!
!
!
!
!
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
mta receive maximum-recipients 0
!
!
!
!
interface FastEthernet0/0
description Internet
ip address x.x.x.x 255.255.255.240
duplex auto
speed auto
crypto map dynmap
!
interface FastEthernet0/1
ip address 192.168.1.250 255.255.255.0
duplex auto
speed auto
!
ip local pool dynpool 192.168.10.1 192.168.10.9
ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 x.x.x.x
!
!
!
access-list 150 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
!call rsvp-sync
!
!
mgcp profile default
!
dial-peer cor custom
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
!
!
Блин, да все у вас работает. Залил ваш конфиг к себе на рутер и проверил. Может в LAN'е на компах шлюзом не 192.168.1.250 прописано...
>Блин, да все у вас работает. Залил ваш конфиг к себе на
>рутер и проверил. Может в LAN'е на компах шлюзом не 192.168.1.250
>прописано...
Дык... даже внутренний ip не пингуется :)
>>Блин, да все у вас работает. Залил ваш конфиг к себе на
>>рутер и проверил. Может в LAN'е на компах шлюзом не 192.168.1.250
>>прописано...
>
>
>Дык... даже внутренний ip не пингуется :)
Бла бла бла , сейчас лень искать
вот здесь на память надо дописать , а вообще эта тема уже разбираласьaaa new-model
aaa authorization network vpn-access local
aaa session-id common ( тут не хватает строчки ) - на памятьПоищите в избранных вроде весит, так вот при конечном работающем конфиге , конфиг приходилось периписать с 0 и ребутить циску - тогда всё заработало
>
>
>Бла бла бла , сейчас лень искать
>вот здесь на память надо дописать , а вообще эта тема уже
>разбиралась
>
>aaa new-model
>aaa authorization network vpn-access local
>aaa session-id common ( тут не хватает строчки ) - на памятьhm... a po konkretnee mojno
>
>Поищите в избранных вроде весит, так вот при конечном работающем конфиге ,
>конфиг приходилось периписать с 0 и ребутить циску - тогда всё
>заработалоnaiti ni4ego ne nashel.
Tem nemenee spasibo...
Добрый день!
как на VPN с натом влияют no ip redirects и no ip unreachables?