URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 10461
[ Назад ]

Исходное сообщение
"Проблема с Cisco VPN Client-ом 4.8.00.0440"
Отправлено KorP , 04-Май-06 11:31

В тренировочных целях пытаюсь сделать подключение при помощи Cisco VPN Client 4.8.00.0440
Вопрос изучил обстоятельно, прочитал много литературы :-)
Решил начать с простого. Имеем:
Комп по ethernet-у подключен к 1751, сеть 2.0.0.0/24
Та в свою очередь подключена к 7206, сеть 172.16.130.0/24
Цель - сделать туннель до 7206.
На машине несколько сетевух
Ethernet adapter VLAN18:
        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Desktop Adapter - VLAN : VLAN18
        Physical Address. . . . . . . . . : 00-07-E8-09-5B-D4
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 10.110.10.10
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . :
        DNS Servers . . . . . . . . . . . : 10.92.1.100
Ethernet adapter VLAN90:
        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Desktop Adapter - VLAN : VLAN90
        Physical Address. . . . . . . . . : 00-07-E8-09-5B-D4
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 192.168.10.90
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . :
        NetBIOS over Tcpip. . . . . . . . : Disabled
Ethernet adapter TEST:
        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connection
        Physical Address. . . . . . . . . : 00-13-21-47-3A-4D
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 2.0.0.10
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 2.0.0.1

Маршруты:
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0          2.0.0.1        2.0.0.10       1
          2.0.0.0    255.255.255.0         2.0.0.10        2.0.0.10       20
          2.0.0.0    255.255.255.0          2.0.0.1        2.0.0.10       1
         2.0.0.10  255.255.255.255        127.0.0.1       127.0.0.1       20
    2.255.255.255  255.255.255.255         2.0.0.10        2.0.0.10       20
         10.0.0.0        255.0.0.0      10.110.10.1    10.110.10.10       1
      10.110.10.0    255.255.255.0     10.110.10.10    10.110.10.10       10
     10.110.10.10  255.255.255.255        127.0.0.1       127.0.0.1       10
   10.255.255.255  255.255.255.255     10.110.10.10    10.110.10.10       10
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
       172.31.1.0    255.255.255.0      10.110.10.1    10.110.10.10       1
      192.168.1.0    255.255.255.0     192.168.10.1   192.168.10.90       1
     192.168.10.0    255.255.255.0    192.168.10.90   192.168.10.90       10
    192.168.10.90  255.255.255.255        127.0.0.1       127.0.0.1       10
   192.168.10.255  255.255.255.255    192.168.10.90   192.168.10.90       10
        224.0.0.0        240.0.0.0         2.0.0.10        2.0.0.10       20
        224.0.0.0        240.0.0.0     10.110.10.10    10.110.10.10       10
        224.0.0.0        240.0.0.0    192.168.10.90   192.168.10.90       10
  255.255.255.255  255.255.255.255         2.0.0.10        2.0.0.10       1
  255.255.255.255  255.255.255.255     10.110.10.10    10.110.10.10       1
  255.255.255.255  255.255.255.255    192.168.10.90   192.168.10.90       1
Default Gateway:           2.0.0.1
===========================================================================
Persistent Routes:
  None

На 7206 иос c7200-jk9o3s-mz.124-7.bin
Конфиг
7206_IPS#sh run
Building configuration...
Current configuration : 1865 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 7206_IPS
!
boot-start-marker
boot system flash disk1:/c7200-jk9o3s-mz.124-7.bin
boot system flash disk1:/c7200-js-mz.124-5.bin
boot bootldr slot0:c7200-kboot-mz.124-5.bin
warm-reboot count 1
boot-end-marker
!
enable secret 5 $1$dyHD$KnLmclAnVqdGsSfHKTPlP0
!
aaa new-model
!
!
aaa authentication login client local
aaa authorization network group local
!
aaa session-id common
!
resource policy
!
!
!
ip cef
!
!
username test privilege 15 password 7 1403171818
username cisco privilege 15 secret 5 $1$KLou$/HEe/0DMWgwGdMhbLqmbH0
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group testgroup
key cisco123
pool ippool
crypto isakmp profile VPNclient
   match identity group testgroup
   client authentication list client
   isakmp authorization list group
   client configuration address respond
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
set isakmp-profile VPNclient
!
!
crypto map mymap 10 ipsec-isakmp dynamic dynmap
!
interface FastEthernet0/0
no ip address
duplex full
!
interface FastEthernet0/0.1
encapsulation dot1Q 1 native
ip address 172.16.130.5 255.255.255.0
no snmp trap link-status
crypto map mymap
!
router eigrp 1
redistribute connected
network 172.16.0.0
no auto-summary
!
ip local pool ippool 70.0.0.10 70.0.0.20
!
no ip http server
no ip http secure-server
!
...
SH IP ROUTE
Gateway of last resort is not set
     2.0.0.0/24 is subnetted, 1 subnets
D       2.0.0.0 [90/30720] via 172.16.130.1, 03:51:04, FastEthernet0/0.1
     4.0.0.0/24 is subnetted, 1 subnets
D       4.0.0.0 [90/30720] via 172.16.130.2, 00:45:57, FastEthernet0/0.1
     172.16.0.0/24 is subnetted, 1 subnets
C       172.16.130.0 is directly connected, FastEthernet0/0.1
7206_IPS#ping 2.0.0.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2.0.0.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
7206_IPS#

Так вот, при попытке соединения VPN клиентом дело доходит до Negotiating Security Policy и на этом дело останавливается, загрузка проца у компа подскакивает до 99%, перестают пинговаться ВСЕ сети, а не только те, что на сетевухе с адресом 2.0.0.10
Разборки с дебагом показали, что дело стопорится на
*May  4 10:25:02.969: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
*May  4 10:25:02.969: ISAKMP:(0:1:SW:1):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE
7206_IPS#sh crypto isakmp sa
dst             src             state          conn-id slot status
172.16.130.5    2.0.0.10        QM_IDLE              1    0 ACTIVE VPNclient
Т.е. после этого рутер не получает от 2.0.0.10 никаких пакетов. Соответственно и никакие "negotiating security policy" не проходят.
Экспериментировал со split tunneling-ом, не помогло, но чувствую что не в этом дело.
Пробовал с другой машины - та же история. Файрвол на компе отключил сразу.
Что-то я похоже в этом клиенте не понял.
Кстати, клиент добавляет в список сетевух свой адаптер, но он disable и если его раздисейбл, то он вскоре снова отключается.

Содержание

Проблема с Cisco VPN Client-ом 4.8.00.0440,ilya, 10:12 , 06-Май-06
- Проблема с Cisco VPN Client-ом 4.8.00.0440,KorP, 04:29 , 10-Май-06
  - Проблема с Cisco VPN Client-ом 4.8.00.0440,ilya, 09:12 , 10-Май-06
    - Проблема с Cisco VPN Client-ом 4.8.00.0440,KorP, 10:34 , 10-Май-06
      - Проблема с Cisco VPN Client-ом 4.8.00.0440,ilya, 10:55 , 10-Май-06
        
        Проблема с Cisco VPN Client-ом 4.8.00.0440,KorP, 11:07 , 10-Май-06
        
        Проблема с Cisco VPN Client-ом 4.8.00.0440,ilya, 11:36 , 10-Май-06
        
        Проблема с Cisco VPN Client-ом 4.8.00.0440,KorP, 11:48 , 10-Май-06
        
        Проблема с Cisco VPN Client-ом 4.8.00.0440,ilya, 11:59 , 10-Май-06
        
        Проблема с Cisco VPN Client-ом 4.8.00.0440,KorP, 12:15 , 10-Май-06
        
        Проблема с Cisco VPN Client-ом 4.8.00.0440,ingenegr, 16:07 , 23-Июн-06
        Проблема с Cisco VPN Client-ом 4.8.00.0440,ingenegr, 16:08 , 23-Июн-06
        
        Проблема с Cisco VPN Client-ом 4.8.00.0440,KorP, 06:12 , 15-Июл-06
        
        Проблема с Cisco VPN Client-ом 4.8.00.0440,Ilia Kuliev, 18:20 , 15-Июл-06

Сообщения в этом обсуждении

"Проблема с Cisco VPN Client-ом 4.8.00.0440"
Отправлено ilya , 06-Май-06 10:12

>
>Разборки с дебагом показали, что дело стопорится на
>
>*May  4 10:25:02.969: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
>*May  4 10:25:02.969: ISAKMP:(0:1:SW:1):Old State = IKE_P1_COMPLETE  New State =
>IKE_P1_COMPLETE
>
>7206_IPS#sh crypto isakmp sa
>dst
> src
>   state
>  conn-id slot status
>172.16.130.5    2.0.0.10
>QM_IDLE
>   1    0 ACTIVE VPNclient
>
т.е. IKE у вас установился, а что говорит дебаг IPSECа?
и какая версия ИОС?

"Проблема с Cisco VPN Client-ом 4.8.00.0440"
Отправлено KorP , 10-Май-06 04:29

>т.е. IKE у вас установился, а что говорит дебаг IPSECа?
В том-то и дело, что дебаг IPseca не говорит ничего. Тишина.
С машины перестают быть доступны все сети, т.е. клиент и роутер друг друга перестают видеть (при этом таблицы маршрутизации в порядке). Предполагаю что проблема где-то в этом месте...
>и какая версия ИОС?
c7200-jk9o3s-mz.124-7.bin
Пробовал на других версиях софта, роутерах, компьютерах - то же самое.
Прошу предлагать любые варианты, а то я все свои варианты уже использовал :-(

"Проблема с Cisco VPN Client-ом 4.8.00.0440"
Отправлено ilya , 10-Май-06 09:12

>>т.е. IKE у вас установился, а что говорит дебаг IPSECа?
>
>В том-то и дело, что дебаг IPseca не говорит ничего. Тишина.
>С машины перестают быть доступны все сети, т.е. клиент и роутер друг
>друга перестают видеть (при этом таблицы маршрутизации в порядке). Предполагаю что
>проблема где-то в этом месте...
>
>>и какая версия ИОС?
>
>c7200-jk9o3s-mz.124-7.bin
>
>Пробовал на других версиях софта, роутерах, компьютерах - то же самое.
>Прошу предлагать любые варианты, а то я все свои варианты уже использовал
>:-(
1. попробуйте добавить
client configuration address initial
2. дебаг IPSECа на роутере ничего не говорит? т.е. вообще ничего?

"Проблема с Cisco VPN Client-ом 4.8.00.0440"
Отправлено KorP , 10-Май-06 10:34

1. Пробовал, не меняет ровным счётом ничего :-(
2. debug crypto ipsec не говорит ничего! Привожу очередной пример неудачного коннекта. Последнее, что появляется на консоле (дебаг ipsec запущен!):
ISAKMP:(0:4:SW:1):deleting node -2124109432 error FALSE reason "Transaction mode done"
ISAKMP:(0:4:SW:1):Input = IKE_MESG_FROM_PEER, IKE_CFG_ACK
ISAKMP:(0:4:SW:1):Old State = IKE_XAUTH_SET_SENT  New State = IKE_P1_COMPLETE

Т.е. Phase1 проходит, а Phase2 не начинается. Т.е. и адреса клиенту даже не пробуют назначаться.
Я могу на полигоне любой конфиг опробовать, если вы предложите какой-то ваш опробованный вариант... Вот ещё на чистую винду не пробовал клиента ставить :-)

"Проблема с Cisco VPN Client-ом 4.8.00.0440"
Отправлено ilya , 10-Май-06 10:55

>1. Пробовал, не меняет ровным счётом ничего :-(
>2. debug crypto ipsec не говорит ничего! Привожу очередной пример неудачного коннекта.
>Последнее, что появляется на консоле (дебаг ipsec запущен!):
>
>ISAKMP:(0:4:SW:1):deleting node -2124109432 error FALSE reason "Transaction mode done"
>ISAKMP:(0:4:SW:1):Input = IKE_MESG_FROM_PEER, IKE_CFG_ACK
>ISAKMP:(0:4:SW:1):Old State = IKE_XAUTH_SET_SENT New State = IKE_P1_COMPLETE
>
>Т.е. Phase1 проходит, а Phase2 не начинается. Т.е. и адреса клиенту даже
>не пробуют назначаться.
>
>Я могу на полигоне любой конфиг опробовать, если вы предложите какой-то ваш
>опробованный вариант... Вот ещё на чистую винду не пробовал клиента ставить
>:-)

http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
на основе этого делал 100% рабочий конфиг
только с указанием address initiate.

"Проблема с Cisco VPN Client-ом 4.8.00.0440"
Отправлено KorP , 10-Май-06 11:07

>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
>на основе этого делал 100% рабочий конфиг
>только с указанием address initiate.
А какая у вас была версия операционки, сервис пака? Файрвол задействовался?
Может ещё какие-то советы посоветуете ;-)

"Проблема с Cisco VPN Client-ом 4.8.00.0440"
Отправлено ilya , 10-Май-06 11:36

>>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
>
>>на основе этого делал 100% рабочий конфиг
>>только с указанием address initiate.
>
>А какая у вас была версия операционки, сервис пака? Файрвол задействовался?
>Может ещё какие-то советы посоветуете ;-)

пробовал на VMWARE - не работало
потом на 2000й или 2003й...
уже не помню. вроде 2000я sp4
софт был какойто 12.4Т
на 12.3 оно не взлетало, симптомы были похожие, тунель пытается установиться, невнятные ошибки, после замены ИОС все взлетело с тем же конфигом.

"Проблема с Cisco VPN Client-ом 4.8.00.0440"
Отправлено KorP , 10-Май-06 11:48

>на 12.3 оно не взлетало, симптомы были похожие, тунель пытается установиться, невнятные
>ошибки, после замены ИОС все взлетело с тем же конфигом.
Да уж, опасно внедрять такую сверхчувствительную штуку.
А вы пробовали с виндовым ipsec-ом VPN организовать?

"Проблема с Cisco VPN Client-ом 4.8.00.0440"
Отправлено ilya , 10-Май-06 11:59

>>на 12.3 оно не взлетало, симптомы были похожие, тунель пытается установиться, невнятные
>>ошибки, после замены ИОС все взлетело с тем же конфигом.
>
>Да уж, опасно внедрять такую сверхчувствительную штуку.
>
ну на самом деле не такая уж сверхчуствительная. различные ошибки бывают в различных версиях ИОС. просто я мог так "попасть" удачно...

>А вы пробовали с виндовым ipsec-ом VPN организовать?

ИМХО лучше все же цисковского - у винды они тоже глючные, поэтому лушчше попробуйте на "чистую" винду клиента накатить и посмотреть что изменится.
альтернативой может быть не IPSEC а L2TP...
но это уже не так интересно и практично.

"Проблема с Cisco VPN Client-ом 4.8.00.0440"
Отправлено KorP , 10-Май-06 12:15

>ИМХО лучше все же цисковского - у винды они тоже глючные, поэтому
>лушчше попробуйте на "чистую" винду клиента накатить и посмотреть что изменится.
Осталось найти такую машину.
Роутеров полно, а персоналок мало :-)

"Проблема с Cisco VPN Client-ом 4.8.00.0440"
Отправлено ingenegr , 23-Июн-06 16:07

>>ИМХО лучше все же цисковского - у винды они тоже глючные, поэтому
>>лушчше попробуйте на "чистую" винду клиента накатить и посмотреть что изменится.
>
>Осталось найти такую машину.
>Роутеров полно, а персоналок мало :-)

у меня такиеже симптомы - проблемма видимо или в винде или в клиенте так как NCP vpn client на томже конфиге работает
зы
win xp sp2

"Проблема с Cisco VPN Client-ом 4.8.00.0440"
Отправлено ingenegr , 23-Июн-06 16:08

>>ИМХО лучше все же цисковского - у винды они тоже глючные, поэтому
>>лушчше попробуйте на "чистую" винду клиента накатить и посмотреть что изменится.
>
>Осталось найти такую машину.
>Роутеров полно, а персоналок мало :-)

у меня такиеже симптомы - проблемма видимо или в винде или в клиенте так как NCP vpn client на томже конфиге работает
зы
win xp sp2

"Проблема с Cisco VPN Client-ом 4.8.00.0440"
Отправлено KorP , 15-Июл-06 06:12

>>>ИМХО лучше все же цисковского - у винды они тоже глючные, поэтому
>>>лушчше попробуйте на "чистую" винду клиента накатить и посмотреть что изменится.
>>
>>Осталось найти такую машину.
>>Роутеров полно, а персоналок мало :-)
>
>
>у меня такиеже симптомы - проблемма видимо или в винде или в
>клиенте так как NCP vpn client на томже конфиге работает
Добрый день, коллега!
Если вы всё-таки одолеете проклятого клиента циски - чиркните пару строк, пожалуйста.

"Проблема с Cisco VPN Client-ом 4.8.00.0440"
Отправлено Ilia Kuliev , 15-Июл-06 18:20

У меня эта конфигурация работает уже третий год, несколько десятков пользователей не имеют никаких проблем с этим клиентом. Конкретно в данный момент подключен :)
Версия клиента 4.7.00.0533
Версии IOS на шлюзах:
C1700 Software (C1700-K9O3SY7-M), Version 12.4(4)T1, RELEASE SOFTWARE (fc4)
и
C1700 Software (C1700-K9SY7-M), Version 12.2(15)T14, RELEASE SOFTWARE (fc4)
роутеры 1721 и 1720 соответственно.