Возникла необходимость настроить VPN сервер на о Cisco 7206.
Исколесил весь интернет (полагаю, что конечно лишь малюю часть:) + кучу книжек, почему-то именно по vpn учень все скудно! Может кто посоветует что по данному вопросу?
Желательно что-бы было доступным языком все описано, а то начал работать с данным видом железа сравнительно недавно.
Пытался поставить SDM, для выполения данной задачи, но то же затык, с которым щас и борюсь, но время поджимает, посему и спрашиваю вас!
ДА... клиентами предположительно буду мелкосовтовские машинки, но с Cisco CPN клиентами!
>Возникла необходимость настроить VPN сервер на о Cisco 7206.
>Исколесил весь интернет (полагаю, что конечно лишь малюю часть:) + кучу книжек,
>почему-то именно по vpn учень все скудно! Может кто посоветует что
>по данному вопросу?
>Желательно что-бы было доступным языком все описано, а то начал работать с
>данным видом железа сравнительно недавно.
>Пытался поставить SDM, для выполения данной задачи, но то же затык, с
>которым щас и борюсь, но время поджимает, посему и спрашиваю вас!
>
>ДА... клиентами предположительно буду мелкосовтовские машинки, но с Cisco CPN клиентами!
начните с документации на www.cisco.com
там все есть и по делу.
и даже с примерами
поставил ACS от Циски на сервер, но проблема - не корректно работает.
При запуске, в консоли выдаются ошибки:
"
Context log: path="" Adding context path="" docBase="packages"
Context log: path="/install" Adding context path="/install" docBase="install"
Failed to generate automatic apache configuration java.io.FileNotFoundException:
C:\distr\Cisco.Secure.ACS.for.Windows.Server.v3.2.1-ROR\ACS\tomcat\conf\tomcat-
apache.conf (Access is denied)
Starting tomcat. Check logs/tomcat.log for error messages
Starting tomcat install=".\tomcat" home="C:\distr\Cisco.Secure.ACS.for.Windows.S
erver.v3.2.1-ROR\ACS\tomcat" classPath=".\tomcat\install\classes;.\tomcat\lib\we
bserver.jar;.\tomcat\lib\jasper.jar;.\tomcat\lib\xml.jar;.\tomcat\lib\servlet.ja
r;.\jre\lib\tools.jar"
No apps in webapps/
Context log path="/install"tomcat.errorPage: init
Context log: path="/install" File not found C:\distr\Cisco.Secure.ACS.for.Window
s.Server.v3.2.1-ROR\ACS\tomcat\install\WEB-INF\web.xml, using only defaults
Context log path="/install"jsp: init
can't open C:\distr\Cisco.Secure.ACS.for.Windows.Server.v3.2.1-ROR\ACS\jre\lib\t
zmappings.
ZoneInfo: C:\distr\Cisco.Secure.ACS.for.Windows.Server.v3.2.1-ROR\ACS\jre\lib\zi
\ZoneInfoMappings (The system cannot find the path specified)
ZoneInfo: C:\distr\Cisco.Secure.ACS.for.Windows.Server.v3.2.1-ROR\ACS\jre\lib\zi
\ZoneInfoMappings (The system cannot find the path specified)
Context log path="/install"default: init
Context log path=""tomcat.errorPage: init
Context log: path="" File not found C:\distr\Cisco.Secure.ACS.for.Windows.Server
.v3.2.1-ROR\ACS\tomcat\packages\WEB-INF\web.xml, using only defaults
Context log path=""jsp: init
Context log path=""default: init
Starting endpoint port="8080" handler="org.apache.tomcat.service.http.HttpConnec
tionHandler"
Starting endpoint port="8007" handler="org.apache.tomcat.service.connector.Ajp12
ConnectionHandler"
ZoneInfo: C:\distr\Cisco.Secure.ACS.for.Windows.Server.v3.2.1-ROR\ACS\jre\lib\zi
\ZoneInfoMappings (The system cannot find the path specified)
ZoneInfo: C:\distr\Cisco.Secure.ACS.for.Windows.Server.v3.2.1-ROR\ACS\jre\lib\zi
\ZoneInfoMappings (The system cannot find the path specified)
Context log path=""invoker: init
Context log path=""com.cisco.acsappliance.servlet.InstallServlet: init
"
После этого открывается окно управления, но, к примеру, создать пользователя не удается.
Версия ACS - 3.2.
>поставил ACS от Циски на сервер, но проблема - не корректно работает.
>
>При запуске, в консоли выдаются ошибки:
>"
>Context log: path="" Adding context path="" docBase="packages"
>Context log: path="/install" Adding context path="/install" docBase="install"
>Failed to generate automatic apache configuration java.io.FileNotFoundException:
> C:\distr\Cisco.Secure.ACS.for.Windows.Server.v3.2.1-ROR\ACS\tomcat\conf\tomcat-
>apache.conf (Access is denied)
>Starting tomcat. Check logs/tomcat.log for error messages
>Starting tomcat install=".\tomcat" home="C:\distr\Cisco.Secure.ACS.for.Windows.S
>erver.v3.2.1-ROR\ACS\tomcat" classPath=".\tomcat\install\classes;.\tomcat\lib\we
>bserver.jar;.\tomcat\lib\jasper.jar;.\tomcat\lib\xml.jar;.\tomcat\lib\servlet.ja
>r;.\jre\lib\tools.jar"
>No apps in webapps/
>Context log path="/install"tomcat.errorPage: init
>Context log: path="/install" File not found C:\distr\Cisco.Secure.ACS.for.Window
>s.Server.v3.2.1-ROR\ACS\tomcat\install\WEB-INF\web.xml, using only defaults
>Context log path="/install"jsp: init
>can't open C:\distr\Cisco.Secure.ACS.for.Windows.Server.v3.2.1-ROR\ACS\jre\lib\t
>zmappings.
>ZoneInfo: C:\distr\Cisco.Secure.ACS.for.Windows.Server.v3.2.1-ROR\ACS\jre\lib\zi
>\ZoneInfoMappings (The system cannot find the path specified)
>ZoneInfo: C:\distr\Cisco.Secure.ACS.for.Windows.Server.v3.2.1-ROR\ACS\jre\lib\zi
>\ZoneInfoMappings (The system cannot find the path specified)
>Context log path="/install"default: init
>Context log path=""tomcat.errorPage: init
>Context log: path="" File not found C:\distr\Cisco.Secure.ACS.for.Windows.Server
>.v3.2.1-ROR\ACS\tomcat\packages\WEB-INF\web.xml, using only defaults
>Context log path=""jsp: init
>Context log path=""default: init
>Starting endpoint port="8080" handler="org.apache.tomcat.service.http.HttpConnec
>tionHandler"
>Starting endpoint port="8007" handler="org.apache.tomcat.service.connector.Ajp12
>ConnectionHandler"
>ZoneInfo: C:\distr\Cisco.Secure.ACS.for.Windows.Server.v3.2.1-ROR\ACS\jre\lib\zi
>\ZoneInfoMappings (The system cannot find the path specified)
>ZoneInfo: C:\distr\Cisco.Secure.ACS.for.Windows.Server.v3.2.1-ROR\ACS\jre\lib\zi
>\ZoneInfoMappings (The system cannot find the path specified)
>Context log path=""invoker: init
>Context log path=""com.cisco.acsappliance.servlet.InstallServlet: init
>"
>После этого открывается окно управления, но, к примеру, создать пользователя не удается.
>
>Версия ACS - 3.2.
винда какая? 2003? там баг есть подобный когда ИЕ корректно не отрабатывает. Проверьте установлена ли у вас MS Java Machine или поставьте на 2000ю.
Да и 3.2 уже не модно - на сайте циски 4.0 90дневная есть - для попробовать самое то.
Cisco Press
The Complete Cisco VPN Configuration Guide
Dec 2005
.chmhttp://webfile.ru/983946
Имя файла - Cisco.Press.The.Complete.Cisco.VPN.Configuration.Guide.Dec.2005.chm
размер 14781 Кбайт.
доступен до 16.06.2006 11:28.
Энджой! )
Чего-то заковырялся я совсем с ВПН-ом... сложности заключаются в точ, что циску изначально настраивал не я, да и опыта мало в таких делах.
Настраивал по инструкции http://www.cisco.com/en/US/tech/tk59/technologies_configurat....Сервер ACS работает... пользователей создал.
Но при конекте VPN_Client дает ошибки:-----------------------------------------------------------------
Cisco Systems VPN Client Version 4.8.00.0440
Copyright (C) 1998-2005 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 5.1.2600 Service Pack 250 20:00:25.109 06/15/06 Sev=Info/4 CM/0x63100002
Begin connection process51 20:00:25.140 06/15/06 Sev=Info/4 CVPND/0xE3400001
Microsoft IPSec Policy Agent service stopped successfully52 20:00:25.140 06/15/06 Sev=Info/4 CM/0x63100004
Establish secure connection using Ethernet53 20:00:25.140 06/15/06 Sev=Info/4 CM/0x63100024
Attempt connection with server "213.189.x.x"54 20:00:26.156 06/15/06 Sev=Info/6 IKE/0x6300003B
Attempting to establish a connection with 213.189.x.x.55 20:00:26.156 06/15/06 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK AG (SA, KE, NON, ID, VID(Xauth), VID(dpd), VID(Unity)) to 213.189.x.x56 20:00:26.171 06/15/06 Sev=Info/4 IPSEC/0x63700008
IPSec driver successfully started57 20:00:26.171 06/15/06 Sev=Info/4 IPSEC/0x63700014
Deleted all keys58 20:00:31.609 06/15/06 Sev=Info/4 IKE/0x63000021
Retransmitting last packet!59 20:00:31.609 06/15/06 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK AG (Retransmission) to 213.189.x.x60 20:00:36.609 06/15/06 Sev=Info/4 IKE/0x63000021
Retransmitting last packet!61 20:00:36.609 06/15/06 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK AG (Retransmission) to 213.189.x.x62 20:00:41.609 06/15/06 Sev=Info/4 IKE/0x63000021
Retransmitting last packet!63 20:00:41.609 06/15/06 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK AG (Retransmission) to 213.189.x.x64 20:00:46.609 06/15/06 Sev=Info/4 IKE/0x63000017
Marking IKE SA for deletion (I_Cookie=DF8205B92FF25B81 R_Cookie=0000000000000000) reason = DEL_REASON_PEER_NOT_RESPONDING65 20:00:47.109 06/15/06 Sev=Info/4 IKE/0x6300004B
Discarding IKE SA negotiation (I_Cookie=DF8205B92FF25B81 R_Cookie=0000000000000000) reason = DEL_REASON_PEER_NOT_RESPONDING66 20:00:47.109 06/15/06 Sev=Info/4 CM/0x63100014
Unable to establish Phase 1 SA with server "213.189.x.x" because of "DEL_REASON_PEER_NOT_RESPONDING"67 20:00:47.140 06/15/06 Sev=Info/5 CM/0x63100025
Initializing CVPNDrv68 20:00:47.140 06/15/06 Sev=Info/4 IKE/0x63000001
IKE received signal to terminate VPN connection69 20:00:47.156 06/15/06 Sev=Info/4 IKE/0x63000086
Microsoft IPSec Policy Agent service started successfully70 20:00:47.171 06/15/06 Sev=Info/4 IPSEC/0x63700014
Deleted all keys71 20:00:47.171 06/15/06 Sev=Info/4 IPSEC/0x63700014
Deleted all keys72 20:00:47.171 06/15/06 Sev=Info/4 IPSEC/0x63700014
Deleted all keys73 20:00:47.171 06/15/06 Sev=Info/4 IPSEC/0x6370000A
IPSec driver successfully stopped
------------------------------------------------------------------Может есть какие идеи откуда копать?
DEL_REASON_PEER_NOT_RESPONDINGесть подозрение что циска на запросы клиента не отвечает
конфиг циски в студию.
>DEL_REASON_PEER_NOT_RESPONDING
>
>есть подозрение что циска на запросы клиента не отвечает
>
>конфиг циски в студию.
Полный листинг слишком большой, посему кладу часть актуальную для данного процесса.
Так же есть следующие идеи, в циске один из уровней секъюрности это APR таблица.
Надо ли в нее добавлять клиентов, которые конектятся с помощью ВПН?service password-encryption
!
hostname xxx
!boot system flash c7200-jk9s-mz.123-18.bin
!
...
enable secret 5 xxxxx
enable password 7 xxxxxx
!aaa new-model
!
!
aaa authentication login default group tacacs+
aaa authentication login userauthen group tacacs+
aaa authentication ppp default group tacacs+
aaa authorization network groupauthor local
aaa session-id common
ip subnet-zero
no ip rcmd domain-lookup
ip rcmd rcp-enable
ip rcmd rsh-enable
ip rcmd remote-host xxxxxx 213.189.x.x root enable 7
ip rcmd remote-username xxxxxx
!
ip domain name xxxxxx.ru
ip name-server 213.189.x.x!
ip cef
ip accounting-threshold 10000
vpdn enable
!
username xxxxxx privilege 15 password 7 xxxxxx
!!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group vpngroup
key xxxxxx
dns 213.189.x.x
pool ippool
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
!
!
!
interface FastEthernet0/0
!
!
interface FastEthernet0/1
ip address 213.189.x.x 255.255.255.x
ip access-group 101 in
ip accounting output-packets
no ip mroute-cache
duplex auto
speed 100
crypto map clientmap
!
interface Serial1/0:0
!
interface Serial1/1:0
!
ip local pool ippool 192.168.4.100 192.168.4.200
ip nat log translations syslogip classless
......ip http server
ip http authentication local
ip http secure-server
!.................acl + arp + route map...............
!
tacacs-server host 213.189.x.x single-connection
tacacs-server directed-request
tacacs-server key 7 xxxxxx
!
!
!
dial-peer cor custom
!
!
!
!
gatekeeper
shutdown
!
privilege exec level 7 show ip accounting checkpoint
privilege exec level 7 show ip accounting
privilege exec level 7 show ip
privilege exec level 7 show
privilege exec level 7 clear ip accounting checkpoint
privilege exec level 7 clear ip accounting
privilege exec level 7 clear ip
privilege exec level 7 clear
!
line con 0
password 7 xxxxxx
stopbits 1
line aux 0
no exec
stopbits 1
line vty 0 4
access-class 1 in
privilege level 15
transport input telnet ssh
line vty 5 15
password 7 xxxxxx
!
!
end
ip access-group 101 in - что в нем?
>ip access-group 101 in - что в нем?
access-list 101 deny ip 62.113.х.х 0.0.0.63 192.168.0.0 0.0.0.255 log
access-list 101 permit ip any any log
>>ip access-group 101 in - что в нем?
>
>
>access-list 101 deny ip 62.113.х.х 0.0.0.63 192.168.0.0 0.0.0.255 log
>access-list 101 permit ip any any log
надеюсь клиент не с 62.133 адреса лезет? ;)))попробуйте еще разрешить access-list 101 permit 50 any any
>>>ip access-group 101 in - что в нем?
>>
>>
>>access-list 101 deny ip 62.113.х.х 0.0.0.63 192.168.0.0 0.0.0.255 log
>>access-list 101 permit ip any any log
>
>
>надеюсь клиент не с 62.133 адреса лезет? ;)))
>
>попробуйте еще разрешить access-list 101 permit 50 any anyНе... это не используемый наш пул второго провайдера...
Клиент со скайлинка ломится 83.217.49...Добавил данную строку посередине (а что значит 50?).
С грустью скажу - не помогло.
Может действительно в ARP записях дело?
>>>>ip access-group 101 in - что в нем?
>>>
>>>
>>>access-list 101 deny ip 62.113.х.х 0.0.0.63 192.168.0.0 0.0.0.255 log
>>>access-list 101 permit ip any any log
>>
>>
>>надеюсь клиент не с 62.133 адреса лезет? ;)))
>>
>>попробуйте еще разрешить access-list 101 permit 50 any any
>
>Не... это не используемый наш пул второго провайдера...
>Клиент со скайлинка ломится 83.217.49...
>
>Добавил данную строку посередине (а что значит 50?).
>С грустью скажу - не помогло.
>Может действительно в ARP записях дело?
50 - это протокол (esp помойму)
еще мона 51 - ahа может скайлинк какнить исключить? для чистоты эксперимента?
арп не при чем.
Скайлинк исключил.
Не помогло.
Посмотрел, наконец-то логи циски - она рубит данное соединение из-за ACL.
Ошибка была в том, что я напутал путь по которому приходит VPN слиент.
Но т.к. тот порт закрыт по полной программе открывать все не охота, какой порт используется для данного соединения и протокол?
>Скайлинк исключил.
>Не помогло.
>Посмотрел, наконец-то логи циски - она рубит данное соединение из-за ACL.
>Ошибка была в том, что я напутал путь по которому приходит VPN
>слиент.
>Но т.к. тот порт закрыт по полной программе открывать все не охота,
>какой порт используется для данного соединения и протокол?
Для проверки открыл весь IP, но конект так и не состоялся.
Лог Циски прилагаю:Jun 19 12:26:38 IP_of_CISCO 1725475: 1w5d: ISAKMP (0:0): received packet from 83.217.46.197 dport 500 sport 500 Global (N) NEW SA
Jun 19 12:26:38 IP_of_CISCO 1725476: 1w5d: ISAKMP: Created a peer struct for 83.217.46.197, peer port 500
Jun 19 12:26:38 IP_of_CISCO 1725477: 1w5d: ISAKMP: Locking peer struct 0x6441A3F0, IKE refcount 1 for Responding to new initiation
Jun 19 12:26:38 IP_of_CISCO 1725478: 1w5d: ISAKMP: local port 500, remote port 500
Jun 19 12:26:38 IP_of_CISCO 1725479: 1w5d: ISAKMP: insert sa successfully sa = 648C1394
Jun 19 12:26:38 IP_of_CISCO 1725480: 1w5d: ISAKMP (0:1): processing SA payload. message ID = 0
Jun 19 12:26:38 IP_of_CISCO 1725481: 1w5d: ISAKMP (0:1): processing ID payload. message ID = 0
Jun 19 12:26:38 IP_of_CISCO 1725482: 1w5d: ISAKMP (0:1): ID payload
Jun 19 12:26:38 IP_of_CISCO 1725483: next-payload : 13
Jun 19 12:26:38 IP_of_CISCO 1725484: type : 11
Jun 19 12:26:38 IP_of_CISCO 1725485: group id : vpngroup
Jun 19 12:26:38 IP_of_CISCO 1725486: protocol : 17
Jun 19 12:26:38 IP_of_CISCO 1725487: port : 500
Jun 19 12:26:38 IP_of_CISCO 1725488: length : 16
Jun 19 12:26:38 IP_of_CISCO 1725489: 1w5d: ISAKMP (0:1): peer matches *none* of the profiles
Jun 19 12:26:38 IP_of_CISCO 1725490: 1w5d: ISAKMP (0:1): processing vendor id payload
Jun 19 12:26:38 IP_of_CISCO 1725491: 1w5d: ISAKMP (0:1): vendor ID seems Unity/DPD but major 215 mismatch
Jun 19 12:26:38 IP_of_CISCO 1725492: 1w5d: ISAKMP (0:1): vendor ID is XAUTH
Jun 19 12:26:38 IP_of_CISCO 1725493: 1w5d: ISAKMP (0:1): processing vendor id payload
Jun 19 12:26:38 IP_of_CISCO 1725494: 1w5d: ISAKMP (0:1): vendor ID is DPD
Jun 19 12:26:38 IP_of_CISCO 1725495: 1w5d: ISAKMP (0:1): processing vendor id payload
Jun 19 12:26:38 IP_of_CISCO 1725496: 1w5d: ISAKMP (0:1): vendor ID is Unity
Jun 19 12:26:38 IP_of_CISCO 1725497: 1w5d: ISAKMP : Scanning profiles for xauth ...
Jun 19 12:26:38 IP_of_CISCO 1725498: 1w5d: ISAKMP (0:1): Checking ISAKMP transform 1 against priority 3 policy
Jun 19 12:26:38 IP_of_CISCO 1725499: 1w5d: ISAKMP: encryption AES-CBC
Jun 19 12:26:38 IP_of_CISCO 1725500: 1w5d: ISAKMP: hash SHA
Jun 19 12:26:38 IP_of_CISCO 1725501: 1w5d: ISAKMP: default group 2
Jun 19 12:26:38 IP_of_CISCO 1725502: 1w5d: ISAKMP: auth XAUTHInitPreShared
Jun 19 12:26:38 IP_of_CISCO 1725503: 1w5d: ISAKMP: life type in seconds
Jun 19 12:26:38 IP_of_CISCO 1725504: 1w5d: ISAKMP: life duration (VPI) of
Jun 19 12:26:38 IP_of_CISCO 1725505: 0x0 0x20 0xC4 0x9B
Jun 19 12:26:38 IP_of_CISCO 1725506: 1w5d: ISAKMP: keylength of 256
Jun 19 12:26:38 IP_of_CISCO 1725507: 1w5d: ISAKMP (0:1): Encryption algorithm offered does not match policy!
Jun 19 12:26:38 IP_of_CISCO 1725508: 1w5d: ISAKMP (0:1): atts are not acceptable. Next payload is 3
Jun 19 12:26:38 IP_of_CISCO 1725509: 1w5d: ISAKMP (0:1): Checking ISAKMP transform 2 against priority 3 policy
Jun 19 12:26:38 IP_of_CISCO 1725510: 1w5d: ISAKMP: encryption AES-CBC
Jun 19 12:26:38 IP_of_CISCO 1725511: 1w5d: ISAKMP: hash MD5
Jun 19 12:26:38 IP_of_CISCO 1725512: 1w5d: ISAKMP: default group 2
Jun 19 12:26:38 IP_of_CISCO 1725513: 1w5d: ISAKMP: auth XAUTHInitPreShared
Jun 19 12:26:38 IP_of_CISCO 1725514: 1w5d: ISAKMP: life type in seconds
Jun 19 12:26:38 IP_of_CISCO 1725515: 1w5d: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B
Jun 19 12:26:38 IP_of_CISCO 1725516: 1w5d: ISAKMP: keylength of 256
Jun 19 12:26:38 IP_of_CISCO 1725517: 1w5d: ISAKMP (0:1): Encryption algorithm offered does not match policy!
Jun 19 12:26:38 IP_of_CISCO 1725518: 1w5d: ISAKMP (0:1): atts are not acceptable. Next payload is 3
Jun 19 12:26:38 IP_of_CISCO 1725519: 1w5d: ISAKMP (0:1): Checking ISAKMP transform 3 against priority 3 policy
Jun 19 12:26:38 IP_of_CISCO 1725520: 1w5d: ISAKMP: encryption AES-CBC
Jun 19 12:26:38 IP_of_CISCO 1725521: 1w5d: ISAKMP: hash SHA
Jun 19 12:26:38 IP_of_CISCO 1725522: 1w5d: ISAKMP: default group 2
Jun 19 12:26:38 IP_of_CISCO 1725523: 1w5d: ISAKMP: auth pre-share
Jun 19 12:26:38 IP_of_CISCO 1725524: 1w5d: ISAKMP: life type in seconds
Jun 19 12:26:38 IP_of_CISCO 1725525: 1w5d: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B
Jun 19 12:26:38 IP_of_CISCO 1725526: 1w5d: ISAKMP: keylength of 256
Jun 19 12:26:38 IP_of_CISCO 1725527: 1w5d: ISAKMP (0:1): Encryption algorithm offered does not match policy!
Jun 19 12:26:38 IP_of_CISCO 1725528: 1w5d: ISAKMP (0:1): atts are not acceptable. Next payload is 3
Jun 19 12:26:38 IP_of_CISCO 1725529: 1w5d: ISAKMP (0:1): Checking ISAKMP transform 4 against priority 3 policy
Jun 19 12:26:38 IP_of_CISCO 1725530: 1w5d: ISAKMP: encryption AES-CBC
Jun 19 12:26:38 IP_of_CISCO 1725531: 1w5d: ISAKMP: hash MD5
Jun 19 12:26:38 IP_of_CISCO 1725532: 1w5d: ISAKMP: default group 2
Jun 19 12:26:38 IP_of_CISCO 1725533: 1w5d: ISAKMP: auth pre-share
Jun 19 12:26:38 IP_of_CISCO 1725534: 1w5d: ISAKMP: life type in seconds
Jun 19 12:26:38 IP_of_CISCO 1725535: 1w5d: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B
Jun 19 12:26:38 IP_of_CISCO 1725536: 1w5d: ISAKMP: keylength of 256
Jun 19 12:26:38 IP_of_CISCO 1725537: 1w5d: ISAKMP (0:1): Encryption algorithm offered does not match policy!
Jun 19 12:26:38 IP_of_CISCO 1725538: 1w5d: ISAKMP (0:1): atts are not acceptable. Next payload is 3
Jun 19 12:26:38 IP_of_CISCO 1725539: 1w5d: ISAKMP (0:1): Checking ISAKMP transform 5 against priority 3 policy
Jun 19 12:26:38 IP_of_CISCO 1725540: 1w5d: ISAKMP: encryption AES-CBC
Jun 19 12:26:38 IP_of_CISCO 1725541: 1w5d: ISAKMP: hash SHA
Jun 19 12:26:38 IP_of_CISCO 1725542: 1w5d: ISAKMP: default group 2
Jun 19 12:26:38 IP_of_CISCO 1725543: 1w5d: ISAKMP: auth XAUTHInitPreShared
Jun 19 12:26:38 IP_of_CISCO 1725544: 1w5d: ISAKMP: life type in seconds
Jun 19 12:26:38 IP_of_CISCO 1725545: 1w5d: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B
Jun 19 12:26:38 IP_of_CISCO 1725546: 1w5d: ISAKMP: keylength of 128
Jun 19 12:26:38 IP_of_CISCO 1725547: 1w5d: ISAKMP (0:1): Encryption algorithm offered does not match policy!
Jun 19 12:26:38 IP_of_CISCO 1725548: 1w5d: ISAKMP (0:1): atts are not acceptable. Next payload is 3
Jun 19 12:26:38 IP_of_CISCO 1725549: 1w5d: ISAKMP (0:1): Checking ISAKMP transform 6 against priority 3 policy
Jun 19 12:26:38 IP_of_CISCO 1725550: 1w5d: ISAKMP: encryption AES-CBC
Jun 19 12:26:38 IP_of_CISCO 1725551: 1w5d: ISAKMP: hash MD5
Jun 19 12:26:38 IP_of_CISCO 1725552: 1w5d: ISAKMP: default group 2
Jun 19 12:26:38 IP_of_CISCO 1725553: 1w5d: ISAKMP: auth XAUTHInitPreShared
Jun 19 12:26:38 IP_of_CISCO 1725554: 1w5d: ISAKMP: life type in seconds
Jun 19 12:26:38 IP_of_CISCO 1725555: 1w5d: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B
Jun 19 12:26:38 IP_of_CISCO 1725556: 1w5d: ISAKMP: keylength of 128
Jun 19 12:26:38 IP_of_CISCO 1725557: 1w5d: ISAKMP (0:1): Encryption algorithm offered does not match policy!
Jun 19 12:26:38 IP_of_CISCO 1725558: 1w5d: ISAKMP (0:1): atts are not acceptable. Next payload is 3
Jun 19 12:26:38 IP_of_CISCO 1725559: 1w5d: ISAKMP (0:1): Checking ISAKMP transform 7 against priority 3 policy
Jun 19 12:26:38 IP_of_CISCO 1725560: 1w5d: ISAKMP: encryption AES-CBC
Jun 19 12:26:38 IP_of_CISCO 1725561: 1w5d: ISAKMP: hash SHA
Jun 19 12:26:38 IP_of_CISCO 1725562: 1w5d: ISAKMP: default group 2
Jun 19 12:26:38 IP_of_CISCO 1725563: 1w5d: ISAKMP: auth pre-share
Jun 19 12:26:38 IP_of_CISCO 1725564: 1w5d: ISAKMP: life type in seconds
Jun 19 12:26:38 IP_of_CISCO 1725565: 1w5d: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B
Jun 19 12:26:38 IP_of_CISCO 1725566: 1w5d: ISAKMP: keylength of 128
Jun 19 12:26:38 IP_of_CISCO 1725567: 1w5d: ISAKMP (0:1): Encryption algorithm offered does not match policy!
Jun 19 12:26:38 IP_of_CISCO 1725568: 1w5d: ISAKMP (0:1): atts are not acceptable. Next payload is 3
Jun 19 12:26:38 IP_of_CISCO 1725569: 1w5d: ISAKMP (0:1): Checking ISAKMP transform 8 against priority 3 policy
Jun 19 12:26:38 IP_of_CISCO 1725570: 1w5d: ISAKMP: encryption AES-CBC
Jun 19 12:26:38 IP_of_CISCO 1725571: 1w5d: ISAKMP: hash MD5
Jun 19 12:26:38 IP_of_CISCO 1725572: 1w5d: ISAKMP: default group 2
Jun 19 12:26:38 IP_of_CISCO 1725573: 1w5d: ISAKMP: auth pre-share
Jun 19 12:26:38 IP_of_CISCO 1725574: 1w5d: ISAKMP: life type in seconds
Jun 19 12:26:38 IP_of_CISCO 1725575: 1w5d: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B
Jun 19 12:26:38 IP_of_CISCO 1725576: 1w5d: ISAKMP: keylength of 128
Jun 19 12:26:38 IP_of_CISCO 1725577: 1w5d: ISAKMP (0:1): Encryption algorithm offered does not match policy!
Jun 19 12:26:38 IP_of_CISCO 1725578: 1w5d: ISAKMP (0:1): atts are not acceptable. Next payload is 3
Jun 19 12:26:38 IP_of_CISCO 1725579: 1w5d: ISAKMP (0:1): Checking ISAKMP transform 9 against priority 3 policy
Jun 19 12:26:38 IP_of_CISCO 1725580: 1w5d: ISAKMP: encryption 3DES-CBC
Jun 19 12:26:38 IP_of_CISCO 1725581: 1w5d: ISAKMP: hash SHA
Jun 19 12:26:38 IP_of_CISCO 1725582: 1w5d: ISAKMP: default group 2
Jun 19 12:26:38 IP_of_CISCO 1725583: 1w5d: ISAKMP: auth XAUTHInitPreShared
Jun 19 12:26:38 IP_of_CISCO 1725584: 1w5d: ISAKMP: life type in seconds
Jun 19 12:26:38 IP_of_CISCO 1725585: 1w5d: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B
Jun 19 12:26:38 IP_of_CISCO 1725586: 1w5d: ISAKMP (0:1): Xauth authentication by pre-shared key offered but does not match policy!
Jun 19 12:26:38 IP_of_CISCO 1725587: 1w5d: ISAKMP (0:1): atts are not acceptable. Next payload is 3
Jun 19 12:26:38 IP_of_CISCO 1725588: 1w5d: ISAKMP (0:1): Checking ISAKMP transform 10 against priority 3 policy
Jun 19 12:26:38 IP_of_CISCO 1725589: 1w5d: ISAKMP: encryption 3DES-CBC
Jun 19 12:26:38 IP_of_CISCO 1725590: 1w5d: ISAKMP: hash MD5
Jun 19 12:26:38 IP_of_CISCO 1725591: 1w5d: ISAKMP: default group 2
Jun 19 12:26:38 IP_of_CISCO 1725592: 1w5d: ISAKMP: auth XAUTHInitPreShared
Jun 19 12:26:38 IP_of_CISCO 1725593: 1w5d: ISAKMP: life type in seconds
Jun 19 12:26:38 IP_of_CISCO 1725594: 1w5d: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B
Jun 19 12:26:38 IP_of_CISCO 1725595: 1w5d: ISAKMP (0:1): Hash algorithm offered does not match policy!
Jun 19 12:26:38 IP_of_CISCO 1725596: 1w5d: ISAKMP (0:1): atts are not acceptable. Next payload is 3
Jun 19 12:26:38 IP_of_CISCO 1725597: 1w5d: ISAKMP (0:1): Checking ISAKMP transform 11 against priority 3 policy
Jun 19 12:26:38 IP_of_CISCO 1725598: 1w5d: ISAKMP: encryption 3DES-CBC
Jun 19 12:26:38 IP_of_CISCO 1725599: 1w5d: ISAKMP: hash SHA
Jun 19 12:26:38 IP_of_CISCO 1725600: 1w5d: ISAKMP: default group 2
Jun 19 12:26:38 IP_of_CISCO 1725601: 1w5d: ISAKMP: auth pre-share
Jun 19 12:26:38 IP_of_CISCO 1725602: 1w5d: ISAKMP: life type in seconds
Jun 19 12:26:38 IP_of_CISCO 1725603: 1w5d: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B
Jun 19 12:26:38 IP_of_CISCO 1725604: 1w5d: ISAKMP (0:1): Preshared authentication offered but does not match policy!
Jun 19 12:26:38 IP_of_CISCO 1725605: 1w5d: ISAKMP (0:1): atts are not acceptable. Next payload is 3
Jun 19 12:26:38 IP_of_CISCO 1725606: 1w5d: ISAKMP (0:1): Checking ISAKMP transform 12 against priority 3 policy
Jun 19 12:26:38 IP_of_CISCO 1725607: 1w5d: ISAKMP: encryption 3DES-CBC
Jun 19 12:26:38 IP_of_CISCO 1725608: 1w5d: ISAKMP: hash MD5
Jun 19 12:26:38 IP_of_CISCO 1725609: 1w5d: ISAKMP: default group 2
Jun 19 12:26:38 IP_of_CISCO 1725610: 1w5d: ISAKMP: auth pre-share
Jun 19 12:26:38 IP_of_CISCO 1725614: 1w5d: ISAKMP (0:1): atts are not acceptable. Next payload is 3
Jun 19 12:26:38 IP_of_CISCO 1725618: 1w5d: ISAKMP: default group 2
Jun 19 12:26:38 IP_of_CISCO 1725622: 1w5d: ISAKMP (0:1): Encryption algorithm offered does not match policy!
Jun 19 12:26:38 IP_of_CISCO 1725626: 1w5d: ISAKMP: hash MD5
Jun 19 12:26:38 IP_of_CISCO 1725630: 1w5d: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B
Jun 19 12:26:38 IP_of_CISCO 1725634: 1w5d: ISAKMP: encryption AES-CBC
Jun 19 12:26:38 IP_of_CISCO 1725641: 1w5d: ISAKMP (0:1): Encryption algorithm offered does not match policy!
Jun 19 12:26:38 IP_of_CISCO 1725647: 1w5d: ISAKMP: auth XAUTHInitPreShared
Jun 19 12:26:38 IP_of_CISCO 1725653: 1w5d: ISAKMP (0:1): Checking ISAKMP transform 3 against priority 65535 policy
Jun 19 12:26:38 IP_of_CISCO 1725659: 1w5d: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B
Jun 19 12:26:38 IP_of_CISCO 1725663: 1w5d: ISAKMP (0:1): Checking ISAKMP transform 4 against priority 65535 policy
Jun 19 12:26:38 IP_of_CISCO 1725667: 1w5d: ISAKMP: auth pre-share
Jun 19 12:26:38 IP_of_CISCO 1725671: 1w5d: ISAKMP (0:1): Encryption algorithm offered does not match policy!
Jun 19 12:26:38 IP_of_CISCO 1725676: 1w5d: ISAKMP: default group 2
Jun 19 12:26:38 IP_of_CISCO 1725679: 1w5d: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B
Jun 19 12:26:38 IP_of_CISCO 1725683: 1w5d: ISAKMP (0:1): Checking ISAKMP transform 6 against priority 65535 policy
Jun 19 12:26:38 IP_of_CISCO 1725687: 1w5d: ISAKMP: auth XAUTHInitPreShared
Jun 19 12:26:38 IP_of_CISCO 1725691: 1w5d: ISAKMP (0:1): Encryption algorithm offered does not match policy!
Jun 19 12:26:38 IP_of_CISCO 1725695: 1w5d: ISAKMP: hash SHA
Jun 19 12:26:38 IP_of_CISCO 1725699: 1w5d: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B
Jun 19 12:26:38 IP_of_CISCO 1725703: 1w5d: ISAKMP (0:1): Checking ISAKMP transform 8 against priority 65535 policy
Jun 19 12:26:38 IP_of_CISCO 1725707: 1w5d: ISAKMP: auth pre-share
Jun 19 12:26:38 IP_of_CISCO 1725711: 1w5d: ISAKMP (0:1): Encryption algorithm offered does not match policy!
Jun 19 12:26:38 IP_of_CISCO 1725715: 1w5d: ISAKMP: hash SHA
Jun 19 12:26:38 IP_of_CISCO 1725719: 1w5d: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B
Jun 19 12:26:38 IP_of_CISCO 1725723: 1w5d: ISAKMP: encryption 3DES-CBC
Jun 19 12:26:38 IP_of_CISCO 1725727: 1w5d: ISAKMP: life type in seconds
Jun 19 12:26:38 IP_of_CISCO 1725730: 1w5d: ISAKMP (0:1): atts are not acceptable. Next payload is 3
Jun 19 12:26:38 IP_of_CISCO 1725735: 1w5d: ISAKMP: auth pre-share
Jun 19 12:26:38 IP_of_CISCO 1725739: 1w5d: ISAKMP (0:1): atts are not acceptable. Next payload is 3
Jun 19 12:26:38 IP_of_CISCO 1725743: 1w5d: ISAKMP: default group 2
Jun 19 12:26:38 IP_of_CISCO 1725747: 1w5d: ISAKMP (0:1): Encryption algorithm offered does not match policy!
Jun 19 12:26:38 IP_of_CISCO 1725751: 1w5d: ISAKMP: hash MD5
Jun 19 12:26:38 IP_of_CISCO 1725755: 1w5d: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B
Jun 19 12:26:38 IP_of_CISCO 1725759: 1w5d: ISAKMP: encryption DES-CBC
Jun 19 12:26:38 IP_of_CISCO 1725763: 1w5d: ISAKMP: life type in seconds
Jun 19 12:26:38 IP_of_CISCO 1725767: 1w5d: ISAKMP (0:1): no offers accepted!
Jun 19 12:26:38 IP_of_CISCO 1725770: 1w5d: ISAKMP (0:1): Unknown Input IKE_MESG_FROM_PEER, IKE_AM_EXCH: state = IKE_READY
Jun 19 12:26:39 IP_of_CISCO 1725774: 1w5d: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at 83.217.46.19783.217.46.197 - IP Клиента!
>>Скайлинк исключил.
>>Не помогло.
>>Посмотрел, наконец-то логи циски - она рубит данное соединение из-за ACL.
>>Ошибка была в том, что я напутал путь по которому приходит VPN
>>слиент.
>>Но т.к. тот порт закрыт по полной программе открывать все не охота,
>>какой порт используется для данного соединения и протокол?
>
в списке доступа порт udp 500
и протокол 50 acess-list 120 permit 50 any anyпо логу предположительно IKE у вас не согласуется
попробуйте задать вручную несколько полисиcrypto isakmp policy 5
hash md5
authentication pre-share
crypto isakmp policy 6
hash md5
authentication pre-share
group 2
>>>Скайлинк исключил.
>>>Не помогло.
>>>Посмотрел, наконец-то логи циски - она рубит данное соединение из-за ACL.
>>>Ошибка была в том, что я напутал путь по которому приходит VPN
>>>слиент.
>>>Но т.к. тот порт закрыт по полной программе открывать все не охота,
>>>какой порт используется для данного соединения и протокол?
>>
>в списке доступа порт udp 500
>и протокол 50 acess-list 120 permit 50 any any
>
>по логу предположительно IKE у вас не согласуется
>попробуйте задать вручную несколько полиси
>
> crypto isakmp policy 5
> hash md5
> authentication pre-share
>
>
> crypto isakmp policy 6
> hash md5
> authentication pre-share
>group 2С подключением разобрался, перепутал порты в циске и конектился не к тому IP, теперь закрываю доступ т.к. сейчас ip any any.
Еще раз спасибо за инфу и помощь!
>>>>Скайлинк исключил.
>>>>Не помогло.
>>>>Посмотрел, наконец-то логи циски - она рубит данное соединение из-за ACL.
>>>>Ошибка была в том, что я напутал путь по которому приходит VPN
>>>>слиент.
>>>>Но т.к. тот порт закрыт по полной программе открывать все не охота,
>>>>какой порт используется для данного соединения и протокол?
>>>
>>в списке доступа порт udp 500
>>и протокол 50 acess-list 120 permit 50 any any
>>
>>по логу предположительно IKE у вас не согласуется
>>попробуйте задать вручную несколько полиси
>>
>> crypto isakmp policy 5
>> hash md5
>> authentication pre-share
>>
>>
>> crypto isakmp policy 6
>> hash md5
>> authentication pre-share
>>group 2
>
>С подключением разобрался, перепутал порты в циске и конектился не к тому
>IP, теперь закрываю доступ т.к. сейчас ip any any.
>Еще раз спасибо за инфу и помощь!т.е. проблема была только в портах?
>>>>>Скайлинк исключил.
>>>>>Не помогло.
>>>>>Посмотрел, наконец-то логи циски - она рубит данное соединение из-за ACL.
>>>>>Ошибка была в том, что я напутал путь по которому приходит VPN
>>>>>слиент.
>>>>>Но т.к. тот порт закрыт по полной программе открывать все не охота,
>>>>>какой порт используется для данного соединения и протокол?
>>>>
>>>в списке доступа порт udp 500
>>>и протокол 50 acess-list 120 permit 50 any any
>>>
>>>по логу предположительно IKE у вас не согласуется
>>>попробуйте задать вручную несколько полиси
>>>
>>> crypto isakmp policy 5
>>> hash md5
>>> authentication pre-share
>>>
>>>
>>> crypto isakmp policy 6
>>> hash md5
>>> authentication pre-share
>>>group 2
>>
>>С подключением разобрался, перепутал порты в циске и конектился не к тому
>>IP, теперь закрываю доступ т.к. сейчас ip any any.
>>Еще раз спасибо за инфу и помощь!
>
>т.е. проблема была только в портах?
Да, ужас! Тупо перепутал порт с которого все выходит из нас, со входящим. Все остальное было нормально. Но пока дошел до этого перепробовал все... ну вот разобрался за-то хорошо! Вся бодяга из-за невнимательности. Конечно если бы сеть строил сам, такого не было бы по определению, но тут немного другая обстановка. :)
>Да, ужас! Тупо перепутал порт с которого все выходит из нас, со
>входящим. Все остальное было нормально. Но пока дошел до этого перепробовал
>все... ну вот разобрался за-то хорошо! Вся бодяга из-за невнимательности. Конечно
>если бы сеть строил сам, такого не было бы по определению,
>но тут немного другая обстановка. :)
бывает ;)
еще совет - если клиент пойдет изза ната разрешите порт udp 4500
без ниго иногда никак
Привет! Не успел скачать! Выложи еще разок.
Спасибо!
>Привет! Не успел скачать! Выложи еще разок.
>Спасибо!
webfile.ru/992510
Извиняюсь,а еще разок книжечкой поделиться не можете? А то пропустил что-то и не скачал....
Заранее благодарен,
Дима.>Cisco Press
>The Complete Cisco VPN Configuration Guide
>Dec 2005
>.chm
>
>http://webfile.ru/983946
>Имя файла - Cisco.Press.The.Complete.Cisco.VPN.Configuration.Guide.Dec.2005.chm
>размер 14781 Кбайт.
>доступен до 16.06.2006 11:28.
>
>
>Энджой! )
Вот - webfile.ru/997124Вообще-то действительно на cisco.com есть все это, к примеру тут по теме несколько книг - http://www.cisco.com/en/US/products/hw/routers/ps341/product... , ну и поиск никто не отменял.
А вообще-то советую этот пример, тут все просто и доступно, я настроил именно по нему - http://www.cisco.com/en/US/tech/tk59/technologies_configurat...
Все, что у меня не получалось - от незнания сути.. просто не к тому порту циски конектился! В результате все заработало!!
Так что заседание считаю закрытым, списибо всем за помощь!
>Извиняюсь,
>
>а еще разок книжечкой поделиться не можете? А то пропустил что-то и
>не скачал....
>
>Заранее благодарен,
>Дима.