Есть проблема сделать туннель с удаленной точкой по L2TP, которая подключена через cdma. Вся проблема в том, что этот cdma (neoport, port 2-e) умеет пропускать только udp/tcp пакеты и пробрасывать порты tcp/udp. к сдма подключен комп с winXPсхема следующая:
cisco851 (ип aa.aa.aa.aa)
|
cdma роутер
|
winxp(ип cc.cc.cc.cc)на winxp настроил все как показано на
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...пытаюсь поднять соединение ругается, что такое имя не допустимо в домене %) по сниферу, который стоит на winxp пакеты l2tp бегают в обе стороны.
в цисках не особо силен, поэтому грешу на циску тоже. Кто уже сталкивался с подобным? Или знает где описана подобная ситуация.
конфиг cisco851:version 12.4
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname cisco831ATM
!
boot-start-marker
boot-end-marker
!
no logging buffered
!
no aaa new-model
!
resource policy
!
ip cef
ip name-server aa.aa.aa.aa
!
vpdn enable
!
vpdn-group 1
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 1
no l2tp tunnel authentication
!
crypto isakmp policy 1
hash md5
authentication pre-share
lifetime 3600crypto isakmp key ATMrun220 address cc.cc.cc.cc
!
crypto ipsec transform-set L2TP-crypt esp-des esp-md5-hmac
mode transport
!
crypto map Main 1 ipsec-isakmp
set peer cc.cc.cc.cc
set transform-set L2TP-crypt
match address 101
!
!
interface Ethernet0
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no ip mroute-cache
no cdp enable
hold-queue 32 in
!
interface Ethernet1
ip address aa.aa.aa.aa 255.255.255.0
ip nat outside
no ip virtual-reassembly
no ip mroute-cache
duplex auto
no cdp enable
crypto map Main
!
interface Ethernet2
no ip address
shutdown
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
interface Virtual-Template1
ip unnumbered Ethernet1
no ip route-cache cef
no ip route-cache
peer default ip address pool mypool
fair-queue
ppp authentication chap!
ip route 0.0.0.0 0.0.0.0 gg.gg.gg.gg
ip local pool mypool 10.73.100.1 10.73.100.10
no ip http server
ip http secure-server
!
!
access-list 101 permit tcp host aa.aa.aa.aa host cc.cc.cc.cc
access-list 101 permit udp host aa.aa.aa.aa host cc.cc.cc.cc
no cdp run
!
control-plane
!
!
line con 0
exec-timeout 120 0
no modem enable
transport output all
stopbits 1
line aux 0
transport output all
line vty 0 4
exec-timeout 120 0
login local
length 0
transport input all
transport output all
!
scheduler max-task-time 5000
end
покурил настройки и пришел к следующему:
в настройках соединения на винде в секьюрити. если ставить chap то выдает 691: Access denied because username and/or password is invalid on the domain.
если ставить MS-CHAP
734: The PPP Link Control Protocol Was Terminated
%) что ближе к правде? я так понимаю не совпадают типа шифрования. но я их проверил уже раз 10. все совпадает. в чем могут быть проблемы?
>Есть проблема сделать туннель с удаленной точкой по L2TP, которая подключена через
>cdma. Вся проблема в том, что этот cdma (neoport, port 2-e)
>умеет пропускать только udp/tcp пакеты и пробрасывать порты tcp/udp. к сдма
>подключен комп с winXP
>
>схема следующая:
>cisco851 (ип aa.aa.aa.aa)
>|
>cdma роутер
>|
>winxp(ип cc.cc.cc.cc)
>
>на winxp настроил все как показано на
>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
>
>пытаюсь поднять соединение ругается, что такое имя не допустимо в домене %)
>по сниферу, который стоит на winxp пакеты l2tp бегают в обе
>стороны.
>
>в цисках не особо силен, поэтому грешу на циску тоже. Кто уже
>сталкивался с подобным? Или знает где описана подобная ситуация.
>
>
>конфиг cisco851:
>
>version 12.4
>no service pad
>service timestamps debug uptime
>service timestamps log uptime
>no service password-encryption
>!
>hostname cisco831ATM
>!
>boot-start-marker
>boot-end-marker
>!
>no logging buffered
>!
>no aaa new-model
>!
>resource policy
>!
>ip cef
>ip name-server aa.aa.aa.aa
>!
>vpdn enable
>!
>vpdn-group 1
>! Default L2TP VPDN group
>accept-dialin
>protocol l2tp
>virtual-template 1
>no l2tp tunnel authentication
>!
>crypto isakmp policy 1
>hash md5
>authentication pre-share
>lifetime 3600
>
>crypto isakmp key ATMrun220 address cc.cc.cc.cc
>!
>crypto ipsec transform-set L2TP-crypt esp-des esp-md5-hmac
>mode transport
>!
>crypto map Main 1 ipsec-isakmp
>set peer cc.cc.cc.cc
>set transform-set L2TP-crypt
>match address 101
>!
>!
>interface Ethernet0
>ip address 10.10.10.1 255.255.255.0
>ip nat inside
>ip virtual-reassembly
>no ip mroute-cache
>no cdp enable
>hold-queue 32 in
>!
>interface Ethernet1
>ip address aa.aa.aa.aa 255.255.255.0
>ip nat outside
>no ip virtual-reassembly
>no ip mroute-cache
>duplex auto
>no cdp enable
>crypto map Main
>!
>interface Ethernet2
>no ip address
>shutdown
>!
>interface FastEthernet1
>duplex auto
>speed auto
>!
>interface FastEthernet2
>duplex auto
>speed auto
>!
>interface FastEthernet3
>duplex auto
>speed auto
>!
>interface FastEthernet4
>duplex auto
>speed auto
>!
>interface Virtual-Template1
> ip unnumbered Ethernet1
> no ip route-cache cef
> no ip route-cache
> peer default ip address pool mypool
> fair-queue
> ppp authentication chap
>
>!
>ip route 0.0.0.0 0.0.0.0 gg.gg.gg.gg
>ip local pool mypool 10.73.100.1 10.73.100.10
>no ip http server
>ip http secure-server
>!
>!
>access-list 101 permit tcp host aa.aa.aa.aa host cc.cc.cc.cc
>access-list 101 permit udp host aa.aa.aa.aa host cc.cc.cc.cc
>no cdp run
>!
>control-plane
>!
>!
>line con 0
>exec-timeout 120 0
>no modem enable
>transport output all
>stopbits 1
>line aux 0
>transport output all
>line vty 0 4
>exec-timeout 120 0
>login local
>length 0
>transport input all
>transport output all
>!
>scheduler max-task-time 5000
>end
>
>
>покурил настройки и пришел к следующему:
>
>
>в настройках соединения на винде в секьюрити. если ставить chap то выдает
>691: Access denied because username and/or password is invalid on the
>domain.
>если ставить MS-CHAP
>734: The PPP Link Control Protocol Was Terminated
>%) что ближе к правде? я так понимаю не совпадают типа шифрования.
>но я их проверил уже раз 10. все совпадает. в чем
>могут быть проблемы?так у вас так и указано что no aaa new-model
потому и ругаеться! настройти нармально ааат и все будет намано!