Cisco выступает как VPN сервер. Не получается из Windows создать VPN сессию с циской. Первая фаза проходит нормально, а вот во второй начинаются проблемы.
А чём может быть проблема?Конфиг:
Building configuration...
Current configuration : 4586 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Dasha
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
no logging console
!
no aaa new-model
!
resource policy
!
ip cef
!
ip domain name sky
ip name-server 10.10.1.254
ip name-server 10.10.1.1
ip ssh source-interface FastEthernet0/0
vpdn enable
vpdn authen-before-forward
!
voice-card 0
no dspfarm
!
username cisco privilege 15 secret 5 $1$1dI/$cEy9GZ8w5d79s0XtXIjxc1
username mitya password 0 1
!
crypto isakmp policy 3
hash md5
authentication pre-share
crypto isakmp key What address 10.10.1.3
crypto isakmp client configuration address-pool local vpnpool
!
crypto ipsec transform-set myset ah-md5-hmac esp-des esp-sha-hmac
!
crypto map shared 9 ipsec-isakmp
set peer 10.10.1.3
set transform-set myset
set pfs group1
match address 151
!
interface FastEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0/0$
ip address 10.10.21.150 255.255.255.0
duplex auto
speed auto
crypto map shared
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/3/0
shutdown
!
interface FastEthernet0/3/1
!
interface FastEthernet0/3/2
!
interface FastEthernet0/3/3
!
interface Vlan1
no ip address
!
ip local pool vpnpool 75.67.254.100 75.67.254.254
ip route 0.0.0.0 0.0.0.0 10.10.21.252
!
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
logging trap debugging
logging 10.10.21.151
access-list 23 permit 10.10.1.3
access-list 151 permit ip 10.10.21.0 0.0.0.255 10.10.1.0 0.0.0.255
access-list 151 permit ip 10.10.1.0 0.0.0.255 10.10.21.0 0.0.0.255В логах ошибка:
Feb 20 21:39:22 10.10.21.150 15219: *Feb 20 19:37:38.674: IPSEC(crypto_ipsec_process_proposal): transform proposal not supported for identity
:
Feb 20 21:39:22 10.10.21.150 15220: {ah-sha-hmac }
Feb 20 21:39:22 10.10.21.150 15221: *Feb 20 19:37:38.674: ISAKMP:(4024): IPSec policy invalidated proposal with error 256
>[оверквотинг удален]
>access-list 151 permit ip 10.10.21.0 0.0.0.255 10.10.1.0 0.0.0.255
>access-list 151 permit ip 10.10.1.0 0.0.0.255 10.10.21.0 0.0.0.255
>
>В логах ошибка:
>Feb 20 21:39:22 10.10.21.150 15219: *Feb 20 19:37:38.674: IPSEC(crypto_ipsec_process_proposal): transform proposal not
>supported for identity
>:
>Feb 20 21:39:22 10.10.21.150 15220: {ah-sha-hmac }
>Feb 20 21:39:22 10.10.21.150 15221: *Feb 20 19:37:38.674: ISAKMP:(4024): IPSec policy invalidated
>proposal with error 256на винде Cisco VPN Client? Тогда так
crypto ipsec transform-set myset esp-3des esp-sha-hmac comp-lzs
и не вижу настроек групп и групповой авторизации, вот как-то так приблизительно:
aaa new-model
aaa authentication login default local
aaa authorization exec default local
aaa authorization network groupauthor local
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group Secret_VPN_client
key Secret_VPN_key
dns 172.24.0.254 192.168.1.24
wins 172.24.3.5 192.168.1.25
domain company.local
pool ippool
acl 108
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac comp-lzs
crypto ipsec df-bit clear
!
crypto dynamic-map dynmap 10
set security-association lifetime kilobytes 46080
set security-association lifetime seconds 10800
set transform-set myset
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
>на винде Cisco VPN Client? Тогда такНет. Виндовый клиент.
Надо предоставить доступ в интернет по VPN людям, а они IP адрес настроить не умеют, не говоря уже Cisco VPN Client.
>>на винде Cisco VPN Client? Тогда так
>
>Нет. Виндовый клиент.
>Надо предоставить доступ в интернет по VPN людям, а они IP адрес
>настроить не умеют, не говоря уже Cisco VPN Client.Виндовый клиент не умеет easy vpn или lan-to-lan ipsec в чистом виде.
Он умеет только PPTP (сервером которой не умеет cisco) и L2TP over IPSEC (примерные конфигурации ниже).
На виндовом клиенте настройте:
шифрование - обязательное,
протокол - MSCHAPv2
В параметрах IPSec поставьте ключ VERYBIGSECRET
Тип VPN - L2TP IPSec VPN
IP-адрес шлюза - 10.10.21.150
логин/парольКонфигурация маршрутизатора (пишу по памяти, где-то могу ошибиться, опечататься или что-то забыть):
crypto isakmp policy 10
encr 3des
auth pre
group 2
hash shacrypto isakmp key VERYBIGSECRET addr 0.0.0.0 0.0.0.0
crypto ipsec trans 3DES_SHA esp-3des esp-sha
mode transportcrypto dynamic DYNAMIC 10
set transform-set 3DES_SHAcrypto map VPN 10 ipsec-isakmp dynamic DYNAMIC
interface fastethernet0/0
crypto map VPNvpdn enable
vpdn-group RemoteAccess
accept-dialin
protocol l2tp
virtual-template 1
no l2tp tunnel authenticationusername USER password password
ip local pool VPN 75.67.254.100 75.67.254.254
interface virtual-template 1
ip unnumbered fastethernet0/0
peer default ip addr pool VPN
ppp authentication ms-chap-v2
>>>на винде Cisco VPN Client? Тогда так
>>
>>Нет. Виндовый клиент.
>>Надо предоставить доступ в интернет по VPN людям, а они IP адрес
>>настроить не умеют, не говоря уже Cisco VPN Client.
>
>Виндовый клиент не умеет easy vpn или lan-to-lan ipsec в чистом виде.
>
>
>Он умеет только PPTP (сервером которой не умеет cisco) и L2TP overЗдрасьти :) Сервером PPTP пожалуйста, вот клиентом таки-нет.
>Здрасьти :) Сервером PPTP пожалуйста, вот клиентом таки-нет.А... точно :)
Уважаемые гуру, помогите пожалуйста человеку слабо разбирающемуся в примудростях vpn циски. У нас уволился специалист, который в них "рулит", а задачу по поддержке надо решать срочно (хоть попу рви). Ушедший чел стащил с собой 2650 и пришлось схватить под руки пустую 2811 и с распечатки набивать конфиг. Но это не суть дела. Очень прошу, помогите, дополните конфиг простейшей настройкой подключения Winдовых клиентов к WAN порту.Спасибо огромное заранее.
Current configuration : 3638 bytes
!
! Last configuration change at 16:25:34 PDT Wed May 20 2009
! NVRAM config last updated at 16:25:36 PDT Wed May 20 2009
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Cisco2800
!
boot-start-marker
boot-end-marker
!
no logging buffered
no logging console
enable password ***********
!
no aaa new-model
!
resource policy
!
clock timezone MSK 3
clock summer-time PDT recurring
ip subnet-zero
no ip source-route
!
!
ip cef
!
!
ip domain name line.internal
ip name-server 10.20.35.2
ip name-server 10.20.30.3
ip name-server 217.15.48.2
ip name-server 217.15.49.2
no ip rcmd domain-lookup
ip rcmd rsh-enable
vpdn enable
!
!
!
username *********** password 0 ************ privilege 15
!
!
class-map match-any http-hacks
match protocol http url "*default.ida"
match protocol http url "*x.ida"
match protocol http url "*.ida*"
match protocol http url "cmd.exe*"
match protocol http url "root.exe*"
match protocol http url "readme.eml*"
match protocol netbios
!
!
policy-map drop-inbound-http-hacks
class http-hacks
police 1000000 31250 31250 conform-action drop exceed-action drop violate-a
ction drop
!
!
!
interface Loopback0
no ip address
!
interface FastEthernet0/0
description WAN
ip address 89.17.48.6 255.255.255.192
ip access-group 100 in
no ip redirects
no ip proxy-arp
ip nat outside
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
description LAN
ip address 10.20.35.1 255.255.255.0
ip helper-address 10.20.30.3
no ip redirects
no ip proxy-arp
ip nat inside
duplex auto
speed auto
no cdp enable
!
ip classless
ip route 0.0.0.0 0.0.0.0 89.17.48.1
ip route 10.20.30.0 255.255.255.0 10.20.35.2 permanent
ip route 10.20.255.0 255.255.255.0 Null0
!
ip http server
ip nat translation timeout 3600
ip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source list 101 interface FastEthernet0/0 overload
ip nat inside source static tcp 10.20.35.2 1723 89.17.48.6 1723 extendable
ip nat inside source static 10.20.30.90 89.17.48.38
ip nat inside source static 10.20.30.5 89.17.48.40 extendable
!
access-list 1 permit 10.20.30.0 0.0.0.255
access-list 1 permit 10.20.35.0 0.0.0.255
access-list 100 permit udp any host 89.17.48.6 eq domain
access-list 100 permit tcp any host 89.17.48.40 eq smtp
access-list 100 permit tcp any any
access-list 100 permit ip any any
access-list 101 deny tcp host 10.20.35.2 eq 1723 any
access-list 101 deny ip host 10.20.30.90 any
access-list 101 permit ip 10.20.30.0 0.0.0.255 any
access-list 101 permit ip 10.20.35.0 0.0.0.255 any
access-list 101 deny ip host 10.20.30.5 any
no cdp run
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
password ************
login
!
scheduler allocate 20000 1000
ntp clock-period 17180203
ntp source FastEthernet0/0
ntp update-calendar
ntp server 195.68.135.5 source FastEthernet0/0 prefer
ntp server 193.79.237.14
ntp server 195.2.64.5
ntp server 193.190.230.65
ntp server 192.36.143.151
!
end
Вот значится... почитал внимательно форум, изучил доки по CISCO... Навоял конфиг. Вроде подключается (в порт по крайней мере пускает).Будьте добры, гляньте-а... Потыкайте мортой ламера в его ошибки :-)
Current configuration : 3975 bytes
!
! Last configuration change at 11:41:20 PDT Thu May 21 2009
! NVRAM config last updated at 11:41:22 PDT Thu May 21 2009
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Cisco2800
!
boot-start-marker
boot-end-marker
!
no logging buffered
no logging console
enable password ***********
!
no aaa new-model
!
resource policy
!
clock timezone MSK 3
clock summer-time PDT recurring
ip subnet-zero
no ip source-route
!
!
ip cef
!
!
ip domain name line.internal
ip name-server 10.20.35.2
ip name-server 10.20.30.3
ip name-server 217.15.48.2
ip name-server 217.15.49.2
no ip rcmd domain-lookup
ip rcmd rsh-enable
vpdn enable
!
vpdn-group pptp-serv
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
!
username ************ password 0 ******** privilege 15
!
!
class-map match-any http-hacks
match protocol http url "*default.ida"
match protocol http url "*x.ida"
match protocol http url "*.ida*"
match protocol http url "cmd.exe*"
match protocol http url "root.exe*"
match protocol http url "readme.eml*"
match protocol netbios
!
!
policy-map drop-inbound-http-hacks
class http-hacks
police 1000000 31250 31250 conform-action drop exceed-action drop violate-a
ction drop
!
!
!
interface Loopback0
no ip address
!
interface FastEthernet0/0
description WAN
ip address 89.17.48.40 255.255.255.192 secondary
ip address 89.17.48.38 255.255.255.192 secondary
ip address 89.17.48.6 255.255.255.192
ip access-group 100 in
no ip redirects
no ip proxy-arp
ip nat outside
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
description LAN
ip address 10.20.35.1 255.255.255.0
ip helper-address 10.20.30.3
no ip redirects
no ip proxy-arp
ip nat inside
ip policy route-map trаcking
duplex auto
speed auto
no cdp enable
!
interface Virtual-Template1
mtu 1492
ip unnumbered FastEthernet0/1
ip mroute-cache
peer default ip address pool VPN
ppp authentication ms-chap ms-chap-v2
ppp ipcp dns 10.20.30.3
ppp ipcp mask 255.255.255.0
!
ip local pool VPN 89.17.48.41 89.17.48.43
ip classless
ip route 0.0.0.0 0.0.0.0 89.17.48.1
ip route 10.20.30.0 255.255.255.0 10.20.35.2 permanent
ip route 10.20.255.0 255.255.255.0 Null0
!
ip http server
ip nat translation timeout 3600
ip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source list 101 interface FastEthernet0/0 overload
ip nat inside source static tcp 10.20.35.2 1723 89.17.48.6 1723 extendable
ip nat inside source static 10.20.30.90 89.17.48.38 extendable
ip nat inside source static 10.20.30.5 89.17.48.40 extendable
!
access-list 1 permit 10.20.30.0 0.0.0.255
access-list 1 permit 10.20.35.0 0.0.0.255
access-list 100 permit udp any host 89.17.48.6 eq domain
access-list 100 permit tcp any host 89.17.48.40 eq smtp
access-list 100 permit tcp any any
access-list 100 permit ip any any
access-list 101 deny tcp host 10.20.35.2 eq 1723 any
access-list 101 deny ip host 10.20.30.90 any
access-list 101 permit ip 10.20.30.0 0.0.0.255 any
access-list 101 permit ip 10.20.35.0 0.0.0.255 any
access-list 101 deny ip host 10.20.30.5 any
access-list 102 permit ip 10.20.30.0 0.0.0.255 89.17.48.0 0.0.0.255
snmp-server community public RO
snmp-server community private RW
snmp-server community SNMP_Community RO
snmp-server location Engineering Dept., Floor4, Office 6, Krasnoproletarskay St.
, 16, Building 3
snmp-server contact line-invest.ru, Cisco2800, Moscow, (495) 645-0085
snmp-server system-shutdown
no cdp run
route-map tracking permit 10
match ip address 102
set interface Virtual-Template1
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
password ********
login
!
scheduler allocate 20000 1000
ntp clock-period 17180203
ntp source FastEthernet0/0
ntp update-calendar
ntp server 195.68.135.5 source FastEthernet0/0 prefer
ntp server 193.79.237.14
ntp server 195.2.64.5
ntp server 193.190.230.65
ntp server 192.36.143.151
!
end
Спасибо! Cisco VPN Client работает без проблем. А вот с Windows пока трабла. Буду разбираться.
>Спасибо! Cisco VPN Client работает без проблем. А вот с Windows пока
>трабла. Буду разбираться.
>Нет. Виндовый клиент.
>Надо предоставить доступ в интернет по VPN людям, а они IP адрес настроить не умеют, не >говоря уже Cisco VPN Client.А зачем его настраивать ? :)) Вы можете создать готовый файл конфигурации (профиль) для Ваших клиентов. В доке это все есть. А при установке клиент и вопросов-то особо не задает.
>А зачем его настраивать ? :)) Вы можете создать готовый файл конфигурации
>(профиль) для Ваших клиентов. В доке это все есть. А при
>установке клиент и вопросов-то особо не задает.Cisco client не умеет запоминать пароли.
>Cisco client не умеет запоминать пароли.Неправда ваша. Умеет. Но эта возможность включается на easy vpn сервере. И по умолчанию в целях безопасности она отключена.
>>Cisco client не умеет запоминать пароли.
>
>Неправда ваша. Умеет. Но эта возможность включается на easy vpn сервере. И
>по умолчанию в целях безопасности она отключена.Это где? Можно подробнее пожалуйста.
>>>Cisco client не умеет запоминать пароли.
>>
>>Неправда ваша. Умеет. Но эта возможность включается на easy vpn сервере. И
>>по умолчанию в целях безопасности она отключена.
>
>Это где? Можно подробнее пожалуйста.Ещё я не могу добиться от Cisco VPN Client предоставить доступ к локальным ресурсам. Соклько птицу Allow Local Acces не ставил - не помогает.
>>Это где? Можно подробнее пожалуйста.В настройках группы пишете
"save-password"
>Ещё я не могу добиться от Cisco VPN Client предоставить доступ к
>локальным ресурсам. Соклько птицу Allow Local Acces не ставил - не
>помогает.Не понятно о чем речь? WINS? Реверсивный маршрут? Локальным ресурсам чего?
>>Ещё я не могу добиться от Cisco VPN Client предоставить доступ к
>>локальным ресурсам. Соклько птицу Allow Local Acces не ставил - не
>>помогает.
>
>Не понятно о чем речь? WINS? Реверсивный маршрут? Локальным ресурсам чего?Сеть 10.10.1.0/24
Подключаюсь клиентом, мне выдается IP, допустим, 77.222.144.35.
Когда я набираю ping 10.10.1.1 - к локальным ресурсам доступа нет.
>[оверквотинг удален]
>>>локальным ресурсам. Соклько птицу Allow Local Acces не ставил - не
>>>помогает.
>>
>>Не понятно о чем речь? WINS? Реверсивный маршрут? Локальным ресурсам чего?
>
>Сеть 10.10.1.0/24
>
>Подключаюсь клиентом, мне выдается IP, допустим, 77.222.144.35.
>
>Когда я набираю ping 10.10.1.1 - к локальным ресурсам доступа нет.А split-tunnel настроен?
>[оверквотинг удален]
>>>локальным ресурсам. Соклько птицу Allow Local Acces не ставил - не
>>>помогает.
>>
>>Не понятно о чем речь? WINS? Реверсивный маршрут? Локальным ресурсам чего?
>
>Сеть 10.10.1.0/24
>
>Подключаюсь клиентом, мне выдается IP, допустим, 77.222.144.35.
>
>Когда я набираю ping 10.10.1.1 - к локальным ресурсам доступа нет.копать в сторону split-routing и смотреть что бы маршрутизатор знал маршрут до vpn-клиента
>копать в сторону split-routing и смотреть что бы маршрутизатор знал маршрут до
>vpn-клиентаА причем тут spli-routing? Я так понимаю. При создании VPN сесси у меня два подключения. Одно по локалке, а другое VPN. На локалке настроени IP 10.10.1.15. Следовательно, если я хочу доступ к 10,10,1,3 он должен меня направить в локалку. А он почему-то направляет меня по VPN интерфейсу. Или я неправильно мыслю?
>>копать в сторону split-routing и смотреть что бы маршрутизатор знал маршрут до
>>vpn-клиента
>
>А причем тут spli-routing? Я так понимаю. При создании VPN сесси у
>меня два подключения. Одно по локалке, а другое VPN. На локалке
>настроени IP 10.10.1.15. Следовательно, если я хочу доступ к 10,10,1,3 он
>должен меня направить в локалку. А он почему-то направляет меня по
>VPN интерфейсу. Или я неправильно мыслю?именно неправильно
посмотрите таблицу маршрутизации после поднятия VPN и все станет ясно
>>Cisco client не умеет запоминать пароли.
>
>Неправда ваша. Умеет. Но эта возможность включается на easy vpn сервере. И
>по умолчанию в целях безопасности она отключена.еще он легко запоминается если файл профиля сделать read-only, предварительно прописав пароль. Это особено актуально для платформ где easy vpn еще не поддерживает опции сохранения пароля на клиенте
>>>Cisco client не умеет запоминать пароли.
>>
>>Неправда ваша. Умеет. Но эта возможность включается на easy vpn сервере. И
>>по умолчанию в целях безопасности она отключена.
>
>еще он легко запоминается если файл профиля сделать read-only, предварительно прописав пароль.
>Это особено актуально для платформ где easy vpn еще не поддерживает
>опции сохранения пароля на клиентеТак да. Но если народец бестолковый? Возьмет винду переставит... и тогда пока к нему не приедешь, он ничего сам сделать не сможет.
>[оверквотинг удален]
>>>
>>>Неправда ваша. Умеет. Но эта возможность включается на easy vpn сервере. И
>>>по умолчанию в целях безопасности она отключена.
>>
>>еще он легко запоминается если файл профиля сделать read-only, предварительно прописав пароль.
>>Это особено актуально для платформ где easy vpn еще не поддерживает
>>опции сохранения пароля на клиенте
>
>Так да. Но если народец бестолковый? Возьмет винду переставит... и тогда пока
>к нему не приедешь, он ничего сам сделать не сможет.это издержки :)
Замучался совсем уже. Помогите пожлайуста. Не получается виндовым клиентом подключиться к Cisco, хоть тресни.На Windows клиенте:
шифрование - обязательное,
протокол - MSCHAPv2
В параметрах IPSec ставлю ключ VERYBIGSECRET
Тип VPN - L2TP IPSec VPN (или PPTP VPN)
IP-адрес шлюза - 10.10.21.150
логин/парольКонфигурация маршрутизатора:
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Dasha
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
no logging console
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp ms-chap-v2 local
aaa authorization network default if-authenticated
!
aaa session-id common
!
resource policy
!
!
!
ip cef
!
!
ip domain name sky
ip name-server 10.10.1.254
ip name-server 10.10.1.1
ip ssh source-interface FastEthernet0/0
vpdn enable
!
vpdn-group VPDN-L2TP
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 2
lcp renegotiation on-mismatch
l2tp security crypto-profile L2TP
no l2tp tunnel authentication
ip pmtu
ip mtu adjust
!
vpdn-group VPDN-PPTP
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
pptp tunnel echo 10
ip pmtu
ip mtu adjust
!
voice-card 0
no dspfarm
!
username cisco privilege 15 secret 5 $1$1dI/$cEy9GZ8w5d79s0XtXIjxc1
username mitya privilege 15 password 0 1
!
crypto isakmp policy 100
encr 3des
authentication pre-share
group 2
crypto isakmp key VERYBIGSECRET address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set L2TP esp-des esp-md5-hmac
mode transport
!
crypto map L2TP 100 ipsec-isakmp profile L2TP
set transform-set L2TP
!
interface FastEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0/0$
ip address 10.10.21.150 255.255.255.0
duplex auto
speed auto
crypto map L2TP
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/3/0
shutdown
!
interface FastEthernet0/3/1
!
interface FastEthernet0/3/2
!
interface FastEthernet0/3/3
!
interface Virtual-Template1
ip address 193.188.253.100 255.255.255.0
ip virtual-reassembly
autodetect encapsulation ppp
no peer default ip address
ppp encrypt mppe auto
ppp authentication ms-chap-v2
!
interface Virtual-Template2
ip address 193.188.253.100 255.255.255.0
ip virtual-reassembly
autodetect encapsulation ppp
no peer default ip address
ppp authentication ms-chap-v2
!
interface Vlan1
no ip address
!
ip local pool vpnpool 193.188.254.100 193.188.254.254
ip route 0.0.0.0 0.0.0.0 10.10.21.252
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
logging trap debugging
logging 10.10.21.151
access-list 23 permit 10.10.1.3
!При L2TP IPSec VPN выскакивает окошко "Ошибка шифрования данных при попытке подключения" (в логах циски ничего).
При PPTP VPN думает (в логах циски авторизация и аутентификация ОК) и выдаёт "Модем или другое устройство связи сообщило об ошибке".
>[оверквотинг удален]
>!
>logging trap debugging
>logging 10.10.21.151
>access-list 23 permit 10.10.1.3
>!
>
>При L2TP IPSec VPN выскакивает окошко "Ошибка шифрования данных при попытке подключения"
>(в логах циски ничего).
>При PPTP VPN думает (в логах циски авторизация и аутентификация ОК) и
>выдаёт "Модем или другое устройство связи сообщило об ошибке".без шифрования подключается?
поробуй явно задать тип шифрования на циске
а вообще я у себя смог побороть такое только подбором IOS
>без шифрования подключается?
>поробуй явно задать тип шифрования на циске
>а вообще я у себя смог побороть такое только подбором IOSДа не хочет никак эта зараза подключиться к кошке.
У меня IOS 12.4(9). У кого-то виндовым клентом получилось подключиться к циске?
>interface virtual-template 1
>ip unnumbered fastethernet0/0
>peer default ip addr pool VPN
>ppp authentication ms-chap-v2в конфиге интерфейса virtual-template 1 нет команд peer и ppp
что-то тут неправильно!
я имел секс с этим, ничего не вышло, пришлось учить юзеров пользоваться Cisco VPN Client
>>interface virtual-template 1
>>ip unnumbered fastethernet0/0
>>peer default ip addr pool VPN
>>ppp authentication ms-chap-v2
> в конфиге интерфейса virtual-template 1 нет команд peer и ppp
> что-то тут неправильно!Вставали-с на эти грабли. Юзайте Virtual-Template 10.
>>>interface virtual-template 1
>>>ip unnumbered fastethernet0/0
>>>peer default ip addr pool VPN
>>>ppp authentication ms-chap-v2
>> в конфиге интерфейса virtual-template 1 нет команд peer и ppp
>> что-то тут неправильно!
> Вставали-с на эти грабли. Юзайте Virtual-Template 10.Вот спасибо! 2 недели мучился.