URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 15703
[ Назад ]

Исходное сообщение
"Вопрос по транспортному VPN"
Отправлено велин , 06-Мрт-08 01:41

Приветствую.
Объясните чайнику. В офисе есть циска 1841. Хочеться поднять VPN между моим домашним компьютером и циской. Что в данном случае лучше пытаться организовать, PPTP или IPSec в транспортном режиме? На циске IPSec в транспортном режиме я скорее всего смогу поднять сам. А вот что надо иметь или сделать на компе для этого (ось Windows XP)? Я слышал у циски есть какой-то свой клиент, специально предназначенный для этого, но у меня его нет, к сожалению. Может быть кто-нибудь поделиться им, если он мне конечно нужен и поможет?
Или есть какой-то другой вариант?
Заранее благодарен за любой совет.

Содержание

Вопрос по транспортному VPN,CrAzOiD, 08:45 , 06-Мрт-08
- Вопрос по транспортному VPN,велин, 01:08 , 10-Мрт-08
  - Вопрос по транспортному VPN,darksid, 08:50 , 10-Мрт-08
- Вопрос по транспортному VPN,bda, 19:29 , 10-Мрт-08
  - Вопрос по транспортному VPN,darksid, 19:37 , 10-Мрт-08
    - Вопрос по транспортному VPN,bda, 19:39 , 10-Мрт-08
  - Вопрос по транспортному VPN,CrAzOiD, 01:58 , 11-Мрт-08
    - Вопрос по транспортному VPN,bda, 23:41 , 12-Мрт-08
      - Вопрос по транспортному VPN,велин, 00:31 , 13-Мрт-08
        
        Вопрос по транспортному VPN,oleg_matroskin, 05:55 , 13-Мрт-08
      - Вопрос по транспортному VPN,CrAzOiD, 09:03 , 13-Мрт-08
        
        Вопрос по транспортному VPN,велин, 10:48 , 13-Мрт-08
        
        Вопрос по транспортному VPN,CrAzOiD, 12:52 , 13-Мрт-08
Вопрос по транспортному VPN,bda, 00:39 , 15-Мрт-08
- Вопрос по транспортному VPN,bda_ext, 07:58 , 17-Мрт-08
- Вопрос по транспортному VPN,philippov, 19:17 , 17-Мрт-08
  - Вопрос по транспортному VPN,bda, 22:07 , 17-Мрт-08
    - Вопрос по транспортному VPN,philippov, 22:37 , 17-Мрт-08
Вопрос по транспортному VPN,bda, 14:10 , 15-Мрт-08
- Вопрос по транспортному VPN,CrAzOiD, 19:28 , 15-Мрт-08
  - Вопрос по транспортному VPN,bda, 20:14 , 15-Мрт-08
    - Вопрос по транспортному VPN,CrAzOiD, 20:17 , 15-Мрт-08
      - Вопрос по транспортному VPN,bda, 21:27 , 15-Мрт-08
        
        Вопрос по транспортному VPN,CrAzOiD, 21:42 , 15-Мрт-08
        
        Вопрос по транспортному VPN,bda, 21:50 , 15-Мрт-08
        
        Вопрос по транспортному VPN,CrAzOiD, 22:37 , 15-Мрт-08
        
        Вопрос по транспортному VPN,bda, 18:23 , 16-Мрт-08
        
        Вопрос по транспортному VPN,darksid, 18:52 , 16-Мрт-08
        
        Вопрос по транспортному VPN,bda, 21:27 , 16-Мрт-08
Вопрос по транспортному VPN,bda, 02:57 , 18-Мрт-08
- Вопрос по транспортному VPN,Valeriy Babich, 15:38 , 19-Мрт-08
  - Вопрос по транспортному VPN,bda, 22:49 , 19-Мрт-08
    - Вопрос по транспортному VPN,CrAzOiD, 02:35 , 20-Мрт-08
    - Вопрос по транспортному VPN,KiM, 08:34 , 20-Мрт-08

Сообщения в этом обсуждении

"Вопрос по транспортному VPN"
Отправлено CrAzOiD , 06-Мрт-08 08:45

>[оверквотинг удален]
>Объясните чайнику. В офисе есть циска 1841. Хочеться поднять VPN между моим
>домашним компьютером и циской. Что в данном случае лучше пытаться организовать,
>PPTP или IPSec в транспортном режиме? На циске IPSec в транспортном
>режиме я скорее всего смогу поднять сам. А вот что надо
>иметь или сделать на компе для этого (ось Windows XP)? Я
>слышал у циски есть какой-то свой клиент, специально предназначенный для этого,
>но у меня его нет, к сожалению. Может быть кто-нибудь поделиться
>им, если он мне конечно нужен и поможет?
>Или есть какой-то другой вариант?
>Заранее благодарен за любой совет.
1. Eazyvpn на 1811 + Cisco VPN Client
2. PPTP на 1811 + встроенный клиент в Win
во втором случае есть свои ограничения связанные с маршрутизацией
цисковский клиент гуглицо

"Вопрос по транспортному VPN"
Отправлено велин , 10-Мрт-08 01:08

>[оверквотинг удален]
>>слышал у циски есть какой-то свой клиент, специально предназначенный для этого,
>>но у меня его нет, к сожалению. Может быть кто-нибудь поделиться
>>им, если он мне конечно нужен и поможет?
>>Или есть какой-то другой вариант?
>>Заранее благодарен за любой совет.
>
>1. Eazyvpn на 1811 + Cisco VPN Client
>2. PPTP на 1811 + встроенный клиент в Win
>во втором случае есть свои ограничения связанные с маршрутизацией
>цисковский клиент гуглицо
А цисковский VPN клиент не потребует случайно каких-нибудь ключей для использования или регистрации у cisco ?

"Вопрос по транспортному VPN"
Отправлено darksid , 10-Мрт-08 08:50

>[оверквотинг удален]
>>>Или есть какой-то другой вариант?
>>>Заранее благодарен за любой совет.
>>
>>1. Eazyvpn на 1811 + Cisco VPN Client
>>2. PPTP на 1811 + встроенный клиент в Win
>>во втором случае есть свои ограничения связанные с маршрутизацией
>>цисковский клиент гуглицо
>
>А цисковский VPN клиент не потребует случайно каких-нибудь ключей для использования или
>регистрации у cisco ?
снет. им же надо продвигать свою технологию:)

"Вопрос по транспортному VPN"
Отправлено bda , 10-Мрт-08 19:29

>[оверквотинг удален]
>>слышал у циски есть какой-то свой клиент, специально предназначенный для этого,
>>но у меня его нет, к сожалению. Может быть кто-нибудь поделиться
>>им, если он мне конечно нужен и поможет?
>>Или есть какой-то другой вариант?
>>Заранее благодарен за любой совет.
>
>1. Eazyvpn на 1811 + Cisco VPN Client
>2. PPTP на 1811 + встроенный клиент в Win
>во втором случае есть свои ограничения связанные с маршрутизацией
>цисковский клиент гуглицо
По первому варианту - можно по-подробнее пожалуйста?

"Вопрос по транспортному VPN"
Отправлено darksid , 10-Мрт-08 19:37

>[оверквотинг удален]
>>>им, если он мне конечно нужен и поможет?
>>>Или есть какой-то другой вариант?
>>>Заранее благодарен за любой совет.
>>
>>1. Eazyvpn на 1811 + Cisco VPN Client
>>2. PPTP на 1811 + встроенный клиент в Win
>>во втором случае есть свои ограничения связанные с маршрутизацией
>>цисковский клиент гуглицо
>
>По первому варианту - можно по-подробнее пожалуйста?
никогда не поднимал но завтра думаю что смогу написать как это делать:)

"Вопрос по транспортному VPN"
Отправлено bda , 10-Мрт-08 19:39

>[оверквотинг удален]
>>>
>>>1. Eazyvpn на 1811 + Cisco VPN Client
>>>2. PPTP на 1811 + встроенный клиент в Win
>>>во втором случае есть свои ограничения связанные с маршрутизацией
>>>цисковский клиент гуглицо
>>
>>По первому варианту - можно по-подробнее пожалуйста?
>
>никогда не поднимал но завтра думаю что смогу написать как это делать:)
>
благодарю, и очень ожидаю... Просто у меня возникали большие проблемы с cisco vpn-клиентом, правда аппарат был 2801 в качестве концентратора, и пытался я поднять ipsec remote access vpn... Большого толка не вышло...

"Вопрос по транспортному VPN"
Отправлено CrAzOiD , 11-Мрт-08 01:58

>[оверквотинг удален]
>>>им, если он мне конечно нужен и поможет?
>>>Или есть какой-то другой вариант?
>>>Заранее благодарен за любой совет.
>>
>>1. Eazyvpn на 1811 + Cisco VPN Client
>>2. PPTP на 1811 + встроенный клиент в Win
>>во втором случае есть свои ограничения связанные с маршрутизацией
>>цисковский клиент гуглицо
>
>По первому варианту - можно по-подробнее пожалуйста?
В смысле пример привести?
Ну как-то так:
========================
aaa new-model
aaa authentication login userauthen group radius
aaa authentication ppp default if-needed group radius local
aaa authorization network groupauthor local
aaa session-id common
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group SECRET_GROUP
key SECRET_KEY
dns 172.24.0.254 192.168.1.24
wins 172.24.3.5 192.168.1.25
domain company.loc
pool ippool
acl 108
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac comp-lzs
crypto ipsec df-bit clear
!
crypto dynamic-map dynmap 10
set security-association lifetime kilobytes 46080
set security-association lifetime seconds 10800
set transform-set myset
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
interface Ethernet0/0
ip address xxx.xxx.xxx.xxx 255.255.255.224
crypto map clientmap
!
ip local pool ippool 192.168.5.1 192.168.5.20
!
access-list 108 permit ip 172.24.0.0 0.0.255.255 192.168.5.0 0.0.0.255
!
radius-server host 172.24.3.5 auth-port 1645 acct-port 1646 key
radius-server host 172.24.1.2 auth-port 1645 acct-port 1646 key
========
и не забыть про маршрутизацию клиентских подключений, т.е. 192.168.5.х куда требуется
Это вариант с PSK и авторизацией через внешний радиус

"Вопрос по транспортному VPN"
Отправлено bda , 12-Мрт-08 23:41

>[оверквотинг удален]
>ip local pool ippool 192.168.5.1 192.168.5.20
>!
>access-list 108 permit ip 172.24.0.0 0.0.255.255 192.168.5.0 0.0.0.255
>!
>radius-server host 172.24.3.5 auth-port 1645 acct-port 1646 key
>radius-server host 172.24.1.2 auth-port 1645 acct-port 1646 key
>
>========
>и не забыть про маршрутизацию клиентских подключений, т.е. 192.168.5.х куда требуется
>Это вариант с PSK и авторизацией через внешний радиус
Спасибо за пример... Но много непонятного. Если можно - по-порядку:
1. Что такое "PSK"?
2. Для чего 108-ой ACL? Если это роут, то что такое 192.168.5.0 0.0.0.255?
3. Зачем df-bit clear?
4. Какой радиус у вас использовался? Так, для интереса...5
5. Ваш последний комментарий, не понял, наверное из-за того что непонятен момент в п.2

"Вопрос по транспортному VPN"
Отправлено велин , 13-Мрт-08 00:31

>[оверквотинг удален]
>
>Спасибо за пример... Но много непонятного. Если можно - по-порядку:
>
>1. Что такое "PSK"?
>2. Для чего 108-ой ACL? Если это роут, то что такое 192.168.5.0
>0.0.0.255?
>3. Зачем df-bit clear?
>4. Какой радиус у вас использовался? Так, для интереса...5
>5. Ваш последний комментарий, не понял, наверное из-за того что непонятен момент
>в п.2
1. У меня есть предположение, что это pre-share key, но сильно не уверен в этом.
2. Здесь как раз частично понятно. Циска этот список доступа называет split tunneling, как это красиво сказать по-русский - я хз. Но вот мне не полностью ясно его предназначение, т.е. догадки есть, но ясного понимая нет. Автор, если можно, напишите, пожалуйста, по-русский что делает этот список доступа и для чего он нужен. Тут мне еще не ясно, почему написано так:
access-list 108 permit ip 172.24.0.0 0.0.255.255 192.168.5.0 0.0.0.255
а не так:
access-list 108 permit ip 172.24.0.0 0.0.255.255 any
3. По этому пункту поддерживаю. Тоже было бы неплохо услышать комментарий.

"Вопрос по транспортному VPN"
Отправлено oleg_matroskin , 13-Мрт-08 05:55

посмотри на ciscolab.ru там есть пример как подобное сделать и настройка самого клиента!

"Вопрос по транспортному VPN"
Отправлено CrAzOiD , 13-Мрт-08 09:03

>[оверквотинг удален]
>
>Спасибо за пример... Но много непонятного. Если можно - по-порядку:
>
>1. Что такое "PSK"?
>2. Для чего 108-ой ACL? Если это роут, то что такое 192.168.5.0
>0.0.0.255?
>3. Зачем df-bit clear?
>4. Какой радиус у вас использовался? Так, для интереса...5
>5. Ваш последний комментарий, не понял, наверное из-за того что непонятен момент
>в п.2
1. PreShared Key. Групповая авторизация на прешаренном ключе. Скажем посто пароль на группу. Прописывается и в клиенте тоже.
2. 108 это есть split tunneling. Маршруты которые будут назначены на клиенте. Если не указать то у клиента дефолтом станет туннель и весь трафик пойдет через кошку. Иногда надо и так делать в целях безопасноти
3. решает часть проблем с фрагметацией пакетов. подробности на цискоком http://www.cisco.com/en/US/docs/ios/12_2t/12_2t13/feature/gu...
грубо говоря фрагментация происходит ДО криптования. Если после, то для сборки пакетов требуется много процессорных ресурсов
4. M$, тот что в комплекте с Win2003. С интеграцией в домене
5. Очень просто. Клиенту назначаются адреса из сети 192.168.5.0 Если у тебя не один маршрутизатор, тогда надо позаботиться что бы все сетевые устройства знали как попасть в эту сеть или куда направлять ответные пакеты.

"Вопрос по транспортному VPN"
Отправлено велин , 13-Мрт-08 10:48

>[оверквотинг удален]
>безопасноти
>3. решает часть проблем с фрагметацией пакетов. подробности на цискоком http://www.cisco.com/en/US/docs/ios/12_2t/12_2t13/feature/gu...
>грубо говоря фрагментация происходит ДО криптования. Если после, то для сборки пакетов
>требуется много процессорных ресурсов
>4. M$, тот что в комплекте с Win2003. С интеграцией в домене
>
>5. Очень просто. Клиенту назначаются адреса из сети 192.168.5.0 Если у тебя
>не один маршрутизатор, тогда надо позаботиться что бы все сетевые устройства
>знали как попасть в эту сеть или куда направлять ответные пакеты.
>
2. У меня было подозрение, что делается именно для этого, но все-таки не совсем понятно. Это ж список просто разрешает выход из корпоративной сети. Каким образом он влияет на то, что будет или не будет клиент иметь доступ в интернет помимо тунеля на циску? Просто физика процесса не очень ясна. Не могли бы поподробнее написать?

"Вопрос по транспортному VPN"
Отправлено CrAzOiD , 13-Мрт-08 12:52

>[оверквотинг удален]
>>5. Очень просто. Клиенту назначаются адреса из сети 192.168.5.0 Если у тебя
>>не один маршрутизатор, тогда надо позаботиться что бы все сетевые устройства
>>знали как попасть в эту сеть или куда направлять ответные пакеты.
>>
>
>2. У меня было подозрение, что делается именно для этого, но все-таки
>не совсем понятно. Это ж список просто разрешает выход из
>корпоративной сети. Каким образом он влияет на то, что будет или
>не будет клиент иметь доступ в интернет помимо тунеля на циску?
>Просто физика процесса не очень ясна. Не могли бы поподробнее написать?
Физика процесса очень проста, равно как и логика.
Если нет этого ACL, тогда на клиенте дефолтный маршрут будет поднят в туннель. И еще останется маршрут до VPN сервера через текущее подключение интернет (что бы собственно туннель работал).
Получается что весь трафик с клиента пойдет в туннель.
А если описать ACL, тогда на стороне клиента в таблицу маршрутизации будут добавлены строчки с указанными маршрутами через туннель, а все остальное пойдет о дефолту, т.е. через текущего провайдера просто в интернет.
Итого, смысл в автоматической модификации таблицы маршрутизации на стороне клиента.
Это, кстати, не умеет делать встроенный Win VPN клиент, поэтому часто пишут батники для ручного добавления необходимых маршрутов.
Часто сплит туннелинг не включают по соображениям безопасности: что бы машина-клиент не была транзитом Интернет - Локальная сеть.
Но, как сам понимаешь, защита эта лишь видимость. Того кто знает как подправить таблицу маршрутизации это не остановит :)

"Вопрос по транспортному VPN"
Отправлено bda , 15-Мрт-08 00:39

>[оверквотинг удален]
>Объясните чайнику. В офисе есть циска 1841. Хочеться поднять VPN между моим
>домашним компьютером и циской. Что в данном случае лучше пытаться организовать,
>PPTP или IPSec в транспортном режиме? На циске IPSec в транспортном
>режиме я скорее всего смогу поднять сам. А вот что надо
>иметь или сделать на компе для этого (ось Windows XP)? Я
>слышал у циски есть какой-то свой клиент, специально предназначенный для этого,
>но у меня его нет, к сожалению. Может быть кто-нибудь поделиться
>им, если он мне конечно нужен и поможет?
>Или есть какой-то другой вариант?
>Заранее благодарен за любой совет.
Коллеги, большое спасибо за развернутые ответы... Хотя пока не достиг успеха, но пытаюсь...

"Вопрос по транспортному VPN"
Отправлено bda_ext , 17-Мрт-08 07:58

>[оверквотинг удален]
>>режиме я скорее всего смогу поднять сам. А вот что надо
>>иметь или сделать на компе для этого (ось Windows XP)? Я
>>слышал у циски есть какой-то свой клиент, специально предназначенный для этого,
>>но у меня его нет, к сожалению. Может быть кто-нибудь поделиться
>>им, если он мне конечно нужен и поможет?
>>Или есть какой-то другой вариант?
>>Заранее благодарен за любой совет.
>
>Коллеги, большое спасибо за развернутые ответы... Хотя пока не достиг успеха, но
>пытаюсь...
В настоящее время, выяснил суть проблемы, с которой сталкивался: шлюз возникал из-за отсутствия acl в настройке crypto isakmp client configuration group.
В связи с этим вопрос, можно ли сделать так, что бы при поднятии туннеля - поднимался интерфейс с соответствующим адресом? Вопрос из-за того, что у меня пул адресов для VPN находится в той же сети, что и интерфейс, который смотрит ЛВС.
Просьба подсказать...
PS Делать отдельную сеть, из которой vpn-клиенты будут получать адреса - в моем случае очень нежелательно, т.к. на всех ресурсах, к которым можно юудет получить доступ из этой сети ее придется явно прописывать, что не вариант на данный момент...

"Вопрос по транспортному VPN"
Отправлено philippov , 17-Мрт-08 19:17

>Коллеги, большое спасибо за развернутые ответы... Хотя пока не достиг успеха, но
>пытаюсь...
Какой клиент используешь, от Cisco ?

"Вопрос по транспортному VPN"
Отправлено bda , 17-Мрт-08 22:07

>>Коллеги, большое спасибо за развернутые ответы... Хотя пока не достиг успеха, но
>>пытаюсь...
>
>Какой клиент используешь, от Cisco ?
Использую 5.0.02.0090. А есть какие-то нюансы?

"Вопрос по транспортному VPN"
Отправлено philippov , 17-Мрт-08 22:37

>>Какой клиент используешь, от Cisco ?
>
>Использую 5.0.02.0090. А есть какие-то нюансы?
Нет, никаких нюансов. Просто, также пытаюсь (безуспешно) подключиться по IPSec VPN-у к офису, клиентом 4.8.02.0010. Но у меня ситуация другая - мне были выданы данные для подключения и я ищу чем бы подключиться.

"Вопрос по транспортному VPN"
Отправлено bda , 15-Мрт-08 14:10

>[оверквотинг удален]
>Объясните чайнику. В офисе есть циска 1841. Хочеться поднять VPN между моим
>домашним компьютером и циской. Что в данном случае лучше пытаться организовать,
>PPTP или IPSec в транспортном режиме? На циске IPSec в транспортном
>режиме я скорее всего смогу поднять сам. А вот что надо
>иметь или сделать на компе для этого (ось Windows XP)? Я
>слышал у циски есть какой-то свой клиент, специально предназначенный для этого,
>но у меня его нет, к сожалению. Может быть кто-нибудь поделиться
>им, если он мне конечно нужен и поможет?
>Или есть какой-то другой вариант?
>Заранее благодарен за любой совет.
Коллеги, все-таки необходима помощь. Суть следующая: после поднятия vpn`а - дефолт остается на локальный рутер, т.е. не в впн.
И еще вопрос: почему, при использовании acl в crypto isakmp client configuration group - нельзя настроить шлюз! Если это роуты, то скаким гейтвеем они встают?

"Вопрос по транспортному VPN"
Отправлено CrAzOiD , 15-Мрт-08 19:28

>[оверквотинг удален]
>>им, если он мне конечно нужен и поможет?
>>Или есть какой-то другой вариант?
>>Заранее благодарен за любой совет.
>
>Коллеги, все-таки необходима помощь. Суть следующая: после поднятия vpn`а - дефолт остается
>на локальный рутер, т.е. не в впн.
>
>И еще вопрос: почему, при использовании acl в crypto isakmp client configuration
>group - нельзя настроить шлюз! Если это роуты, то скаким
>гейтвеем они встают?
в моем примере обратите внимание на 108 ACL и на подробное разьяснение ниже...

"Вопрос по транспортному VPN"
Отправлено bda , 15-Мрт-08 20:14

>[оверквотинг удален]
>>
>>Коллеги, все-таки необходима помощь. Суть следующая: после поднятия vpn`а - дефолт остается
>>на локальный рутер, т.е. не в впн.
>>
>>И еще вопрос: почему, при использовании acl в crypto isakmp client configuration
>>group - нельзя настроить шлюз! Если это роуты, то скаким
>>гейтвеем они встают?
>
>в моем примере обратите внимание на 108 ACL и на подробное разьяснение
>ниже...
Да вроде внимательно ознакомился... Почему-то все-равно, ARP-запросы уходят на локальный гейтвей... никак не пойму почему...?!

"Вопрос по транспортному VPN"
Отправлено CrAzOiD , 15-Мрт-08 20:17

>[оверквотинг удален]
>>>
>>>И еще вопрос: почему, при использовании acl в crypto isakmp client configuration
>>>group - нельзя настроить шлюз! Если это роуты, то скаким
>>>гейтвеем они встают?
>>
>>в моем примере обратите внимание на 108 ACL и на подробное разьяснение
>>ниже...
>
>Да вроде внимательно ознакомился... Почему-то все-равно, ARP-запросы уходят на локальный гейтвей... никак
>не пойму почему...?!
показывайте что получилось и рассказывайте что как тестируете и что не выходит

"Вопрос по транспортному VPN"
Отправлено bda , 15-Мрт-08 21:27

>[оверквотинг удален]
>>>>гейтвеем они встают?
>>>
>>>в моем примере обратите внимание на 108 ACL и на подробное разьяснение
>>>ниже...
>>
>>Да вроде внимательно ознакомился... Почему-то все-равно, ARP-запросы уходят на локальный гейтвей... никак
>>не пойму почему...?!
>
>показывайте что получилось и рассказывайте что как тестируете и что не выходит
>
Ок, конфиг следующий:

version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
service sequence-numbers
no service dhcp
!
hostname XXX
!
boot-start-marker
boot-end-marker
!
logging buffered 8192 debugging
enable secret 5 $1$R8cH$h3nGg4Wp6Ku9qEvlir7n31
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login vpn-authen local
aaa authorization exec default local
aaa authorization network vpn-author local
!
aaa session-id common
clock timezone MSK 3
clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 2:00
no network-clock-participate wic 3
no ip source-route
ip cef
!
!
!
!
no ip bootp server
ip domain name XXX
ip name-server XXX
ip name-server XXX
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
carrier-id target
!
voice-card 0
!
!
!
voice service voip
allow-connections h323 to sip
allow-connections sip to h323
h323
sip
  bind control source-interface Loopback5
  bind media source-interface Loopback5
  registrar server
!
!
!
!
!
!
!
!
voice class aaa 100
authentication method VOIP-AUTH
!
!
!
voice source-group SRC-GRP-1
access-list 55
carrier-id source SIP-IN-TO-MVTS
description Matching MTU Autonomous system only
!
!
voice translation-profile SIP-CALLS-TRANSLATION
!
!
!
!
username XXX password 7 XXX
!
!
controller E1 0/3/0
shutdown
!
controller E1 0/3/1
shutdown
!
ip ssh logging events
ip ssh version 2
!
crypto logging session
!
crypto isakmp policy 5
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group CTTC-VPN-GRP
key 12345678
dns 192.168.2.190
pool CTTC-VPN-POOL-1
save-password
max-users 3
max-logins 3
netmask 255.255.255.0
!
!
crypto ipsec transform-set CTTC-VPN-TRSFRM-SET-1 esp-3des esp-sha-hmac comp-lzs
crypto ipsec df-bit clear
!
crypto dynamic-map CTTC-VPN-CRYPTODYNAMIC-1 10
set transform-set CTTC-VPN-TRSFRM-SET-1
!
!
crypto map CTTC-VPN-CLIENTMAP client authentication list vpn-authen
crypto map CTTC-VPN-CLIENTMAP isakmp authorization list vpn-author
crypto map CTTC-VPN-CLIENTMAP client configuration address respond
crypto map CTTC-VPN-CLIENTMAP 10 ipsec-isakmp dynamic CTTC-VPN-CRYPTODYNAMIC-1
!
!
!
!
interface Loopback5
description -M- CNxxxx XXX mngmt (XXX) INTERNET ---
ip address XXX
no ip proxy-arp
!
interface FastEthernet0/0
description -CU CNxxxx outside-if (XXX) INTERNET ---
ip address XXX
ip verify unicast reverse-path allow-self-ping
no ip proxy-arp
ip nat outside
ip virtual-reassembly
speed 100
full-duplex
crypto map CTTC-VPN-CLIENTMAP
!
interface FastEthernet0/1
description -CU CNxxxx inside-if (XXX) ---
ip address 192.168.2.80 255.255.255.0
ip verify unicast source reachable-via any allow-self-ping
no ip proxy-arp
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
ip local pool CTTC-VPN-POOL-1 192.168.2.201 192.168.2.206
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 XXX
!
!
no ip http server
no ip http secure-server
ip nat inside source list 111 interface FastEthernet0/0 overload
!
logging trap debugging
access-list 22 remark VTY-ACCESS
access-list 22 permit XXX
access-list 22 deny   any log
access-list 55 remark ACCESS-FROM-INTERNET
access-list 55 permit 81.195.0.0 0.0.255.255
access-list 55 permit 83.237.0.0 0.0.255.255
access-list 55 permit 85.140.0.0 0.1.255.255
access-list 55 permit 91.76.0.0 0.3.255.255
access-list 111 remark NAT-INSIDE-ACL
access-list 111 permit ip 192.168.2.0 0.0.0.255 any
access-list 150 remark VPN-ACCESS-ROUTES
access-list 150 permit ip 192.168.2.0 0.0.0.255 host 192.168.2.190
disable-eadi
no cdp run
!
!
!
!
control-plane
!
!
!
!
!
!
!
dial-peer voice 10 voip
permission orig
description inbound-sip-calls
huntstop
voice-class aaa 100
session protocol sipv2
incoming called-number .T
no vad
!
dial-peer voice 20 voip
description outbound-calls-to-mvts
destination-pattern .T
session target ipv4:192.168.2.251
no vad
!
gateway
timer receive-rtp 1200
!
sip-ua
!
!
!
line con 0
line aux 0
line vty 0 3
access-class 22 in
exec-timeout 30 0
transport input telnet
transport output telnet ssh
line vty 4
exec-timeout 30 0
transport input ssh
transport output telnet ssh
!
scheduler allocate 20000 1000
ntp clock-period 17177765
ntp server 62.117.76.140
ntp server 62.117.76.141
ntp server 194.58.197.7
ntp server 62.117.76.142
end
В результате, при таком раскладе, в таблицу локальной машины - встает маршрут на сеть 192.168.2.0, но арпы все-равно разрешаются локально, и естественно, пытаются выйти через локальный шлюз.
В тоннель ничего не отправляется... Может нат мешает?

"Вопрос по транспортному VPN"
Отправлено CrAzOiD , 15-Мрт-08 21:42

>[оверквотинг удален]
>ntp server 62.117.76.141
>ntp server 194.58.197.7
>ntp server 62.117.76.142
>end
>
>В результате, при таком раскладе, в таблицу локальной машины - встает маршрут
>на сеть 192.168.2.0, но арпы все-равно разрешаются локально, и естественно, пытаются
>выйти через локальный шлюз.
>
>В тоннель ничего не отправляется... Может нат мешает?
еще покажи route print на клиенте до и после поднятия туннеля

"Вопрос по транспортному VPN"
Отправлено bda , 15-Мрт-08 21:50

>[оверквотинг удален]
>>ntp server 62.117.76.142
>>end
>>
>>В результате, при таком раскладе, в таблицу локальной машины - встает маршрут
>>на сеть 192.168.2.0, но арпы все-равно разрешаются локально, и естественно, пытаются
>>выйти через локальный шлюз.
>>
>>В тоннель ничего не отправляется... Может нат мешает?
>
>еще покажи route print на клиенте до и после поднятия туннеля
До туннеля:
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      172.30.30.1    172.30.30.10       10
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      172.30.30.0    255.255.255.0     172.30.30.10    172.30.30.10       10
     172.30.30.10  255.255.255.255        127.0.0.1       127.0.0.1       10
   172.30.255.255  255.255.255.255     172.30.30.10    172.30.30.10       10
        224.0.0.0        240.0.0.0     172.30.30.10    172.30.30.10       10
  255.255.255.255  255.255.255.255     172.30.30.10    172.30.30.10       1
Default Gateway:       172.30.30.1
После туннеля:
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.2.1   192.168.2.204       1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      172.30.30.0    255.255.255.0     172.30.30.10    172.30.30.10       10
      172.30.30.0    255.255.255.0      192.168.2.1   192.168.2.204       10
     172.30.30.10  255.255.255.255        127.0.0.1       127.0.0.1       10
   172.30.255.255  255.255.255.255     172.30.30.10    172.30.30.10       10
      192.168.2.0    255.255.255.0    192.168.2.204   192.168.2.204       20
    192.168.2.204  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.2.255  255.255.255.255    192.168.2.204   192.168.2.204       20
   XXX.XXX.224.48  255.255.255.255      172.30.30.1    172.30.30.10       1
        224.0.0.0        240.0.0.0     172.30.30.10    172.30.30.10       10
        224.0.0.0        240.0.0.0    192.168.2.204   192.168.2.204       20
  255.255.255.255  255.255.255.255     172.30.30.10    172.30.30.10       1
  255.255.255.255  255.255.255.255    192.168.2.204   192.168.2.204       1
Default Gateway:       192.168.2.1
Откуда берется этот: 192.168.2.1?

"Вопрос по транспортному VPN"
Отправлено CrAzOiD , 15-Мрт-08 22:37

Выдели отдельную свободную сеть/подсеть для пула VPN клентов
что бы не было путаницы

"Вопрос по транспортному VPN"
Отправлено bda , 16-Мрт-08 18:23

>Выдели отдельную свободную сеть/подсеть для пула VPN клентов
>что бы не было путаницы
К сожалению, сеть для пула - не могу выделить в отдельную сеть, т.к. только эта сеть имеет доступ к ресурсам, выделение иной сети будет бессмысленным, т.к. с нее ничего не будет доступно...
Все-таки, повторюсь: откуда возникает шлюз по умолчанию на клиенте, если он нигде никак не установлен в конфигурации маршрутизатора?

"Вопрос по транспортному VPN"
Отправлено darksid , 16-Мрт-08 18:52

>>Выдели отдельную свободную сеть/подсеть для пула VPN клентов
>>что бы не было путаницы
>
>К сожалению, сеть для пула - не могу выделить в отдельную сеть,
>т.к. только эта сеть имеет доступ к ресурсам, выделение иной сети
>будет бессмысленным, т.к. с нее ничего не будет доступно...
>
>Все-таки, повторюсь: откуда возникает шлюз по умолчанию на клиенте, если он нигде
>никак не установлен в конфигурации маршрутизатора?
читай про ppp
он выдаётся концентратором и имеет маску 255.255.255.255 так же как и клиент и являетйа одним из адресов пула или одним из адресов самого концентратора

"Вопрос по транспортному VPN"
Отправлено bda , 16-Мрт-08 21:27

>[оверквотинг удален]
>>т.к. только эта сеть имеет доступ к ресурсам, выделение иной сети
>>будет бессмысленным, т.к. с нее ничего не будет доступно...
>>
>>Все-таки, повторюсь: откуда возникает шлюз по умолчанию на клиенте, если он нигде
>>никак не установлен в конфигурации маршрутизатора?
>
>читай про ppp
>он выдаётся концентратором и имеет маску 255.255.255.255 так же как и клиент
>и являетйа одним из адресов пула или одним из адресов самого
>концентратора
Шлюз клиент почему-то получает "от балды", Если вы смотрели выкладки роутов и конфига циски, то видеди, что пул - внутри сети, и вдруг получаю шлюз, который нигде не объявлен, и не является тем же адресом, который я получил в результате поднятия тоннеля...
так что вопрос в силе...

"Вопрос по транспортному VPN"
Отправлено bda , 18-Мрт-08 02:57

>[оверквотинг удален]
>Объясните чайнику. В офисе есть циска 1841. Хочеться поднять VPN между моим
>домашним компьютером и циской. Что в данном случае лучше пытаться организовать,
>PPTP или IPSec в транспортном режиме? На циске IPSec в транспортном
>режиме я скорее всего смогу поднять сам. А вот что надо
>иметь или сделать на компе для этого (ось Windows XP)? Я
>слышал у циски есть какой-то свой клиент, специально предназначенный для этого,
>но у меня его нет, к сожалению. Может быть кто-нибудь поделиться
>им, если он мне конечно нужен и поможет?
>Или есть какой-то другой вариант?
>Заранее благодарен за любой совет.
Колллеги, нид хелп! Перестроил систему на l2tp ipsec. Соединение поднимается нормально, выдается адрес из пула. Все нормально..... НО!
пул - часть адресов сети, в которой есть один из интерфейсов этого марщрутизатора, так вод другие хосты, которые в этой сети, не видят удаленно подключенных пользователей по L2, хотя они есть и адреса имеют из этой сети? Что не так? Как сделать так что бы получаемые адреса по VPN`у были видны?

"Вопрос по транспортному VPN"
Отправлено Valeriy Babich , 19-Мрт-08 15:38

>
>Колллеги, нид хелп! Перестроил систему на l2tp ipsec. Соединение поднимается нормально, выдается
>адрес из пула. Все нормально..... НО!
>
>пул - часть адресов сети, в которой есть один из интерфейсов этого
>марщрутизатора, так вод другие хосты, которые в этой сети, не видят
>удаленно подключенных пользователей по L2, хотя они есть и адреса имеют
>из этой сети? Что не так? Как сделать так что бы
>получаемые адреса по VPN`у были видны?
Вам же говорили:
> Выдели отдельную свободную сеть/подсеть для пула VPN клентов
> что бы не было путаницы
Что с цисковским клиентом, что с l2tp - ....
А Вы продолжаете наступать на эти грабли.

"Вопрос по транспортному VPN"
Отправлено bda , 19-Мрт-08 22:49

>[оверквотинг удален]
>>из этой сети? Что не так? Как сделать так что бы
>>получаемые адреса по VPN`у были видны?
>
>Вам же говорили:
>
>> Выдели отдельную свободную сеть/подсеть для пула VPN клентов
>> что бы не было путаницы
>
>Что с цисковским клиентом, что с l2tp - ....
>А Вы продолжаете наступать на эти грабли.
А как же сделать так, что бы клиент после подключения вставал на интерфейс, который смотрит в ЛВС? И был доступен из различных сетей этой ЛВС?
Почему спрашиваю, т.к. у меня так сделано на pptp на линуксовой машине. Подсоединился, создался интерфейс - сразу в локальной сети, в которой и физический интерфейс...
Неужели нельзя? Может подскажете?

"Вопрос по транспортному VPN"
Отправлено CrAzOiD , 20-Мрт-08 02:35

>[оверквотинг удален]
>>
>>> Выдели отдельную свободную сеть/подсеть для пула VPN клентов
>>> что бы не было путаницы
>>
>>Что с цисковским клиентом, что с l2tp - ....
>>А Вы продолжаете наступать на эти грабли.
>
>А как же сделать так, что бы клиент после подключения вставал на
>интерфейс, который смотрит в ЛВС? И был доступен из различных сетей
>этой ЛВС?
ну в каких терминах вы мыслите? что значит "вставал на интерфейс"? мыслите протоколом IP. Все решается маршрутизацией.

"Вопрос по транспортному VPN"
Отправлено KiM , 20-Мрт-08 08:34

>[оверквотинг удален]
>
>А как же сделать так, что бы клиент после подключения вставал на
>интерфейс, который смотрит в ЛВС? И был доступен из различных сетей
>этой ЛВС?
>
>Почему спрашиваю, т.к. у меня так сделано на pptp на линуксовой машине.
>Подсоединился, создался интерфейс - сразу в локальной сети, в которой и
>физический интерфейс...
>
>Неужели нельзя? Может подскажете?
про маршрутизацию почитать не пробовали?