URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16
[ Назад ]

Исходное сообщение
"cisco 2911 не подключает по PPTP во второй фазе"
Отправлено Jewels12 , 27-Июл-12 16:20

добрый день!
настраивали доставшуюся в наследство cisco 2911  четко по инструкции:
http://www.cisco.com/en/US/tech/tk827/tk369/technologies_con...
Так как циска рабочая там много разного и эксперименты не приветствуются.
добавил следующее по инструкции:
username ciscovpn password 0 ciscovpn
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 10
l2tp tunnel timeout no-session 15
!
!
interface GigabitEthernet0/0.3
description Bancorp
encapsulation dot1Q 3
ip address хх.хх.хх.хх 255.255.255.248
ip access-group ban11 in
ip access-group OutBan1 out
ip nat outside
ip virtual-reassembly
crypto map B_K1
interface Virtual-Template10
ip unnumbered GigabitEthernet0/0.3
ip nat inside
ip virtual-reassembly
peer default ip address pool ciscovpn
no keepalive
ppp encrypt mppe auto
ppp authentication сhap ms-chap ms-chap-v2
!
ip nat inside source list 11 interface GigabitEthernet0/0.3 overload
access-list 11 permit 192.168.11.0 0.0.0.255
при попытке соединения выдает 619 ошибку и отваливается.
kzn#sh vpdn
%No active L2TP tunnels
PPTP Tunnel and Session Information Total tunnels 1 sessions 1
LocID Remote Name     State    Remote Address  Port  Sessions VPDN Group
58168                 estabd   ХХ.ХХ.ХХ.ХХХ    1115  1        1
LocID RemID TunID Intf    Username      State   Last Chg Uniq ID
24387 1115  58168                       estabd  00:00:21 25
что-то я забыл? что-то наворотил лишнего?
что-то может мешать?
ради интереса пробовал подключиться из локалки.
соединение происходит сразу и так как надо.

Содержание

cisco 2911 не подключает по PPTP во второй фазе,McS555, 16:46 , 27-Июл-12
- cisco 2911 не подключает по PPTP во второй фазе,Jewels12, 16:59 , 27-Июл-12
  - cisco 2911 не подключает по PPTP во второй фазе,McS555, 18:16 , 27-Июл-12
    - cisco 2911 не подключает по PPTP во второй фазе,Jewels12, 18:32 , 27-Июл-12
      - cisco 2911  не подключает по PPTP во второй фазе,Jewels12, 12:07 , 30-Июл-12
        
        cisco 2911  не подключает по PPTP во второй фазе,McS555, 12:52 , 30-Июл-12
        
        cisco 2911  не подключает по PPTP во второй фазе,Jewels12, 13:50 , 30-Июл-12
        
        cisco 2911  не подключает по PPTP во второй фазе,McS555, 11:41 , 31-Июл-12
        
        cisco 2911  не подключает по PPTP во второй фазе,McS555, 11:45 , 31-Июл-12
        
        cisco 2911  не подключает по PPTP во второй фазе,Jewels12, 18:10 , 31-Июл-12
        
        cisco 2911  не подключает по PPTP во второй фазе,McS555, 10:25 , 01-Авг-12

Сообщения в этом обсуждении

"cisco 2911 не подключает по PPTP во второй фазе"
Отправлено McS555 , 27-Июл-12 16:46

>[оверквотинг удален]
> 1
> LocID RemID TunID Intf    Username
>  State   Last Chg Uniq ID
> 24387 1115  58168
>
>    estabd  00:00:21 25
> что-то я забыл? что-то наворотил лишнего?
> что-то может мешать?
> ради интереса пробовал подключиться из локалки.
> соединение происходит сразу и так как надо.
ip access-group ban11 in
ip access-group OutBan1 out
?? Что там прячешь??

"cisco 2911 не подключает по PPTP во второй фазе"
Отправлено Jewels12 , 27-Июл-12 16:59

>[оверквотинг удален]
>> 24387 1115  58168
>>
>>    estabd  00:00:21 25
>> что-то я забыл? что-то наворотил лишнего?
>> что-то может мешать?
>> ради интереса пробовал подключиться из локалки.
>> соединение происходит сразу и так как надо.
> ip access-group ban11 in
> ip access-group OutBan1 out
> ?? Что там прячешь??
Вот ничего такого крамольного.
ip access-list extended Ban1
permit ip any host 81.25.165.34
permit icmp any any
permit tcp 81.25.175.0 0.0.0.127 host 81.25.165.219 eq 22
permit tcp 81.23.147.0 0.0.0.31 host 81.25.165.219 eq 22
permit tcp host 89.251.145.167 host 81.25.165.219 eq 22
permit tcp host 89.184.14.49 host 81.25.165.219 eq 22
permit icmp host 81.211.4.206 host 81.25.165.219
permit udp host 81.211.4.206 eq isakmp host 81.25.165.219 eq isakmp
permit esp host 81.211.4.206 host 81.25.165.219
permit ip host 81.211.4.206 host 81.25.165.219
permit tcp host 212.57.141.85 host 81.25.165.217 eq 1024
permit tcp any host 81.25.165.220 reflect TmpOutBan1 timeout 300
permit tcp any host 81.25.165.220 eq smtp
permit tcp any host 81.25.165.220 eq pop3
permit tcp host 87.117.183.154 host 81.25.165.219 eq 6018
ip access-list extended OutBan1
permit ip host 81.25.165.34 any
permit icmp any any
permit tcp any any reflect TmpBan1 timeout 300
permit ip host 81.25.165.219 host 81.211.4.206
permit tcp host 81.25.165.220 any eq smtp
permit tcp host 81.25.165.220 any eq pop3
permit tcp any host 87.117.183.154
evaluate TmpOutBan1
deny   ip any any log-input

"cisco 2911 не подключает по PPTP во второй фазе"
Отправлено McS555 , 27-Июл-12 18:16

>[оверквотинг удален]
> ip access-list extended OutBan1
>  permit ip host 81.25.165.34 any
>  permit icmp any any
>  permit tcp any any reflect TmpBan1 timeout 300
>  permit ip host 81.25.165.219 host 81.211.4.206
>  permit tcp host 81.25.165.220 any eq smtp
>  permit tcp host 81.25.165.220 any eq pop3
>  permit tcp any host 87.117.183.154
>  evaluate TmpOutBan1
>  deny   ip any any log-input
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
!
!
interface Virtual-Template1
ip unnumbered FastEthernet1
ip nat inside
ip virtual-reassembly
peer default ip address pool PPTP_Local_LAN
no keepalive
ppp encrypt mppe auto
ppp authentication ms-chap-v2
ppp ipcp dns 192.168.2.1
!
Вот у меня так и работает. Если с локалки гуд то копай в сторона аксес листа. Просто для теста сними на ин (и на аут) и проверь
Просто не видя всей картины ( адресов откуда пытаешся попасть, внешний адрес ) тяжело конкретно сказать. Сними пака access-list (либо добавь строку пермит эни эни вверх)

"cisco 2911 не подключает по PPTP во второй фазе"
Отправлено Jewels12 , 27-Июл-12 18:32

>[оверквотинг удален]
>  ppp encrypt mppe auto
>  ppp authentication ms-chap-v2
>  ppp ipcp dns 192.168.2.1
> !
>  Вот у меня так и работает. Если с локалки гуд то
> копай в сторона аксес листа. Просто для теста сними на ин
> (и на аут) и проверь
> Просто не видя всей картины ( адресов откуда пытаешся попасть, внешний адрес
> ) тяжело конкретно сказать. Сними пака access-list (либо добавь строку пермит
> эни эни вверх)
Спасибо. Жаль, сегодня не успею, но обязательно попробую в понедельник

"cisco 2911 не подключает по PPTP во второй фазе"
Отправлено Jewels12 , 30-Июл-12 12:07

>[оверквотинг удален]
>>  ppp authentication ms-chap-v2
>>  ppp ipcp dns 192.168.2.1
>> !
>>  Вот у меня так и работает. Если с локалки гуд то
>> копай в сторона аксес листа. Просто для теста сними на ин
>> (и на аут) и проверь
>> Просто не видя всей картины ( адресов откуда пытаешся попасть, внешний адрес
>> ) тяжело конкретно сказать. Сними пака access-list (либо добавь строку пермит
>> эни эни вверх)
> Спасибо. Жаль, сегодня не успею, но обязательно попробую в понедельник
День добрый!
Советы помогли.  подключаемся легко, но пришлось открыть все.
permit ip host ХХ.ХХ.ХХ.ХХ host YY.YY.YY.YY
Какие порты надо открыть для PPTP мне не понятно.  Порт 1723 открывал, но помогло.
и еще, соединение есть, а попасть в локальную сеть не получается.
пинг идет до локального интерфейса циски и все.
чего-то я еще забыл сделать

"cisco 2911 не подключает по PPTP во второй фазе"
Отправлено McS555 , 30-Июл-12 12:52

>[оверквотинг удален]
>>> эни эни вверх)
>> Спасибо. Жаль, сегодня не успею, но обязательно попробую в понедельник
> День добрый!
> Советы помогли.  подключаемся легко, но пришлось открыть все.
> permit ip host ХХ.ХХ.ХХ.ХХ host YY.YY.YY.YY
> Какие порты надо открыть для PPTP мне не понятно.  Порт 1723
> открывал, но помогло.
> и еще, соединение есть, а попасть в локальную сеть не получается.
> пинг идет до локального интерфейса циски и все.
> чего-то я еще забыл сделать
peer default ip address pool ciscovpn - какой у тебя пул адресов?
> permit ip host ХХ.ХХ.ХХ.ХХ host YY.YY.YY.YY
Ну  что б точно узнать можешь разрешить дописать логирование на эту строку и во время подсоединения посмотришь на какие порты ты попадаешь ([хотя вроде 1723 )

"cisco 2911 не подключает по PPTP во второй фазе"
Отправлено Jewels12 , 30-Июл-12 13:50

>[оверквотинг удален]
>> Какие порты надо открыть для PPTP мне не понятно.  Порт 1723
>> открывал, но помогло.
>> и еще, соединение есть, а попасть в локальную сеть не получается.
>> пинг идет до локального интерфейса циски и все.
>> чего-то я еще забыл сделать
> peer default ip address pool ciscovpn - какой у тебя пул адресов?
>> permit ip host ХХ.ХХ.ХХ.ХХ host YY.YY.YY.YY
> Ну  что б точно узнать можешь разрешить дописать логирование на эту
> строку и во время подсоединения посмотришь на какие порты ты попадаешь
> ([хотя вроде 1723 )
не стесняясь взял всю 192.168.11.ХХ  Больше она нигде не используется
ip dhcp pool ciscovpn
   network 192.168.11.0 255.255.255.0
   dns-server 192.168.0.2

еще у видел у тебя нат на виртуальном интерфейсе.
ничего такого я не делал.
Из твоего конфига:
ip unnumbered FastEthernet1  #это внутренний интерфейс?   у меня стоит внешний
ip nat inside #этого у меня нет

"cisco 2911 не подключает по PPTP во второй фазе"
Отправлено McS555 , 31-Июл-12 11:41

>[оверквотинг удален]
> не стесняясь взял всю 192.168.11.ХХ  Больше она нигде не используется
> ip dhcp pool ciscovpn
>    network 192.168.11.0 255.255.255.0
>    dns-server 192.168.0.2
> еще у видел у тебя нат на виртуальном интерфейсе.
> ничего такого я не делал.
> Из твоего конфига:
> ip unnumbered FastEthernet1  #это внутренний интерфейс?   у меня стоит
> внешний
> ip nat inside #этого у меня нет
FastEthernet1 - это внешний интерфейс
ip nat inside - это что б пользоватили могли в инет ходить после того как подключаться по pptp. Можно конечно галочку в подключении снять (шлюз по умолчанию), но на некоторые адреса можно попасть только с определенного адресса

"cisco 2911 не подключает по PPTP во второй фазе"
Отправлено McS555 , 31-Июл-12 11:45

> и еще, соединение есть, а попасть в локальную сеть не получается.
> пинг идет до локального интерфейса циски и все.
> чего-то я еще забыл сделать
Если до локального идет (то есть до интерфейса с сетью 192.168.0.0 255.255.255.0 - которая у тебя, я так понял локальная ), а на компы не идет, то смотри fierwall или антивирус (например в касперском файрвол включен). Можешь так же проверить не пингом , а rdp (там где включен), пинги вообщем могут и не идти

"cisco 2911 не подключает по PPTP во второй фазе"
Отправлено Jewels12 , 31-Июл-12 18:10

>> и еще, соединение есть, а попасть в локальную сеть не получается.
>> пинг идет до локального интерфейса циски и все.
>> чего-то я еще забыл сделать
> Если до локального идет (то есть до интерфейса с сетью 192.168.0.0 255.255.255.0
> - которая у тебя, я так понял локальная ), а на
> компы не идет, то смотри fierwall или антивирус (например в касперском
> файрвол включен). Можешь так же проверить не пингом , а rdp
> (там где включен), пинги вообщем могут и не идти
нет. пока ничего сделать не удалось.
подключение происходит, но локальную сеть не видит.
судя по всему, каких-то особенных маршрутов прописывать не надо.
листы снимали все. будем думать

"cisco 2911 не подключает по PPTP во второй фазе"
Отправлено McS555 , 01-Авг-12 10:25

>[оверквотинг удален]
>>> чего-то я еще забыл сделать
>> Если до локального идет (то есть до интерфейса с сетью 192.168.0.0 255.255.255.0
>> - которая у тебя, я так понял локальная ), а на
>> компы не идет, то смотри fierwall или антивирус (например в касперском
>> файрвол включен). Можешь так же проверить не пингом , а rdp
>> (там где включен), пинги вообщем могут и не идти
> нет.  пока ничего сделать не удалось.
> подключение происходит, но локальную сеть не видит.
> судя по всему, каких-то особенных маршрутов прописывать не надо.
> листы снимали все.   будем думать
!
ip nat inside source list 11 interface GigabitEthernet0/0.3 overload
access-list 11 permit 192.168.11.0 0.0.0.255

Поменяй.

ip nat inside source list NAT interface GigabitEthernet0/0.3 overload
ip access-list extended NAT
deny   ip 192.168.11.0 0.0.0.255 192.168.0.0 0.0.0.255
permit ip 192.168.11.0 0.0.0.255 any