Настраиваю EasyVPN на 2811. Подскажите, а если клиент находится за натом, и не имеет реального ip адреса, будет ли работать vpn? И какие есть варианты в таком случае?

• EasyVPN, клиенты с 'серыми' ip,CrAzOiD, 22:43 , 19-Апр-08
  • EasyVPN, клиенты с 'серыми' ip,Незнайка, 01:41 , 20-Апр-08
    • EasyVPN, клиенты с 'серыми' ip,CrAzOiD, 02:59 , 20-Апр-08
      • EasyVPN, клиенты с 'серыми' ip,Незнайка, 11:00 , 20-Апр-08
        • EasyVPN, клиенты с 'серыми' ip,CrAzOiD, 14:03 , 20-Апр-08
          • EasyVPN, клиенты с 'серыми' ip,Незнайка, 18:04 , 20-Апр-08
            • EasyVPN, клиенты с 'серыми' ip,CrAzOiD, 20:32 , 20-Апр-08
              • EasyVPN, клиенты с 'серыми' ip,Незнайка, 23:22 , 20-Апр-08
      • EasyVPN, клиенты с 'серыми' ip,Незнайка, 12:28 , 20-Апр-08
  • EasyVPN, клиенты с 'серыми' ip,Незнайка, 01:48 , 20-Апр-08
• EasyVPN, клиенты с 'серыми' ip,wast, 12:04 , 24-Авг-09
  • EasyVPN, клиенты с 'серыми' ip,Незнайка, 15:50 , 24-Авг-09

>Настраиваю EasyVPN на 2811. Подскажите, а если клиент находится за натом, и
>не имеет реального ip адреса, будет ли работать vpn? И какие
>есть варианты в таком случае?

никаких проблем, если у клиента UDP нормально натится

>>Настраиваю EasyVPN на 2811. Подскажите, а если клиент находится за натом, и
>>не имеет реального ip адреса, будет ли работать vpn? И какие
>>есть варианты в таком случае?
>
>никаких проблем, если у клиента UDP нормально натится

тогда почему клиент в статистике пишет что байтики уходят, но не приходят :(

>>>Настраиваю EasyVPN на 2811. Подскажите, а если клиент находится за натом, и
>>>не имеет реального ip адреса, будет ли работать vpn? И какие
>>>есть варианты в таком случае?
>>
>>никаких проблем, если у клиента UDP нормально натится
>
>тогда почему клиент в статистике пишет что байтики уходят, но не приходят
>:(

А почему они должны приходить если адреса которые вы им раздаете принадлежат другой сети?
Раздавайте им адреса отличные от 192.168.0.0/24

>А почему они должны приходить если адреса которые вы им раздаете принадлежат
>другой сети?
>Раздавайте им адреса отличные от 192.168.0.0/24

выдал 192.168.5.0/24, ситуация такая-же

sh crypto ipsec sa

    #pkts encaps: 15, #pkts encrypt: 15, #pkts digest: 15
    #pkts decaps: 68, #pkts decrypt: 68, #pkts verify: 68
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 7

а клиент говорит в статистике:
Bytes rec: 0
Bytes sent: 10653

>[оверквотинг удален]
>    #pkts compressed: 0, #pkts decompressed: 0
>    #pkts not compressed: 0, #pkts compr. failed: 0
>
>    #pkts not decompressed: 0, #pkts decompress failed: 0
>
>    #send errors 0, #recv errors 7
>
>а клиент говорит в статистике:
>Bytes rec: 0
>Bytes sent: 10653

ну так теперь похоже NAT мешает
отключи с этого интерфейса nat outside и посмотри

>ну так теперь похоже NAT мешает
>отключи с этого интерфейса nat outside и посмотри

не помогло

>>ну так теперь похоже NAT мешает
>>отключи с этого интерфейса nat outside и посмотри
>
>не помогло

убери ACL с интерфейсов

>>>ну так теперь похоже NAT мешает
>>>отключи с этого интерфейса nat outside и посмотри
>>
>>не помогло
>
>убери ACL с интерфейсов

нет, все не то

завтра попробую подключиться с белым ip

это логи клиента

Cisco Systems VPN Client Version 5.0.02.0090
Copyright (C) 1998-2007 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 5.1.2600 Service Pack 2
Config file directory: C:\Program Files\Cisco Systems\VPN Client\

1      10:54:36.812  04/20/08  Sev=Warning/2    CVPND/0xA3400011
Error -14 sending packet. Dst Addr: 0xFFFFFFFF, Src Addr: 0x0A331F9C (DRVIFACE:1201).

2      10:54:46.093  04/20/08  Sev=Warning/2    CVPND/0xA3400015
Error with call to IpHlpApi.DLL: DeleteIpForwardEntry, error 87

3      10:54:46.093  04/20/08  Sev=Warning/2    CM/0xA3100025
Unable to delete route. Network: c0a820ff, Netmask: ffffffff, Interface: a331f9c, Gateway: c0a820fc.

4      10:54:46.093  04/20/08  Sev=Warning/2    CVPND/0xA3400015
Error with call to IpHlpApi.DLL: DeleteIpForwardEntry, error 87

5      10:54:46.093  04/20/08  Sev=Warning/2    CM/0xA3100025
Unable to delete route. Network: c0a82000, Netmask: ffffff00, Interface: a331f9c, Gateway: c0a820fc.

6      10:54:50.796  04/20/08  Sev=Warning/3    IKE/0xE300002C
ISAKMP header invalid: Invalid version 5.4 found

7      10:54:50.796  04/20/08  Sev=Warning/3    IKE/0xE3000039
Received an invalid or malformed IKE packet: message id = 0xD4F538AB

8      10:54:52.140  04/20/08  Sev=Warning/3    IKE/0xE300002C
ISAKMP header invalid: Invalid version 12.13 found

9      10:54:52.140  04/20/08  Sev=Warning/3    IKE/0xE3000039
Received an invalid or malformed IKE packet: message id = 0xD6B0DC9A

10     10:54:54.140  04/20/08  Sev=Warning/3    IKE/0xE300002C
ISAKMP header invalid: Invalid version 10.12 found

11     10:54:54.140  04/20/08  Sev=Warning/3    IKE/0xE3000039
Received an invalid or malformed IKE packet: message id = 0xBC940807

12     10:54:58.156  04/20/08  Sev=Warning/3    IKE/0xE300002C
ISAKMP header invalid: Invalid version 9.14 found

13     10:54:58.156  04/20/08  Sev=Warning/3    IKE/0xE3000039
Received an invalid or malformed IKE packet: message id = 0xAD3F33EB

14     10:54:58.984  04/20/08  Sev=Warning/3    IKE/0xE300002C
ISAKMP header invalid: Invalid version 15.13 found

15     10:54:58.984  04/20/08  Sev=Warning/3    IKE/0xE3000039
Received an invalid or malformed IKE packet: message id = 0x1FC50A3E

16     10:55:04.468  04/20/08  Sev=Warning/3    IKE/0xE300002C
ISAKMP header invalid: Invalid version 4.15 found

17     10:55:04.468  04/20/08  Sev=Warning/3    IKE/0xE3000039
Received an invalid or malformed IKE packet: message id = 0xE80BF017

18     10:55:06.171  04/20/08  Sev=Warning/3    IKE/0xE300002C
ISAKMP header invalid: Invalid version 1.10 found

19     10:55:06.171  04/20/08  Sev=Warning/3    IKE/0xE3000039
Received an invalid or malformed IKE packet: message id = 0x471C0A17

20     10:55:09.968  04/20/08  Sev=Warning/3    IKE/0xE300002C
ISAKMP header invalid: Invalid version 4.9 found

21     10:55:09.968  04/20/08  Sev=Warning/3    IKE/0xE3000039
Received an invalid or malformed IKE packet: message id = 0xA35F5712

22     10:55:15.468  04/20/08  Sev=Warning/3    IKE/0xE300002C
ISAKMP header invalid: Invalid version 3.12 found

23     10:55:15.468  04/20/08  Sev=Warning/3    IKE/0xE3000039
Received an invalid or malformed IKE packet: message id = 0xD6D2324D

24     10:55:21.968  04/20/08  Sev=Warning/3    IKE/0xE300002C
ISAKMP header invalid: Invalid version 9.4 found

25     10:55:21.968  04/20/08  Sev=Warning/3    IKE/0xE3000039
Received an invalid or malformed IKE packet: message id = 0x01911C1D

26     10:55:22.171  04/20/08  Sev=Warning/3    IKE/0xE300002C
ISAKMP header invalid: Invalid version 11.7 found

27     10:55:22.171  04/20/08  Sev=Warning/3    IKE/0xE3000039
Received an invalid or malformed IKE packet: message id = 0x44194A80

28     10:55:26.968  04/20/08  Sev=Warning/3    IKE/0xE300002C
ISAKMP header invalid: Invalid version 3.15 found

29     10:55:26.968  04/20/08  Sev=Warning/3    IKE/0xE3000039
Received an invalid or malformed IKE packet: message id = 0xF1814236

30     10:55:32.468  04/20/08  Sev=Warning/3    IKE/0xE300002C
ISAKMP header invalid: Invalid version 15.0 found

31     10:55:32.468  04/20/08  Sev=Warning/3    IKE/0xE3000039
Received an invalid or malformed IKE packet: message id = 0xD8924D37

32     10:55:37.968  04/20/08  Sev=Warning/3    IKE/0xE300002C
ISAKMP header invalid: Invalid version 11.13 found

33     10:55:37.968  04/20/08  Sev=Warning/3    IKE/0xE3000039
Received an invalid or malformed IKE packet: message id = 0x96A32B2C

34     10:55:39.000  04/20/08  Sev=Warning/3    IKE/0xE300002C
ISAKMP header invalid: Invalid version 10.1 found

35     10:55:39.000  04/20/08  Sev=Warning/3    IKE/0xE3000039
Received an invalid or malformed IKE packet: message id = 0x3CB2B7D1

36     10:56:32.953  04/20/08  Sev=Warning/3    IKE/0xE300002C
ISAKMP header invalid: Invalid version 12.1 found

37     10:56:32.953  04/20/08  Sev=Warning/3    IKE/0xE3000039
Received an invalid or malformed IKE packet: message id = 0xE861C689

38     10:56:37.968  04/20/08  Sev=Warning/3    IKE/0xE300002C
ISAKMP header invalid: Invalid version 14.14 found

39     10:56:37.968  04/20/08  Sev=Warning/3    IKE/0xE3000039
Received an invalid or malformed IKE packet: message id = 0x58EFFFC0

40     10:56:43.468  04/20/08  Sev=Warning/3    IKE/0xE300002C
ISAKMP header invalid: Invalid version 15.12 found

41     10:56:43.468  04/20/08  Sev=Warning/3    IKE/0xE3000039
Received an invalid or malformed IKE packet: message id = 0xAD02ECC5

version 12.4
no service pad
service timestamps debug datetime localtime
service timestamps log datetime localtime
no service password-encryption
service internal
!
hostname gate
!
boot-start-marker
boot-end-marker
!
logging buffered 4096
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization exec default local
aaa authorization network vpngroup local
!
!
aaa session-id common
memory-size iomem 15
clock timezone GMT+3 3
clock summer-time GMT+3 recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip source-route
!
!
ip cef
!
!
no ip bootp server
ip domain name domain.ru
!
multilink bundle-name authenticated
!
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group vpngroup
key xxxxxxxxxxxx
dns xxx.xxx.xxx.xxx
domain domain.ru
pool dynpool
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
reverse-route
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list vpngroup
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
!
!
!
archive
log config
  hidekeys
!
!
interface FastEthernet0/0
description connected to LAN
ip address 192.168.0.1 255.255.255.0
ip access-group LAN_Firewall in
ip flow ingress
ip flow egress
ip nat inside
no ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
description connected to INTERNET
ip address yyy.yyy.yyy.yyy 255.255.255.128 secondary
ip address xxx.xxx.xxx.xxx 255.255.255.128
ip access-group Inet_Firewall in
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
crypto map clientmap
!
ip local pool dynpool 192.168.0.231 192.168.0.240
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx
!
ip flow-cache timeout inactive 60
ip flow-cache timeout active 10
ip flow-export version 5
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface FastEthernet0/1 overload
!
ip access-list extended Inet_Firewall
remark internalPorts
remark Log_SSH_connections
permit tcp any any eq 22 log-input
remark allowALL
permit ip any any
ip access-list extended LAN_Firewall
remark FullAccess
permit tcp host 192.168.0.6 any
remark allowAllUsers
permit icmp 192.168.0.0 0.0.255.255 any
remark adminRules
permit tcp host 192.168.0.100 192.168.0.0 0.0.0.255
!
access-list 1 permit 192.168.0.100
access-list 1 permit 192.168.0.75
access-list 1 permit 192.168.0.6
no cdp run
!
!
!
control-plane
!
!
gatekeeper
shutdown
!
!
line con 0
logging synchronous
line aux 0
line vty 0 4
logging synchronous
login authentication userauthen
transport input ssh
!
scheduler allocate 20000 1000

!
webvpn cef
!
end

>Настраиваю EasyVPN на 2811. Подскажите, а если клиент находится за натом, и
>не имеет реального ip адреса, будет ли работать vpn? И какие
>есть варианты в таком случае?

Вариант прописывать маршрутизацию между впн ип сетью и инсайлдовой сетью за 2811. а вообще хотелось бы увидеть тип впн туннеля

>>Настраиваю EasyVPN на 2811. Подскажите, а если клиент находится за натом, и
>>не имеет реального ip адреса, будет ли работать vpn? И какие
>>есть варианты в таком случае?
>
>Вариант прописывать маршрутизацию между впн ип сетью и инсайлдовой сетью за 2811.
>а вообще хотелось бы увидеть тип впн туннеля

хм, спасибо, но теме уже больше года, да и тунель четко работает уже год