cisco 871 IOS C870-ADVSECURITYK9-M 12.4(15)T4

всё делал по цисковскому мануалу один в один

aaa new-model
!
aaa authentication login rtr-remote local
aaa authorization network rtr-remote local
!
aaa session-id common
!
ip cef
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
no ip domain lookup
ip domain name bbb.aaa.kz
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
lifetime 480
!
crypto isakmp client configuration group rtr-remote
key 123
dns 192.168.19.100 213.157.40.87
domain bbb.aaa.kz
pool ippool
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set vpn1 esp-3des esp-sha-hmac
!
crypto ipsec client ezvpn ezvpnclient
connect auto
group 2 key 123
mode client
peer 192.168.100.1
xauth userid mode interactive
!
crypto dynamic-map dynmap 1
set transform-set vpn1
reverse-route
!
crypto map dynmap isakmp authorization list rtr-remote
crypto map dynmap client configuration address respond
!
crypto map static-map 1 ipsec-isakmp dynamic dynmap
!
bridge irb
!
interface FastEthernet4
ip address 213.157.a.b 255.255.255.0
ip nat outside
ip virtual-reassembly
ip route-cache policy
ip route-cache flow
duplex auto
speed auto
crypto map static-map
crypto ipsec client ezvpn ezvpnclient
!
interface Vlan1
description ip access-group users in
ip address 192.168.19.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip route-cache policy
ip route-cache flow
ip tcp adjust-mss 1452
crypto ipsec client ezvpn ezvpnclient inside
!
ip local pool ippool 192.168.255.1 192.168.255.2
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 gw_aadr
!
ip nat inside source list 101 interface FastEthernet4 overload
access-list 101 permit ip any any
no cdp run

в удаленном офисе ставлю win vpn client 5.0.01.0600

пишу ему в настройках адрес - 213.157.a.b
имя пользователя - rtr-remote
пароль - 123

и нифига....

где я неправ?

• Easy VPN и виндовый VPN клиент ,CrAzOiD, 09:23 , 09-Сен-08
  • Easy VPN и виндовый VPN клиент ,Ixxtiander, 11:13 , 09-Сен-08
    • Easy VPN и виндовый VPN клиент ,CrAzOiD, 11:21 , 09-Сен-08
      • Easy VPN и виндовый VPN клиент ,Ixxtiander, 12:36 , 09-Сен-08
        • Easy VPN и виндовый VPN клиент ,andrew, 12:51 , 09-Сен-08
          • Easy VPN и виндовый VPN клиент ,Ixxtiander, 13:06 , 09-Сен-08
            • Easy VPN и виндовый VPN клиент ,andrew, 13:12 , 09-Сен-08
              • Easy VPN и виндовый VPN клиент ,Ixxtiander, 14:02 , 09-Сен-08
                • Easy VPN и виндовый VPN клиент ,andrew, 14:36 , 09-Сен-08
                  • Easy VPN и виндовый VPN клиент ,Ixxtiander, 14:42 , 09-Сен-08
                    • Easy VPN и виндовый VPN клиент ,andrew, 14:44 , 09-Сен-08
                      • Easy VPN и виндовый VPN клиент ,Ixxtiander, 14:53 , 09-Сен-08
                        • Easy VPN и виндовый VPN клиент ,andrew, 14:58 , 09-Сен-08
                          • Easy VPN и виндовый VPN клиент ,Ixxtiander, 15:58 , 09-Сен-08
                            • Easy VPN и виндовый VPN клиент ,CrAzOiD, 16:10 , 09-Сен-08
                              • Easy VPN и виндовый VPN клиент ,Ixxtiander, 17:15 , 09-Сен-08
                                • Easy VPN и виндовый VPN клиент ,CrAzOiD, 17:41 , 09-Сен-08

>[оверквотинг удален]
>
>в удаленном офисе ставлю win vpn client 5.0.01.0600
>
>пишу ему в настройках адрес - 213.157.a.b
>имя пользователя - rtr-remote
>пароль - 123
>
>и нифига....
>
>где я неправ?

включите дебаг на клиенте и смотрите

>включите дебаг на клиенте и смотрите

дебаг на винде? может на циске? что конкретно надо дебаггить то?

>>включите дебаг на клиенте и смотрите
>
>дебаг на винде? может на циске? что конкретно надо дебаггить то?

для начала посмотрите на клиенте

>>>включите дебаг на клиенте и смотрите
>>
>>дебаг на винде? может на циске? что конкретно надо дебаггить то?
>
>для начала посмотрите на клиенте

16     14:31:57.376  09/09/08  Sev=Info/4    CM/0x63100014
Unable to establish Phase 1 SA with server "213.157.a.b" because of "DEL_REASON_PEER_NOT_RESPONDING"

>>>>включите дебаг на клиенте и смотрите
>>>
>>>дебаг на винде? может на циске? что конкретно надо дебаггить то?
>>
>>для начала посмотрите на клиенте
>
>16     14:31:57.376  09/09/08  Sev=Info/4 CM/0x63100014
>Unable to establish Phase 1 SA with server "213.157.a.b" because of "DEL_REASON_PEER_NOT_RESPONDING"
>

Виндовый клиент не умеет easy vpn или lan-to-lan ipsec в чистом виде.
http://www.opennet.me/openforum/vsluhforumID6/15579.html

>[оверквотинг удален]
>>>
>>>для начала посмотрите на клиенте
>>
>>16     14:31:57.376  09/09/08  Sev=Info/4 CM/0x63100014
>>Unable to establish Phase 1 SA with server "213.157.a.b" because of "DEL_REASON_PEER_NOT_RESPONDING"
>>
>
>Виндовый клиент не умеет easy vpn или lan-to-lan ipsec в чистом виде.
>
>http://www.opennet.me/openforum/vsluhforumID6/15579.html

По этой ссылке вопрос так и остался без ответа....

Объясните подробнее, что не умеет виндовый клиент? Зачем тогда он вообще нужен? У меня задача подключиться с циске в удаленном офисе и создать туннель винда - циска

>>
>>Виндовый клиент не умеет easy vpn или lan-to-lan ipsec в чистом виде.
>>
>>http://www.opennet.me/openforum/vsluhforumID6/15579.html
>
>По этой ссылке вопрос так и остался без ответа....
>
>Объясните подробнее, что не умеет виндовый клиент? Зачем тогда он вообще нужен?
>У меня задача подключиться с циске в удаленном офисе и создать
>туннель винда - циска

Он умеет L2TP и PPTP VPN, а VPN в чистом виде он не может.
Пример конфига для виндового клиента приведен в сылке.
В случае вашего конфига надо поставить Cisco VPN клиент или аналогичный и подключаться им.

ок. забил вот такой конфиг

aaa new-model
!
aaa authorization network hw-client-groupname local
!
aaa session-id common
!
ip cef
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
no ip domain lookup
ip domain name aaa.bbb.kz
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration address-pool local dynpool
!
crypto isakmp client configuration group hw-client-groupname
key 123
dns 192.168.19.100 213.157.40.87
domain aaa.bbb.kz
pool ippool
!
crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 1
set transform-set transform-1
reverse-route
!
crypto map dynmap isakmp authorization list hw-client-groupname
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap
!
bridge irb
!
interface FastEthernet4
ip address 213.157.a.b 255.255.255.0
ip nat outside
ip virtual-reassembly
ip route-cache policy
ip route-cache flow
duplex auto
speed auto
no cdp enable
crypto map dynmap
!
interface Vlan1
ip address 192.168.19.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip route-cache policy
ip route-cache flow
ip tcp adjust-mss 1452
!
ip local pool ippool 192.168.255.1 192.168.255.2
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 gw_addr
ip nat inside source list 101 interface FastEthernet4 overload
access-list 101 deny   ip any 192.168.255.0 0.0.0.3
access-list 101 permit ip any any
no cdp run

в логах VPN client такая же ошибка

>в логах VPN client такая же ошибка

Этот конфиг для Cisco VPN клиента. Не для клиента Windows. Для Windows клиента там приведен ниже. Он начинается со строчки:

>> Конфигурация маршрутизатора (пишу по памяти, где-то могу ошибиться, опечататься или что-то забыть):

>>в логах VPN client такая же ошибка
>
>Этот конфиг для Cisco VPN клиента. Не для клиента Windows. Для Windows
>клиента там приведен ниже. Он начинается со строчки:
>
>>> Конфигурация маршрутизатора (пишу по памяти, где-то могу ошибиться, опечататься или что-то забыть):

Неправда!

Вот тут посмотрите!
http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/p...

>Вот тут посмотрите!
>http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/p...

This document describes how to configure a host to router Easy VPN Solution based on the
Cisco VPN Client and Cisco IOS.

Тут про Windows ничего не сказано.

>>Вот тут посмотрите!
>>http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/p...
>
>This document describes how to configure a host to router Easy VPN
>Solution based on the
>Cisco VPN Client and Cisco IOS.
>
>Тут про Windows ничего не сказано.

А на картинках разве не виндовые окошки? :)

>>>Вот тут посмотрите!
>>>http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/p...
>>
>>This document describes how to configure a host to router Easy VPN
>>Solution based on the
>>Cisco VPN Client and Cisco IOS.
>>
>>Тут про Windows ничего не сказано.
>
>А на картинках разве не виндовые окошки? :)

Cisco VPN Client - это программа для поднятия VPN соединений между Windows и Cisco. Запускатеся она в Windows, там, естественно, будут виндовые окошки.

>[оверквотинг удален]
>>>Solution based on the
>>>Cisco VPN Client and Cisco IOS.
>>>
>>>Тут про Windows ничего не сказано.
>>
>>А на картинках разве не виндовые окошки? :)
>
>Cisco VPN Client - это программа для поднятия VPN соединений между Windows
>и Cisco. Запускатеся она в Windows, там, естественно, будут виндовые окошки.
>

Ну мне это и нужно! Как вы меня не можете понять!

>[оверквотинг удален]
>>>>
>>>>Тут про Windows ничего не сказано.
>>>
>>>А на картинках разве не виндовые окошки? :)
>>
>>Cisco VPN Client - это программа для поднятия VPN соединений между Windows
>>и Cisco. Запускатеся она в Windows, там, естественно, будут виндовые окошки.
>>
>
>Ну мне это и нужно! Как вы меня не можете понять!

я же вам сказал смотреть логи Cisco VPN Client

>я же вам сказал смотреть логи Cisco VPN Client

смотрю

16     19:11:28.836  09/09/08  Sev=Info/4    CM/0x63100014
Unable to establish Phase 1 SA with server "213.157.a.b" because of "DEL_REASON_PEER_NOT_RESPONDING"

>>я же вам сказал смотреть логи Cisco VPN Client
>
>смотрю
>
>16     19:11:28.836  09/09/08  Sev=Info/4 CM/0x63100014
>Unable to establish Phase 1 SA with server "213.157.a.b" because of "DEL_REASON_PEER_NOT_RESPONDING"

значит у вас либо не доступен сервер, либо он неправильно настроен
что логи на кошке говорят?
и проверьте конфигурацию кошки