URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 20088
[ Назад ]

Исходное сообщение
"подключение EasyVPN IPSEC"
Отправлено ll75 , 23-Ноя-09 13:52

подключение с помощью CiscoVPN-клиента получается но дальше не пускает....такое впечатление, что как и при PPTP VPN нужно на компе в локальной сети, к которому подключаемся прописывать явно статический маршрут.
Но вообще-то было впечатление от EasyVPN, что после подключения клиентом сразу можно просмотреть локальную сеть, т.к. в настройках циски присутствовали параметры:
dns .......
domain .....
в
crypto isakmp client configuration group sgroup
Как на самом деле можно без прописывания статического маршрута обойтись? Кусок конфига:
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login uzerlizt local
aaa authorization exec default local
aaa authorization network sgroup local
aaa session-id common
.....................
.....................
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group 3klient
key 123
dns 192.168.1.xx
domain my_domain
pool ukpool
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
!
crypto dynamic-map dynmap 1
set transform-set myset
!
!
crypto map clientmap client authentication list uzerlizt
crypto map clientmap isakmp authorization list sgroup
crypto map clientmap client configuration address respond
crypto map clientmap 1 ipsec-isakmp dynamic dynmap
!
!
!
!
!
!
interface FastEthernet0
description $ETH-LAN$
ip address 81.90.xxx.7 255.255.255.128
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip tcp adjust-mss 1412
duplex auto
speed auto
!
interface FastEthernet1
description $ETH-WAN$
no ip address
ip access-group Inbound in
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface FastEthernet9
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-FE 2$$ES_LAN$
ip address 192.168.1.13 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Async1
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
encapsulation slip
!
interface Async5
no ip address
encapsulation ppp
dialer in-band
dialer pool-member 2
async mode dedicated
no fair-queue
!
interface Dialer3
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username my_username password 7 1332454A1F0D343228
crypto map clientmap
!
....................
....................
ip local pool ukpool 192.168.1.204 192.168.1.206
.....................
.....................

Содержание

подключение EasyVPN IPSEC,Stell, 14:33 , 23-Ноя-09
- подключение EasyVPN IPSEC,ll75, 14:42 , 23-Ноя-09
  - подключение EasyVPN IPSEC,Stell, 14:44 , 23-Ноя-09
    - подключение EasyVPN IPSEC,ll75, 14:50 , 23-Ноя-09
      - подключение EasyVPN IPSEC,Stell, 14:51 , 23-Ноя-09
        
        подключение EasyVPN IPSEC,ll75, 14:58 , 23-Ноя-09
        
        подключение EasyVPN IPSEC,Stell, 15:08 , 23-Ноя-09
        
        подключение EasyVPN IPSEC,ll75, 15:17 , 23-Ноя-09

Сообщения в этом обсуждении

"подключение EasyVPN IPSEC"
Отправлено Stell , 23-Ноя-09 14:33

Выдавайте VPN клиентам адреса из сети отличной от LAN (192.168.1.0/24)

"подключение EasyVPN IPSEC"
Отправлено ll75 , 23-Ноя-09 14:42

>Выдавайте VPN клиентам адреса из сети отличной от LAN (192.168.1.0/24)
попробовал-теперь вот так
C:\Users>ipconfig
Настройка протокола IP для Windows

Ethernet adapter Подключение по локальной сети 4:
   DNS-суффикс подключения . . . . . : my_domain
   Локальный IPv6-адрес канала . . . : fe80::ed64:88f3:7e95:8af2%15
   IPv4-адрес. . . . . . . . . . . . : 192.168.2.204
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . :
Ethernet adapter Подключение по локальной сети:
   DNS-суффикс подключения . . . . . :
   Локальный IPv6-адрес канала . . . : fe80::1552:87b7:7732:8220%8
   IPv4-адрес. . . . . . . . . . . . : 81.90.xxx.7
   Маска подсети . . . . . . . . . . : 255.255.255.128
   Основной шлюз. . . . . . . . . : 81.90.xxx.1
Туннельный адаптер Подключение по локальной сети* 9:
   DNS-суффикс подключения . . . . . : my_domain
   Локальный IPv6-адрес канала . . . : fe80::5efe:192.168.2.204%24
   Основной шлюз. . . . . . . . . :
инет при этом работает - Split Tunneling работает...
но пингуется только инт-с Vlan1, машины из LAN не пингуются ....

"подключение EasyVPN IPSEC"
Отправлено Stell , 23-Ноя-09 14:44

На этих машинах стоит дефолтным маршрутом 192.168.1.13 ?

"подключение EasyVPN IPSEC"
Отправлено ll75 , 23-Ноя-09 14:50

>На этих машинах стоит дефолтным маршрутом 192.168.1.13 ?
нет, стоит по дефолту на них маршрут 192.168.1.1

"подключение EasyVPN IPSEC"
Отправлено Stell , 23-Ноя-09 14:51

interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-FE 2$$ES_LAN$
ip address 192.168.1.13 255.255.255.0
А на интерфейсе роутера у вас 192.168.1.13
Дефолтный маршрут должен смотреть на интерфейс роутера, поправьте.

"подключение EasyVPN IPSEC"
Отправлено ll75 , 23-Ноя-09 14:58

>А на интерфейсе роутера у вас 192.168.1.13
>Дефолтный маршрут должен смотреть на интерфейс роутера, поправьте.
т.е. по-любому на машинах в LAN должен стоять шлюз - 192.168.1.13?
а вот, чтобы получить доступ к всей сети - прийдётся перебивать на каждой машине шлюз?
и ещё поправил новый шлюз 192.168.1.13 на ё машине из локалки-она стала пинговаться от vpn-клиента по адресу, но по имени не хочет, хотя я указывал в конфиге и адрес днс-севера и домен:
crypto isakmp client configuration group 3klient
key my_key
dns 192.168.1.xx
domain my_domain
pool ukpool
!
В чём может быть трабл?

"подключение EasyVPN IPSEC"
Отправлено Stell , 23-Ноя-09 15:08

Если у вас на всех машинах шлюз 192.168.1.1 - сделайте такой IP на интерфейсе роутера.
Проверяйте работу ДНС.
nslookup <hostname> <dns_ip>
Попробуйте так же по полному имени: hostname.domain

"подключение EasyVPN IPSEC"
Отправлено ll75 , 23-Ноя-09 15:17

>nslookup <hostname> <dns_ip>
>Попробуйте так же по полному имени: hostname.domain
C:\Users>nslookup host.domain
DNS request timed out.
    timeout was 2 seconds.
Server:  UnKnown
Address:  192.168.1.хх:53
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Request to UnKnown timed-out
C:\Users>ping 192.168.1.хх
Обмен пакетами с 192.168.1.хх по с 32 байт данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Статистика Ping для 192.168.1.51:
    Пакетов: отправлено = 2, получено = 0, потеряно = 2
    (100% потерь)
Control-C
^C
т.е. получается я от клиента не пингую сам ДНС-сервер, хотя его айпишник циска назначила впн-клиенту верно...т.е. нужно или на инт-се Vlan1 на роутере прописать адрес 192.168.1.1 вместо 192.168.1.13 или на самом ДНС-сервере 192.168.1.хх прописать маршрут статический на 192.168.1.13-я правильно представляю ситуацию?