URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22575
[ Назад ]

Исходное сообщение
"VPN сервер за Cisco1811"
Отправлено Davor , 03-Май-11 21:52

Вечер добрый!
Проблема такая - есть циско1811, позади нее, в локалке, находится сервер VPN. Достучаться до него не получается. Хотя порт 1723 проброшен и гре разрешен. При попытке соединения процесс доходит до проверки пользователя\пароля и задумывается на пару минут, после чего выдаёт ошибку 806. С сервером проблем нет - локально раздаёт соединения. А вот через циску ни в какую.
Конфиг кошки предоставляю

Current configuration : 16358 bytes 
  ! 
  version 12.4 
  no service pad 
  service tcp-keepalives-in 
  service tcp-keepalives-out 
  service timestamps debug datetime msec 
  service timestamps log datetime msec 
  service password-encryption 
  ! 
  hostname CISCO 
  ! 
  boot-start-marker 
  boot-end-marker 
  ! 
  logging buffered 256000 warnings 
  enable secret 5 $1$CmrU$IA2Odw4H.1/h3No5HpjsM1 
  ! 
  aaa new-model 
  ! 
  ! 
  ! 
  aaa session-id common 
  ! 
  resource policy 
  ! 
  no ip source-route 
  no ip gratuitous-arps 
  ! 
  ! 
  ip cef 
  ! 
  ! 
  no ip bootp server 
  no ip domain lookup 
  ip sla 1 
    icmp-echo 87.250.251.11 
    timeout 2000 
    threshold 40 
    frequency 15 
  ip sla schedule 1 life forever start-time now 
  ! 
  ! 
  ! 
  no spanning-tree vlan 1 
  username admin privilege 15 secret 5 $1$4ptu$/3Bv8RpiVTKqTCAtchJ80. 
  ! 
  ! 
  track 11 rtr 1 reachability 
    delay down 30 
  ! 
  ! 
  ! 
  ! 
  ! 
  interface Tunnel1 
    ip address 192.168.4.1 255.255.255.252 
    ip mtu 1460 
    tunnel source FastEthernet0 
    tunnel destination Z.Z.Z.Z 
    tunnel mode ipip 
    tunnel checksum 
  ! 
  interface Tunnel2 
    ip address 192.168.5.1 255.255.255.252 
    ip mtu 1460 
    tunnel source FastEthernet1 
    tunnel destination Z.Z.Z.Z 
    tunnel mode ipip 
    tunnel checksum 
  ! 
  interface FastEthernet0 
    description LINK-TO-ISP1 
    ip address X.X.X.X 255.255.255.248 
    ip nat outside 
    ip virtual-reassembly 
    duplex auto 
    speed auto 
  ! 
  interface FastEthernet1 
    description LINK-to-ISP2 
    ip address Y.Y.Y.Y 255.255.255.248 
    ip nat outside 
    ip virtual-reassembly 
    duplex auto 
    speed auto 
  ! 
  interface FastEthernet2 
  ! 
  interface FastEthernet3 
  ! 
  interface FastEthernet4 
  ! 
  interface FastEthernet5 
  ! 
  interface FastEthernet6 
  ! 
  interface FastEthernet7 
  ! 
  interface FastEthernet8 
  ! 
  interface FastEthernet9 
  ! 
  interface Vlan1 
    ip address 192.168.111.10 255.255.255.0 
    ip nat inside 
    ip virtual-reassembly 
    ip route-cache flow 
    ip tcp adjust-mss 1452 
  ! 
  interface Async1 
    no ip address 
    encapsulation slip 
  ! 
  ip route 0.0.0.0 0.0.0.0 X.X.X.X1 track 11 
  ip route 192.168.50.0 255.255.255.0 192.168.4.2 track 11 
  ip route 192.168.2.0 255.255.255.0 192.168.4.2 track 11 
  ip route 192.168.1.0 255.255.255.0 192.168.4.2 track 11 
  ip route 0.0.0.0 0.0.0.0 Y.Y.Y.Y1 50 
  ip route 87.250.251.11 255.255.255.255 X.X.X.X1 
  ip route 192.168.1.0 255.255.255.0 192.168.5.2 50 
  ip route 192.168.2.0 255.255.255.0 192.168.5.2 50 
  ip route 192.168.50.0 255.255.255.0 192.168.5.2 50 
  ! 
  ! 
  no ip http server 
  no ip http secure-server 
  ip nat inside source route-map ISP1 interface FastEthernet0 overload 
  ip nat inside source route-map ISP2 interface FastEthernet1 overload 
  ip nat inside source static tcp 192.168.111.178 1723 Y.Y.Y.Y 1723 route-map ISP2 extendable 
  ip nat inside source static tcp 192.168.111.178 1723 X.X.X.X 1723 route-map ISP1 extendable 
  ! 
  access-list 88 permit 192.168.111.0 0.0.0.255 
  access-list dynamic-extended 
  no cdp run 
  ! 
  ! 
  ! 
  route-map ISP1 permit 10 
    match ip address 88 
    match interface FastEthernet0 
  ! 
  route-map ISP2 permit 10 
    match ip address 88 
    match interface FastEthernet1 
  ! 
  end

Содержание

VPN сервер за Cisco1811,merko, 08:50 , 04-Май-11
- VPN сервер за Cisco1811,Корнилов, 09:37 , 04-Май-11
VPN сервер за Cisco1811,merko, 09:16 , 04-Май-11

Сообщения в этом обсуждении

"VPN сервер за Cisco1811"
Отправлено merko , 04-Май-11 08:50

возможно что-то с роут-мапами, по моему они там не нужны
у меня работает проброс VPN следующим образом:
ip nat inside source static tcp 172.25.1.1 1723 195.XX.XX.XX 1723 extendable

а маршрутизацию по источнику я сделал так:

route-map SLA permit 10
match ip address SLA1
set ip next-hop (на ISP1)
set interface Dialer1
!
route-map SLA permit 20
match ip address SLA2
set ip next-hop (на ISP2)
set interface FastEthernet0/1
!
ip access-list standard SLA1
permit (адреса ISP1)
ip access-list standard SLA2
permit (адреса ISP2)
!
ip local policy route-map SLA

"VPN сервер за Cisco1811"
Отправлено Корнилов , 04-Май-11 09:37

> возможно что-то с роут-мапами, по моему они там не нужны
> у меня работает проброс VPN следующим образом:
> ip nat inside source static tcp 172.25.1.1 1723 195.XX.XX.XX 1723 extendable
переписал проброс без роут-мапа - всё заработало. Спасибо огромное :)

"VPN сервер за Cisco1811"
Отправлено merko , 04-Май-11 09:16

>[оверквотинг удален]
>   !
>   route-map ISP1 permit 10
>     match ip address 88
>     match interface FastEthernet0
>   !
>   route-map ISP2 permit 10
>     match ip address 88
>     match interface FastEthernet1
>   !
>   end
интересные правила у тебя получаются)) ты же ничего ими не разруливаешь...
сделай тогда так:
   route-map ISP1 permit 10
     match ip address 88
     match interface FastEthernet0
   !
   route-map ISP2 permit 10
     match ip address 99
     match interface FastEthernet1
access-list 88 permit (ip от ISP1)
access-list 99 permit (ip от ISP2)
и зачем кстати access-list dynamic-extended ?