URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23102
[ Назад ]

Исходное сообщение
"Хелп! Нет маршрутизации с локалкой - VPN тунель cisco-client "
Отправлено meb1us , 15-Сен-11 17:11

Доброго дня.
Прошу помощи - посмотрите свежим взглядом:
Есть CiSCO 1841 ( IOS ver. 12.4(24)T5)
Задача настроить удаленный доступ в офис. посредством cisco client-a (5-ой версии).
Вроде делал неоднократно - все работало, а тут никак (клиент коннектится, но пинги с машинами в офисе не проходят) :(
Вот кусок конфига:

aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
!
aaa session-id common
ip source-route
[skip]
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group vpnclient
key XXXXXXXX
dns 8.8.8.8
domain mcity
pool ippool
acl 103
include-local-lan
netmask 255.255.255.0
!
crypto isakmp client configuration group vpnclien
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
reverse-route
qos pre-classify
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
[skip]
interface FastEthernet0/0.10
encapsulation dot1Q 10
ip address 80.XXX.XXX.66 255.255.255.248
ip access-group 110 in
ip nat outside
ip virtual-reassembly
no ip mroute-cache
crypto map clientmap
[skip]
interface FastEthernet0/1
description Local Network
ip address 192.168.0.1 255.255.255.0
ip access-group 101 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
[skip]
ip local pool ippool 192.168.50.1 192.168.50.10
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 80.XXX.XXX.65
[skip]
ip nat pool MyNatPool 80.XXX.XXX.66 80.XXX.XXX.66 netmask 255.255.255.248
ip nat inside source route-map nonat pool MyNatPool overload
[skip]
access-list 103 permit ip 192.168.50.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 107 deny ip 192.168.0.0 0.0.0.255 192.168.50.0 0.0.0.225
access-list 107 permit ip 192.168.0.0 0.0.0.255 any
[skip]
route-map nonat permit 10
match ip address 107
Единственный момент пытаюсь прорваться из под 7-ки (трейс в сторону локалки показывает что пакеты уходят не в тунель, а по хитрому маршруту из 20-ти хопов и потом теряется). Может нужно на машине с клиентом прописывать маршрутизацию? Хотя раньше (на 515pix-e и 2800) я этого не делал ?
Криптомап повесил не от хорошей жизни, думал что обратный трафик уходит через NAT, однако в логах не вижу, что-бы что-то отбивалось.
Посоветуйте куда дальше копать?
Заранее большое спасибо!
WBR,

Содержание

Хелп! Нет маршрутизации с локалкой - VPN тунель cisco-client ,meb1us, 12:25 , 16-Сен-11

Сообщения в этом обсуждении

"Хелп! Нет маршрутизации с локалкой - VPN тунель cisco-client "
Отправлено meb1us , 16-Сен-11 12:25

Вот еще какие мысли:
странно что local ident по нулям или так должно быть?
Или маршрутизация тут не причем, а просто тунель криво работает?
потому как    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
Router101#sh cry isa sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
80.XXX.XXX.66    178.176.XXX.193  QM_IDLE           1002 ACTIVE VPNclient
IPv6 Crypto ISAKMP SA

Router101#sh cry ips sa
interface: FastEthernet0/0.10
    Crypto map tag: mymap, local addr 80.XXX.XXX.66
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.50.1/255.255.255.255/0/0)
   current_peer 178.176.XXX.193 port 54476
     PERMIT, flags={}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 207, #pkts decrypt: 207, #pkts verify: 207
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
     local crypto endpt.: 80.XXX.XXX.66, remote crypto endpt.: 178.176.XXX.193
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0.10
     current outbound spi: 0xD85E864E(3630073422)
     PFS (Y/N): N, DH group: none
     inbound esp sas:
      spi: 0x78E03F81(2027962241)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel UDP-Encaps, }
        conn id: 2001, flow_id: FPGA:1, sibling_flags 80000046, crypto map: mymap
        sa timing: remaining key lifetime (k/sec): (4434746/3413)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
      spi: 0xD85E864E(3630073422)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel UDP-Encaps, }
        conn id: 2002, flow_id: FPGA:2, sibling_flags 80000046, crypto map: mymap
        sa timing: remaining key lifetime (k/sec): (4434777/3413)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
     outbound ah sas:
     outbound pcp sas:

Дебаг вот что вещает:

.Sep 16 11:56:10: ISAKMP:(1002):purging node 1704405348
.Sep 16 11:56:11: %IP_VFR-4-FRAG_TABLE_OVERFLOW: FastEthernet0/1: the fragment table has reached its maximum threshold 16
.Sep 16 11:56:12: ISAKMP (1002): received packet from 178.176.XXX.193 dport 4500 sport 54476 Global (R) QM_IDLE
.Sep 16 11:56:12: ISAKMP: set new node -1185914787 to QM_IDLE
.Sep 16 11:56:12: ISAKMP:(1002): processing HASH payload. message ID = -1185914787
.Sep 16 11:56:12: ISAKMP:(1002): processing NOTIFY DPD/R_U_THERE protocol 1
        spi 0, message ID = -1185914787, sa = 663A6834
.Sep 16 11:56:12: ISAKMP:(1002):deleting node -1185914787 error FALSE reason "Informational (in) state 1"
.Sep 16 11:56:12: ISAKMP:(1002):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY
.Sep 16 11:56:12: ISAKMP:(1002):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE
.Sep 16 11:56:12: ISAKMP:(1002):DPD/R_U_THERE received from peer 178.176.XXX.193, sequence 0xC88A078F
.Sep 16 11:56:12: ISAKMP: set new node 1681074263 to QM_IDLE
.Sep 16 11:56:12: ISAKMP:(1002):Sending NOTIFY DPD/R_U_THERE_ACK protocol 1
        spi 1702354424, message ID = 1681074263
.Sep 16 11:56:12: ISAKMP:(1002): seq. no 0xC88A078F
.Sep 16 11:56:12: ISAKMP:(1002): sending packet to 178.176.XXX.193 my_port 4500 peer_port 54476 (R) QM_IDLE
.Sep 16 11:56:12: ISAKMP:(1002):Sending an IKE IPv4 Packet.
.Sep 16 11:56:12: ISAKMP:(1002):purging node 1681074263
.Sep 16 11:56:12: ISAKMP:(1002):Input = IKE_MESG_FROM_PEER, IKE_MESG_KEEP_ALIVE
.Sep 16 11:56:12: ISAKMP:(1002):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE
P.S. уже другую схему использовал из всем известного примера
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
= такая же фигня. Или циска 1841 не поддерживает работу по данной схеме ?
Спасибо за ответы.
WBR,