Всем привет.
В наличии есть маршрутизатор Cisco 2811. В настоящий момент по не известным мне причинам максимальное количество VPN подключений "15" где может стоять ограничение? Сразу говорю настраивал не я. Приходится поддерживать то что есть. Помогите настроить маршрутизатор убрать всё не нужное и оставить только настройки для VPN подключения.Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(8), RELEASE SOFTWARE (fc1)
System image file is "flash:c2800nm-adventerprisek9-mz.124-8.bin"
Cisco 2811 (revision 53.51) with 249856K/12288K bytes of memory.
Processor board ID FCZ094772C0
2 FastEthernet interfaces
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity enabled.
239K bytes of non-volatile configuration memory.
62720K bytes of ATA CompactFlash (Read/Write)
Configuration register is 0x2102Серверов авторизации у меня нету. Вот мой конфиг:
ska-cisco2811-vpn#show run
Building configuration...Current configuration : 8597 bytes
!
! Last configuration change at 10:39:57 Moscow Wed Sep 28 2011 by user1
! NVRAM config last updated at 10:18:59 Moscow Wed Sep 28 2011 by user2
!
configuration mode exclusive manual
version 12.4
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname ska-cisco2811-vpn
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 *****************
!
aaa new-model
!
!
aaa authentication login vtymethod local group radius enable
aaa authentication login conmethod local group radius enable
aaa authorization network default local
aaa accounting network default start-stop group radius
!
aaa session-id common
!
resource policy
!
clock timezone Moscow 3
clock summer-time Moscow date Mar 30 2003 2:00 Oct 26 2003 3:00
clock calendar-valid
no ip source-route
!
!
ip cef
ip dhcp database firma
no ip dhcp use vrf connected
no ip dhcp conflict logging
ip dhcp excluded-address 192.168.22.1
!
ip dhcp pool firma
network 192.168.22.0 255.255.255.0
update dns both override
default-router 192.168.22.1
domain-name firma.corp
dns-server 192.168.10.217
lease infinite
update arp
!
!
no ip bootp server
ip domain name firma.corp
ip name-server 192.168.10.217
ip inspect name in2out rcmd
ip inspect name in2out ftp
ip inspect name in2out tftp
ip inspect name in2out tcp timeout 43200
ip ddns update method sdm_ddns1
DDNS both
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
ip pmtu
ip mtu adjust
!
!
!
voice-card 0
no dspfarm
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto pki trustpoint TP-self-signed-*******
certificate self-signed 01
****
****
****
****
quit
username user1 privilege 0 secret 5 *****
username user2 privilege 0 secret 5 *****
username user3 privilege 0 password 7 *****
!
!
!
crypto isakmp policy 5
authentication pre-share
group 2
crypto isakmp key dmvpnkey address 0.0.0.0 0.0.0.0
crypto isakmp nat keepalive 20
!
!
crypto ipsec transform-set dmvpnset esp-3des esp-sha-hmac
!
crypto ipsec profile dmvpnprof
set transform-set dmvpnset
!
!
!
!
interface Loopback1
ip address 192.168.117.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/0
description $FW_OUTSIDE$
ip address **.***.***.** 255.255.255.248
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
ip nat outside
ip inspect in2out out
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
description $FW_INSIDE$
ip address 192.168.11.250 255.255.255.248
no ip redirects
no ip proxy-arp
ip nat inside
no ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
interface Virtual-Template1
description $FW_INSIDE$
ip address 192.168.22.1 255.255.255.0
ip helper-address 192.168.10.217
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1400
ip mroute-cache
no logging event link-status
peer default ip address dhcp-pool firmappp encrypt mppe auto
ppp authentication pap chap eap ms-chap ms-chap-v2
!
router eigrp 1
network 192.168.10.0
network 192.168.11.0
network 192.168.22.0
network 192.168.23.0
network 192.168.24.0
network 192.168.25.0
network 192.168.26.0
auto-summary
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 **.***.***.**
ip route 192.168.10.0 255.255.255.0 192.168.11.254
ip route 192.168.11.144 255.255.255.240 192.168.11.254
ip route 192.168.11.160 255.255.255.224 192.168.11.254
ip route 192.168.11.192 255.255.255.224 192.168.11.254
ip route 192.168.11.224 255.255.255.240 192.168.11.254
ip route 192.168.11.240 255.255.255.248 192.168.11.254
ip route 192.168.23.0 255.255.255.0 192.168.22.7
ip route 192.168.24.0 255.255.255.0 192.168.22.4
ip route 192.168.25.0 255.255.255.0 192.168.22.5
ip route 192.168.26.0 255.255.255.0 192.168.22.6
!
ip flow-export source FastEthernet0/1
ip flow-export version 5
ip flow-export destination 192.168.10.225 9996
!
no ip http server
ip http access-class 2
ip http authentication local
no ip http secure-server
ip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source list 2 interface Virtual-Template1 overload
!
ip access-list extended DenyInet
permit tcp any any
permit ip any any
deny tcp host 192.168.10.14 any eq www
ip access-list extended SHILD
deny tcp any 0.0.0.0 255.255.0.0 eq 139
!
!
ip prefix-list LIST-IN seq 10 permit 0.0.0.0/0
ip prefix-list LIST-IN seq 20 deny 0.0.0.0/0 le 32kron occurrence ClearHost in 1 recurring
policy-list ClearHost
!
kron occurrence bgp in 12:1 recurring
!
kron occurrence reboot at 3:59 recurring
!
kron policy-list bgp
cli clear ip bgp *
!
kron policy-list reboot
cli reload y *
cli reload n *
cli reload y *
cli reload n *
!
access-list 1 permit 192.168.10.0 0.0.0.255
access-list 2 permit 192.168.22.0 0.0.0.255
access-list 3 permit 192.168.23.0 0.0.0.255
access-list 4 deny any
no cdp run
!
!!
!
control-plane
!
!
!
!
!
!
!
!
!
banner login ^C
This is a private system for and by firma. Authorization from firma management is required to use this system. Use by unauthorized persons is prohobited.^C
!
line con 0
login authentication conmethod
line aux 0
line vty 0 4
access-class 1 in
exec-timeout 30 0
transport input ssh!
scheduler process-watchdog terminate
scheduler allocate 20000 1000
ntp clock-period 17179991
ntp master
ntp server 85.114.26.194 source FastEthernet0/0
!
end
>[оверквотинг удален]
> interface Virtual-Template1
> description $FW_INSIDE$
> ip address 192.168.22.1 255.255.255.0
> ip helper-address 192.168.10.217
> ip nat inside
> ip virtual-reassembly
> ip tcp adjust-mss 1400
> ip mroute-cache
> no logging event link-status
> peer default ip address dhcp-pool firmaПопробуйте так:
interface Virtual-Template1
ip unnanb loop 2int loop 2
ip address 192.168.22.1 255.255.255.0
> Попробуйте так:
> interface Virtual-Template1
> ip unnanb loop 2
> int loop 2
> ip address 192.168.22.1 255.255.255.0Это создание новой петли? Просто вопрос то в том почему не пускает больше 15 подключений?
>> Попробуйте так:
>> interface Virtual-Template1
>> ip unnanb loop 2
>> int loop 2
>> ip address 192.168.22.1 255.255.255.0
> Это создание новой петли? Просто вопрос то в том почему не пускает
> больше 15 подключений?peer default ip address dhcp-pool firma - какой размер пула? Может исчерпалось адресное пространство?
>>> Попробуйте так:
>>> interface Virtual-Template1
>>> ip unnanb loop 2
>>> int loop 2
>>> ip address 192.168.22.1 255.255.255.0
>> Это создание новой петли? Просто вопрос то в том почему не пускает
>> больше 15 подключений?
> peer default ip address dhcp-pool firma - какой размер пула? Может исчерпалось
> адресное пространство?ip dhcp pool firma
network 192.168.22.0 255.255.255.0
update dns both override
default-router 192.168.22.1
domain-name firma.corp
dns-server 192.168.10.217
lease infinite
update arpВроде ограничений нету
>> Попробуйте так:
>> interface Virtual-Template1
>> ip unnanb loop 2
>> int loop 2
>> ip address 192.168.22.1 255.255.255.0
> Это создание новой петли? Просто вопрос то в том почему не пускает
> больше 15 подключений?это какое-то там ограничение в недрах кошки, где-то на cisco.com попадалось если поиском по форуму пошарите - найдете что вы не первый, кто нарвался на эту штуку :)
>>> Попробуйте так:
>>> interface Virtual-Template1
>>> ip unnanb loop 2
>>> int loop 2
>>> ip address 192.168.22.1 255.255.255.0
>> Это создание новой петли? Просто вопрос то в том почему не пускает
>> больше 15 подключений?
> это какое-то там ограничение в недрах кошки, где-то на cisco.com попадалось если
> поиском по форуму пошарите - найдете что вы не первый, кто
> нарвался на эту штуку :)Поиск по форуму не к чему не привел (( искал гуглом "site:opennet.ru Cisco 2811 лимит VPN подключений"
>[оверквотинг удален]
>>>> ip unnanb loop 2
>>>> int loop 2
>>>> ip address 192.168.22.1 255.255.255.0
>>> Это создание новой петли? Просто вопрос то в том почему не пускает
>>> больше 15 подключений?
>> это какое-то там ограничение в недрах кошки, где-то на cisco.com попадалось если
>> поиском по форуму пошарите - найдете что вы не первый, кто
>> нарвался на эту штуку :)
> Поиск по форуму не к чему не привел (( искал гуглом "site:opennet.ru
> Cisco 2811 лимит VPN подключений"На сайте cisco.com я нашел информацию "Support of up to 1500 VPN tunnels with the AIM-EPII-PLUS Module" как я понимаю что с данным модулем эта кошка поддерживает 1500 vpn подключений а вот сколько она поддерживает без этого модуля я не нашел.
>[оверквотинг удален]
>>>> ip unnanb loop 2
>>>> int loop 2
>>>> ip address 192.168.22.1 255.255.255.0
>>> Это создание новой петли? Просто вопрос то в том почему не пускает
>>> больше 15 подключений?
>> это какое-то там ограничение в недрах кошки, где-то на cisco.com попадалось если
>> поиском по форуму пошарите - найдете что вы не первый, кто
>> нарвался на эту штуку :)
> Поиск по форуму не к чему не привел (( искал гуглом "site:opennet.ru
> Cisco 2811 лимит VPN подключений"Ну например вот отголоски.
http://www.opennet.me/openforum/vsluhforumID6/9195.html
>[оверквотинг удален]
>>>>> ip address 192.168.22.1 255.255.255.0
>>>> Это создание новой петли? Просто вопрос то в том почему не пускает
>>>> больше 15 подключений?
>>> это какое-то там ограничение в недрах кошки, где-то на cisco.com попадалось если
>>> поиском по форуму пошарите - найдете что вы не первый, кто
>>> нарвался на эту штуку :)
>> Поиск по форуму не к чему не привел (( искал гуглом "site:opennet.ru
>> Cisco 2811 лимит VPN подключений"
> Ну например вот отголоски.
> http://www.opennet.me/openforum/vsluhforumID6/9195.htmlПоправил
interface Virtual-Template1
description $FW_INSIDE$
ip unnumbered Loopback1interface Loopback1
ip address 192.168.22.1 255.255.255.0
ip nat inside
ip virtual-reassemblyЗавтра посмотрю как пользователи будут конектится.
>[оверквотинг удален]
>> http://www.opennet.me/openforum/vsluhforumID6/9195.html
> Поправил
> interface Virtual-Template1
> description $FW_INSIDE$
> ip unnumbered Loopback1
> interface Loopback1
> ip address 192.168.22.1 255.255.255.0
> ip nat inside
> ip virtual-reassembly
> Завтра посмотрю как пользователи будут конектится.Всё проверил работает, подключился 16 пользователем и всё зашибись, СПАСИБО!!!