URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23355
[ Назад ]

Исходное сообщение
"PPTP клиент не видит локальную сеть"

Отправлено alienshot , 07-Дек-11 01:36 
PPTP клиент не видит локальную сеть.

Впервые пришлось конфигурировать Cisco 2911 так что сильно не ругайте)
Подключаюсь c Win7 к PPTP серверу, получаю ip, dns и тд...

Но ни одного пакета на адреса локальной сети отправить не могу, соответственно кроме как на адрес самой кошки.

Что только не перепробовал, нужна помощь знатаков, уверен что проблема на поверхности, но в силу отсутствия опыта я не могу ее увидеть и исправить.
Врубил все логи ACL, пусто, инет пробрасыватся такое чувство что трабл в AAA.
Как по вашему вообще конфиг для новичка есть ли вопиющие ошибки и косяки? Что делать с PPTP? Заранее благодарен!

Вот конфиг кошки:


version 15.1
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service compress-config
service sequence-numbers
!
hostname Cisco
!
boot-start-marker
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200
logging console critical
enable secret 5 //////////////////////////
enable password 7 ////////////////////////
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization console
aaa authorization exec default local
aaa authorization network default local
!
!
!
aaa session-id common
!
clock timezone Moscow 4 0
clock calendar-valid
!
no ipv6 cef
no ip source-route
ip cef
!
no ip bootp server
ip domain name abm
ip name-server 192.168.10.2
ip name-server 87.245.145.96
ip inspect log drop-pkt
ip inspect name FW dns
ip inspect name FW https
ip inspect name FW icmp
ip inspect name FW http
ip inspect name FW pop3
ip inspect name FW smtp
ip inspect name FW ssh
ip inspect name FW ftp
ip inspect name FW pop3s
ip inspect name FW tcp
ip inspect name FW udp
!
multilink bundle-name authenticated
!
parameter-map type inspect global
log dropped-packets enable
vpdn enable
vpdn logging
vpdn logging local
vpdn logging user
!
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
l2tp tunnel timeout no-session 15
!
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-2227124110
!
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2227124110
revocation-check none
!
!
!
archive
log config
  logging enable
  hidekeys

username vpnuser privilege 0 password 7 12345
username Administrator privilege 15 view root secret 5 ////////////////
!
redundancy
!
!
ip tcp synwait-time 10
no ip ftp passive
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
!
interface Null0
no ip unreachables
!
interface GigabitEthernet0/0
description LAN
ip address 192.168.10.7 255.255.255.0
ip access-group LAN in
no ip redirects
no ip unreachables
no ip proxy-arp
ip verify unicast reverse-path
ip flow ingress
ip nat inside
ip inspect FW in
ip virtual-reassembly in
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/1
description WAN
ip address 213.170.46.242 255.255.255.248
ip access-group WAN in
no ip redirects
!
no ip unreachables
no ip proxy-arp
ip verify unicast reverse-path
ip flow ingress
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/2
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
shutdown
duplex auto
speed auto
no mop enabled
!
interface Virtual-Template1
mtu 1480
ip unnumbered GigabitEthernet0/0
ip nat inside
ip inspect FW in
ip virtual-reassembly in
peer default ip address pool vpn
no keepalive
ppp authentication ms-chap-v2
ppp ipcp dns 192.168.10.2
!
!
ip local pool vpn 192.168.10.140 192.168.10.149
ip forward-protocol nd
!
ip http server
ip http access-class 2
ip http authentication local
ip http secure-server
!
ip dns server
ip nat inside source list NAT interface GigabitEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 213.170.46.249
!
ip access-list standard NAT
remark NAT
permit 192.168.10.0 0.0.0.255
!
ip access-list extended LAN
remark Lan to Wan
deny   ip 213.170.46.248 0.0.0.7 any log
deny   ip host 255.255.255.255 any log
deny   ip 127.0.0.0 0.255.255.255 any log
permit udp host 192.168.10.2 eq domain any
permit tcp host 192.168.10.2 any eq smtp
permit udp host 192.168.10.2 host 192.168.10.7 eq ntp
deny   tcp any any eq smtp log
permit ip 192.168.10.0 0.0.0.255 any
deny   ip any any log
!
ip access-list extended WAN
remark Wan to Lan
permit tcp any any eq 1723
permit gre any host 213.170.46.242
permit tcp any host 213.170.46.242 eq 3000
permit icmp any host 213.170.46.242 log unreachable
deny   ip 10.0.0.0 0.255.255.255 any log
deny   ip 172.16.0.0 0.15.255.255 any log
deny   ip 192.168.0.0 0.0.255.255 any log
deny   ip 127.0.0.0 0.255.255.255 any log
deny   ip host 255.255.255.255 any log
deny   ip host 0.0.0.0 any log
deny   ip any any log
!
logging esm config
logging trap debugging
logging 192.168.10.24
logging 192.168.10.14
access-list 2 remark HTTP Access-class list (using in ip http server)
access-list 2 remark CCP_ACL Category=1
access-list 2 permit 192.168.10.0 0.0.0.255 log
access-list 2 deny   any log
!
no cdp run
!
!
control-plane
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
transport output telnet
line aux 0
transport output telnet
line vty 0 4
exec-timeout 60 0
privilege level 15
password 7 0010475451505256ghghghA
logging synchronous
transport input all
transport output none
!
scheduler allocate 20000 1000
ntp update-calendar
ntp server 192.168.10.2 prefer source GigabitEthernet0/1


Содержание

Сообщения в этом обсуждении
"PPTP клиент не видит локальную сеть"
Отправлено Дядя_Федор , 07-Дек-11 08:44 
По циске ничего не скажу - знаю поверхностно. Но то, что Вы мучаете лежит в области маршрутизации. И не имеет к самому PPTP никакого отношения. Надо с другого конца копать - со стороны клиента. После создания тоннеля - ВСЕ пакеты с клиента идет на интерфейс тоннеля - то есть на PPP. При этом сама Ваша циска не знает, судя по всему - куда их девать дальше при обращении к машинам локальной сети. Нужно просто в клиенте (Виндовом) указать, что пакеты для локальной сети должны ходить на интерфейс, который смотрит в локальную сеть, а не через PPP-интерфейс. Ну где-то так, наверное. Я подобный фокус делал в маленькой пионер-сети, в которой настраивал PPTP. Но это все было на Линуксе. Суть сводилась к тому, что был создан некий экзешник - который, будучи запущен на виндовом клиенте настраивал в винде статический маршрут (route -p) для доступа в сеть 192.168.0.0/16 на шлюз 192.168.1.1 (для клиента сети 192.168.1.0/24).

"PPTP клиент не видит локальную сеть"
Отправлено pioner , 07-Дек-11 15:27 
> Суть сводилась к тому, что
> был создан некий экзешник - который, будучи запущен на виндовом клиенте
> настраивал в винде статический маршрут (route -p) для доступа в сеть
> 192.168.0.0/16 на шлюз 192.168.1.1 (для клиента сети 192.168.1.0/24).

Бред, получается и тут настраивать и там настраивать, да еще и маршрут писать...
Да у меня Dlink нормально раздает pptp и клиент отлично работает, без всяких маршрутов и тд... Так что трабл чисто в конфиге кошки.


"PPTP клиент не видит локальную сеть"
Отправлено Дядя_Федор , 07-Дек-11 16:49 
> Бред, получается и тут настраивать и там настраивать, да еще и маршрут
> писать...
> Да у меня Dlink нормально раздает pptp и клиент отлично работает, без
> всяких маршрутов и тд... Так что трабл чисто в конфиге кошки.

Возможно и бред. Все зависит от конфигурации локальной сети. У меня, например, была куча /24-сетей из диапазона 192.168.0./16. Необходимость настройки на клиентах была связана с тем, что у клиентов разных сетей /24 отличался дефолтный шлюз (например, 192.168.1.1, 192.168.1.2 и т.д.) Если локальная сеть не сегментирована - то все должно быть намного проще. И то, что трабл в конфиге кошки - я тоже вполне допускаю. Точно так же, как и то, что с клиентами возиться не имеет смысла.


"PPTP клиент не видит локальную сеть"
Отправлено Дядя_Федор , 07-Дек-11 16:51 
Тьфу ты. Выше ошибся в адресах шлюзов - 192.168.1.1, 192.168.2.1, 192.168.3.1. Которые, кстати (если вернуться назад в те времена) были SVI кошки 3550.



"PPTP клиент не видит локальную сеть"
Отправлено Алексей , 07-Дек-11 09:01 
>[оверквотинг удален]
> interface Virtual-Template1
>  mtu 1480
>  ip unnumbered GigabitEthernet0/0
>  ip nat inside
>  ip inspect FW in
>  ip virtual-reassembly in
>  peer default ip address pool vpn
>  no keepalive
>  ppp authentication ms-chap-v2
>  ppp ipcp dns 192.168.10.2

Нужно всего то

vpdn enable

vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1

interface Virtual-Template1
ip unnumbered Ваш_LAN_интерфейс
peer default ip address pool vpnpool
ppp encrypt mppe auto
ppp authentication ms-chap


ip local pool vpnpool 192.168.10.100 192.168.10.110 (или что у Вас там)

И все собственно...
Да, и убирите с интерфейсов все acl для начала.. Убедитесь, что все работает, а уж потом фильтруйие.. И AAA зачем Вам?


"PPTP клиент не видит локальную сеть"
Отправлено pioner , 07-Дек-11 18:52 
Походу трабл в строке "l2tp tunnel timeout no-session 15" откуда она вообще появляется хрен знает! Кажется я когда игрался с кошко

"PPTP клиент не видит локальную сеть"
Отправлено pioner , 07-Дек-11 18:55 
Походу трабл в строке "l2tp tunnel timeout no-session 15" откуда она вообще
появляется хрен знает! Кажется я когда игрался с кошкой пропсал для l2tp эту строку, может и по дефолту, терь никак не могу ее удалить, уже все дефолты перетыкал) Но она меня одназначно раздражает... может кто наталкнет на мысль как ее удалить побыстрее...
при удалении через no l2tp tunnel timeout no-session 15  говорит не та команда т.к. сейчас в протокл pptp, захожу под l2tp удаляет и потом опять добавляет)



"PPTP клиент не видит локальную сеть"
Отправлено Алексей , 08-Дек-11 10:39 
> Походу трабл в строке "l2tp tunnel timeout no-session 15" откуда она вообще

А строчка ip nat inside на Виртуал Темплате не смущает?


"PPTP клиент не видит локальную сеть"
Отправлено pioner , 08-Дек-11 15:32 
>> Походу трабл в строке "l2tp tunnel timeout no-session 15" откуда она вообще
> А строчка ip nat inside на Виртуал Темплате не смущает?

По логике вещей эта строчка не нужна, т.к. клиент PPTP ломится в нет через шлюз 192.168.10.7, но что-то не хочет он ломиться просто так без NAT, складывается впечатление что интерфейс Gig 0/0 (192.168.10.7) совсем ничего не знает про Virtual-template 1? абсурд, вчера снес кошку к заводским настройкам, заново прописал все без ACL и тд, только основные конфиги вбил, но РЕЗУЛЬТАТА НОЛЬ! Как удаленный клиент не пинговал адреса локальной сети, так и не пингует!  
Сейчас в сети 2 маршрутизатора, dlink 192.168.10.1  и Cisco 2911 192.168.10.7, подрубаясь к Dlink все гуд, через кошку ничего не проходит! Бред...



"PPTP клиент не видит локальную сеть"
Отправлено hop , 08-Дек-11 16:38 
> Но ни одного пакета на адреса локальной сети отправить не могу, соответственно
> кроме как на адрес самой кошки.

попробуйте включить

ip proxy-arp


"PPTP клиент не видит локальную сеть"
Отправлено Алексей , 08-Дек-11 17:11 
А ж Вам посоветовал: оставьте только минимальные настройки.  
Попробуйте вообще все снести и через консоль настроить, без всяких сторонних прог настройки, типа SDM.

Минимально нужно lkz PPTP:

vpdn enable

vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1

interface Virtual-Template1
ip unnumbered Ваш_LAN_интерфейс
peer default ip address pool vpnpool
ppp encrypt mppe auto
ppp authentication ms-chap


ip local pool vpnpool 192.168.10.100 192.168.10.110


"PPTP клиент не видит локальную сеть"
Отправлено pioner , 08-Дек-11 17:17 
>[оверквотинг удален]
> ! Default PPTP VPDN group
>  accept-dialin
>   protocol pptp
>   virtual-template 1
> interface Virtual-Template1
>  ip unnumbered Ваш_LAN_интерфейс
>  peer default ip address pool vpnpool
>  ppp encrypt mppe auto
>  ppp authentication ms-chap
> ip local pool vpnpool 192.168.10.100 192.168.10.110

Так я так вчера и поступил, SDM заюзал один раз чисто поглядеть, как увидел че эт за бред сразу перепрыгнул на консоль)
P.S. ppp encrypt mppe auto нету!!! Шифрования нету (((



"PPTP клиент не видит локальную сеть"
Отправлено Алексей , 08-Дек-11 20:18 
> Так я так вчера и поступил, SDM заюзал один раз чисто поглядеть,
> как увидел че эт за бред сразу перепрыгнул на консоль)
> P.S. ppp encrypt mppe auto нету!!! Шифрования нету (((

"А теперь, Федор, о главном.." )

IOS то у Вас какой?



"PPTP клиент не видит локальную сеть"
Отправлено pioner , 08-Дек-11 22:45 
>> Но ни одного пакета на адреса локальной сети отправить не могу, соответственно
>> кроме как на адрес самой кошки.
> попробуйте включить
> ip proxy-arp

Спасибо большое, получилось, врубил на интерфейсе GigabitEthernet 0/0 ip proxy-arp и все чудесным образом заработало!

Всем кто откликнулся тоже большое спасибо!!!