Пытаюсь поднять l2tp на двух 881, вроде сессию поднимает, но пакеты не ходят между внутренними интерфейсами.rout1
!
ip rcmd rsh-enable
pseudowire-class vlan-xconnect
encapsulation l2tpv3
protocol none
ip local interface FastEthernet4
!
interface FastEthernet0
no cdp enable
xconnect 71.103.195.34 123 encapsulation l2tpv3 manual pw-class vlan-xconnect
l2tp id 222 111
l2tp cookie local 4 54321
l2tp cookie remote 4 12345
l2tp hello l2tp-default
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address 71.103.195.35 255.255.255.0
no ip route-cache
duplex auto
speed auto
!
interface Vlan1
mtu 1400
ip address 10.1.1.22 255.255.255.0
no ip route-cache
ip tcp adjust-mss 1452
!
ip forward-protocol nd
!
no cdp run
!rout2
!
ip cef
no ip domain lookup
no ipv6 cef
l2tp-class l2tp-default
retransmit initial retries 30
cookie size 8
!
pseudowire-class vlan-xconnect
encapsulation l2tpv3
protocol none
ip local interface FastEthernet4
!
!
interface FastEthernet0
xconnect 71.103.195.35 123 encapsulation l2tpv3 manual pw-class vlan-xconnect
l2tp id 111 222
l2tp cookie local 4 12345
l2tp cookie remote 4 54321
l2tp hello l2tp-default
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address 71.103.195.34 255.255.255.0
duplex auto
speed auto
!
interface Vlan1
ip address 10.1.1.21 255.255.255.0
ip tcp adjust-mss 1452
!
ip forward-protocol nd
!
no cdp runrout1#sh l2tp session
L2TP Session Information Total tunnels 1 sessions 1
LocID RemID TunID Username, Intf/ State Last Chg Uniq ID
Vcid, Circuit
222 111 1657710090 123, Fa0 est 00:54:46 1
rout2#sh l2tp session
L2TP Session Information Total tunnels 1 sessions 1
LocID RemID TunID Username, Intf/ State Last Chg Uniq ID
Vcid, Circuit
111 222 594910366 123, Fa0 est 00:55:07 1
rout1#sh l2tp tunnelL2TP Tunnel Information Total tunnels 1 sessions 1
LocTunID RemTunID Remote Name State Remote Address Sessn L2TP Class/
Count VPDN Group
1657710090 594910366 rout2 est 71.103.195.34 1 l2tp-default
rout2#sh l2tp tunnelL2TP Tunnel Information Total tunnels 1 sessions 1
LocTunID RemTunID Remote Name State Remote Address Sessn L2TP Class/
Count VPDN Group
594910366 1657710090 rout1 est 71.103.195.35 1 l2tp-default
>[оверквотинг удален]
> rout1#sh l2tp tunnel
> L2TP Tunnel Information Total tunnels 1 sessions 1
> LocTunID RemTunID Remote Name State Remote Address Sessn L2TP Class/
> Count VPDN Group
> 1657710090 594910366 rout2 est 71.103.195.34 1 l2tp-default
> rout2#sh l2tp tunnel
> L2TP Tunnel Information Total tunnels 1 sessions 1
> LocTunID RemTunID Remote Name State Remote Address Sessn L2TP Class/
> Count VPDN Group
> 594910366 1657710090 rout1 est 71.103.195.35 1 l2tp-defaultДобрый день!
А задача какая, сможете подробнее описать?
>[оверквотинг удален]
>> LocTunID RemTunID Remote Name State Remote Address Sessn L2TP Class/
>> Count VPDN Group
>> 1657710090 594910366 rout2 est 71.103.195.34 1 l2tp-default
>> rout2#sh l2tp tunnel
>> L2TP Tunnel Information Total tunnels 1 sessions 1
>> LocTunID RemTunID Remote Name State Remote Address Sessn L2TP Class/
>> Count VPDN Group
>> 594910366 1657710090 rout1 est 71.103.195.35 1 l2tp-default
> Добрый день!
> А задача какая, сможете подробнее описать?Я как -то не заметил аксес-лист для локальноко и удаленного сети типа
access-list 1000 permit ip 192.168.0.0/24 (локалка для роутера 1) 192.168.200.0/24 (локалка для роутера 2)кстате, вы пользуетесь графическим приложением, или возитесь через коммандную строку?
> А задача какая, сможете подробнее описать?Задача пробросить сеть, без маршрутизации. Долго возился с gre, пытался бриджевать интерфейсы. Не пошло. Посоветовали возиться с l2tp.
> Я как -то не заметил аксес-лист для локальноко и удаленного сети типаА нужно?
> access-list 1000 permit ip 192.168.0.0/24 (локалка для роутера 1) 192.168.200.0/24 (локалка
> для роутера 2)
> кстате, вы пользуетесь графическим приложением, или возитесь через коммандную строку?Все через терминал ввожу.
Встроенная графическая оболочку урезана насколько возможно. Да и говорят ошибок много и лишнего. Так что ручками все, ручками.
> Пытаюсь поднять l2tp на двух 881, вроде сессию поднимает, но пакеты не
> ходят между внутренними интерфейсами.Я по этой доке подымал.
http://www.cisco.com/en/US/docs/ios/12_3t/12_3t2/feature/gui...Использовать саму железку для проверки не стоит, лучше что-то что стоит за этими железками.
> Я по этой доке подымал.
> http://www.cisco.com/en/US/docs/ios/12_3t/12_3t2/feature/gui...Спасибо, посмотрю.
> Использовать саму железку для проверки не стоит, лучше что-то что стоит за
> этими железками.Я так и делаю.
>[оверквотинг удален]
> rout1#sh l2tp tunnel
> L2TP Tunnel Information Total tunnels 1 sessions 1
> LocTunID RemTunID Remote Name State Remote Address Sessn L2TP Class/
> Count VPDN Group
> 1657710090 594910366 rout2 est 71.103.195.34 1 l2tp-default
> rout2#sh l2tp tunnel
> L2TP Tunnel Information Total tunnels 1 sessions 1
> LocTunID RemTunID Remote Name State Remote Address Sessn L2TP Class/
> Count VPDN Group
> 594910366 1657710090 rout1 est 71.103.195.35 1 l2tp-defaultну дак у вас установился l2 тунель, теперь выткайте в fa0 компы с обоих сторон, прописывайте подсеть одну и проверяйте
>[оверквотинг удален]
>> LocTunID RemTunID Remote Name State Remote Address Sessn L2TP Class/
>> Count VPDN Group
>> 1657710090 594910366 rout2 est 71.103.195.34 1 l2tp-default
>> rout2#sh l2tp tunnel
>> L2TP Tunnel Information Total tunnels 1 sessions 1
>> LocTunID RemTunID Remote Name State Remote Address Sessn L2TP Class/
>> Count VPDN Group
>> 594910366 1657710090 rout1 est 71.103.195.35 1 l2tp-default
> ну дак у вас установился l2 тунель, теперь выткайте в fa0 компы
> с обоих сторон, прописывайте подсеть одну и проверяйтеи не забудьте аксес-листы на обеих роутерах... Пропустите с обеих сторон IP и ICMP.
если все законектится, дальше сами будете решать что резать....
> и не забудьте аксес-листы на обеих роутерах... Пропустите с обеих сторон IP
> и ICMP.
> если все законектится, дальше сами будете решать что резать....аксес-листы прописал (ip и icmp) на обоих роутерах - ничего не изменилось.
открыл для всехaccess-list 101 permit ip any any
access-list 101 permit icmp any any
>> и не забудьте аксес-листы на обеих роутерах... Пропустите с обеих сторон IP
>> и ICMP.
>> если все законектится, дальше сами будете решать что резать....
> аксес-листы прописал (ip и icmp) на обоих роутерах - ничего не изменилось.
> открыл для всех
> access-list 101 permit ip any any
> access-list 101 permit icmp any anyа как вы проверяете?
с двух сторон компьютеры стоят
пинги не ходят
> с двух сторон компьютеры стоят
> пинги не ходятsh l2tun
arp -a на обоих компах
> sh l2tunRout1#sh l2tp tunnel
L2TP Tunnel Information Total tunnels 1 sessions 1
LocTunID RemTunID Remote Name State Remote Address Sessn L2TP Class/
Count VPDN Group
594910366 1657710090 Rout2 est 71.103.195.35 1 l2tp-defaultRout2#sh l2tp tunnel
L2TP Tunnel Information Total tunnels 1 sessions 1
LocTunID RemTunID Remote Name State Remote Address Sessn L2TP Class/
Count VPDN Group
1657710090 594910366 Rout1 est 71.103.195.34 1 l2tp-default> arp -a на обоих компах
Сделал. Не помогло
>[оверквотинг удален]
>
>
>
>
> Count VPDN Group
> 1657710090 594910366 Rout1
> est 71.103.195.34 1
> l2tp-default
>> arp -a на обоих компах
> Сделал. Не помоглооно не помогает, оно показывает арп таблицу
с одного компа на другой сделайте пинг и сюда покажите результат вывода команды arp -a
> с двух сторон компьютеры стоят
> пинги не ходятпостараетесь прописать следующим образом:
access-list 500 permit ip 10.20.30.0/24 10.11.10.0/24
access-list 500 permit icmp 10.20.30.0/24 10.11.10.0/24и еще скачаете-ка
http://www.cisco.com/en/US/products/ps9422/index.htmlтул не плохой, с начала его помошью создайте туннель а потом в консоле покопаетесь, чтоб посмотреть, как именно он настройл
> постараетесь прописать следующим образом:
> access-list 500 permit ip 10.20.30.0/24 10.11.10.0/24
> access-list 500 permit icmp 10.20.30.0/24 10.11.10.0/24мне нужна одна подсеть - 10.1.1.0/24
с двух сторон причем.> и еще скачаете-ка
> http://www.cisco.com/en/US/products/ps9422/index.html
> тул не плохой, с начала его помошью создайте туннель а потом в
> консоле покопаетесь, чтоб посмотреть, как именно он настройлСпасибо, есть у меня она. Но, когда ручками, то лучше понимаешь что делаешь.
>[оверквотинг удален]
>> access-list 500 permit ip 10.20.30.0/24 10.11.10.0/24
>> access-list 500 permit icmp 10.20.30.0/24 10.11.10.0/24
> мне нужна одна подсеть - 10.1.1.0/24
> с двух сторон причем.
>> и еще скачаете-ка
>> http://www.cisco.com/en/US/products/ps9422/index.html
>> тул не плохой, с начала его помошью создайте туннель а потом в
>> консоле покопаетесь, чтоб посмотреть, как именно он настройл
> Спасибо, есть у меня она. Но, когда ручками, то лучше понимаешь что
> делаешь.то есть за обеими роутерами у вас одинаковая подсеть?
>[оверквотинг удален]
>>> access-list 500 permit icmp 10.20.30.0/24 10.11.10.0/24
>> мне нужна одна подсеть - 10.1.1.0/24
>> с двух сторон причем.
>>> и еще скачаете-ка
>>> http://www.cisco.com/en/US/products/ps9422/index.html
>>> тул не плохой, с начала его помошью создайте туннель а потом в
>>> консоле покопаетесь, чтоб посмотреть, как именно он настройл
>> Спасибо, есть у меня она. Но, когда ручками, то лучше понимаешь что
>> делаешь.
> то есть за обеими роутерами у вас одинаковая подсеть?кстате, а как настроен NАТ?
по идее помимо туннеля вам еще и нужен доступ в инет....
> кстате, а как настроен NАТ?
> по идее помимо туннеля вам еще и нужен доступ в инет....НАТ - никак. Он вообще не нужен.
> то есть за обеими роутерами у вас одинаковая подсеть?Да. мне нужно пробросить сеть.
http://www.cisco.com/en/US/docs/routers/access/800/850/softw...Такая схема вас устроет?
У меня почти такая же схема, только в данный момент не могу вытащить конфиг, чтоб показат как он у меня устроен...Только с одной стороны у меня 881, а с другой - аса 5510.. а конфиг аса вам сейчас не поможет....
> http://www.cisco.com/en/US/docs/routers/access/800/850/softw...
> Такая схема вас устроет?С GRE я уже навозился вдоволь - там вариант только с маршрутизацией.
Здесь на форуме посоветовали идти на l2tp
Ковыряюсь...
Свою схему нашел здесь - http://www.openflow.org/wk/index.php/Tunneling_-_GRE/L2TP
Первое не пошло, со вторым пытаюсь разобраться.> У меня почти такая же схема, только в данный момент не могу
> вытащить конфиг, чтоб показат как он у меня устроен...
> Только с одной стороны у меня 881, а с другой - аса
> 5510.. а конфиг аса вам сейчас не поможет....Есть у меня ASA5505. Пытался с ней - но опять же - все упирается в то, что подсети будут разные.
А L2 VPN на ASA не построить.Что нужно:
Есть сеть 10.0.0.0/8
Есть сегмент этой сети - 10.1.1.0/24
И есть некая железка, которую надо пробросить через VPN к моему сегменту сети.
Но у этой железки адрес 10.1.1.3 и изменить его нельзя. Кроме того возможно существование двух таких железок с разными адресами но в сегмете сети (10.1.1.0/24)
Поэтому и встал такой вопрос. Мне нужно соединение VPN типа моста.
>[оверквотинг удален]
> А L2 VPN на ASA не построить.
> Что нужно:
> Есть сеть 10.0.0.0/8
> Есть сегмент этой сети - 10.1.1.0/24
> И есть некая железка, которую надо пробросить через VPN к моему
> сегменту сети.
> Но у этой железки адрес 10.1.1.3 и изменить его нельзя. Кроме того
> возможно существование двух таких железок с разными адресами но в сегмете
> сети (10.1.1.0/24)
> Поэтому и встал такой вопрос. Мне нужно соединение VPN типа моста.https://supportforums.cisco.com/servlet/JiveServlet/download...
надеюсь, поможет.....
у меня точто такая схема...
задача поичти та же, что и у вас..
повозитесь с графикой, а потом взгляньте в консоль, что именно там произошло
> https://supportforums.cisco.com/servlet/JiveServlet/download...site-to-site - это опять же с разными подсетями.
> надеюсь, поможет.....
не поможет
> у меня точто такая схема...
> задача поичти та же, что и у вас..
> повозитесь с графикой, а потом взгляньте в консоль, что именно там произошловсе же надо с l2tp добивать
>> https://supportforums.cisco.com/servlet/JiveServlet/download...
> site-to-site - это опять же с разными подсетями.
>> надеюсь, поможет.....
> не поможет
>> у меня точто такая схема...
>> задача поичти та же, что и у вас..
>> повозитесь с графикой, а потом взгляньте в консоль, что именно там произошло
> все же надо с l2tp добиватьну раз на мои вопросы не отвечаете, то читайте
вот нарыл на форуме для вас пример рабочего самого простого конфига