URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 7472
[ Назад ]

Исходное сообщение
"access-list, помогите плз...  очень надо, можно за деньги..."

Отправлено fgroup , 13-Мрт-05 14:48 
Друзья, господа, товарищи...

Голова уже не варит, по ночам сниться tftp сервера с различными конфами, пальцы стерты в кровь от бесконечной долбежки по клаве...

Суть проблемы:
У нашей конторы есть торговые агенты которые катаются по магазинам и собирают заказы... Нашему нач-ству пришла в голову идея - почему-бы агентам не скидывать заказы он-лайн с помощью кпк...  сказано-сделано, вот теперь у нас головы и пухнут, есть локалка, в ней ntевый сервак, терминал, на нем база 1с, есть в локалке циска 1721, идея с помощью кпк-ашных впн клиентов конектиться к циске и потом уже кпк-шным терминал-клиентом заходить на сервак 1с, конфу вроде намисали (на форуме сказали что ни радиуса ни каких других серверов поднимать не надо, достаточно одной циски) показали на форуме а нам ответ - мол вы поднимаете акцес листы и нигде их не прописываете... дык где их прописывать? в самой конфе?
или через tftp сервер залить файлом? а как их создать - форматы и все остальное...  помогите плиз... в долгу не останемся, если интересно занимаемся алкоголем!!!  :)


Содержание

Сообщения в этом обсуждении
"access-list, помогите плз...  очень надо, можно за деньги..."
Отправлено fgroup , 13-Мрт-05 17:05 
На всякий случай вот конфа:

Current configuration : 2251 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname VPN1721
!
boot-start-marker
boot-end-marker
!
enable secret 5 0000
!
username cisco password 0 cisco
username agents password 0 123456
monitor event-trace all-traces dump-file 111
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
aaa authorization network groupauthor local
aaa session-id common
ip subnet-zero
!
!
!
!
ip cef
ip ips po max-events 100
no ftp-server write-enable
!
!
!
!
!
crypto keyring vpn
  pre-shared-key address х.х.х.х key 987654321
!
crypto isakmp policy 20
hash md5
authentication pre-share
group 2
!
crypto isakmp client configuration group agents
key 123456
pool vpnpool
crypto isakmp profile l2lvpn
   keyring vpn
   match identity address х.х.х.х у.у.у.у
crypto isakmp profile softclient
   match identity group agents
   client authentication list userauth
   isakmp authorization list groupauthor
   client configuration address respond
!
!
crypto ipsec transform-set tunnel esp-des
crypto ipsec transform-set vpnclient esp-3des esp-sha-hmac
!
crypto dynamic-map rtpmap 10
set transform-set vpnclient
set isakmp-profile softclient
!
!
crypto map rtp 10 ipsec-isakmp
set peer х.х.х.х
set transform-set tunnel
set isakmp-profile l2lvpn
match address 101
!
!
!
interface Tunnel0
ip address 192.168.4.2 255.255.255.0
ip mtu 1420
ip route-cache same-interface
ip route-cache flow
load-interval 30
tunnel source Ethernet0
tunnel destination 217.112.20.14
tunnel mode ipip
crypto map rtp
!
interface Ethernet0
ip address а.а.а.а 255.255.255.248
half-duplex
!
interface FastEthernet0
ip address 192.168.1.169 255.255.255.0
speed auto
!
ip local pool vpnpool 193.201.231.1 193.201.231.240
ip classless
ip route 0.0.0.0 0.0.0.0 217.112.20.9
ip route 192.168.1.0 255.255.255.0 Tunnel0
no ip http server
no ip http secure-server
!
!
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
!
end


"access-list, помогите плз...  очень надо, можно за деньги..."
Отправлено toor99 , 13-Мрт-05 18:00 
Ну? И где у вас ACL для vpnpool ?
Кстати, какой VPN-клиент используется на наладонниках?
И еще, совет - я бы, будь такая возможность, поднял в сети RADIUS и аутентифицировался на нём, а не по локальной базе. Так и безопаснее и удобнее. В качестве RADIUS вполне годится Microsoft IAS, если у вас сеть в основном под Windows.

"access-list, помогите плз...  очень надо, можно за деньги..."
Отправлено fgroup , 14-Мрт-05 08:55 
>Ну? И где у вас ACL для vpnpool ?
>Кстати, какой VPN-клиент используется на наладонниках?
>И еще, совет - я бы, будь такая возможность, поднял в сети
>RADIUS и аутентифицировался на нём, а не по локальной базе. Так
>и безопаснее и удобнее. В качестве RADIUS вполне годится Microsoft IAS,
>если у вас сеть в основном под Windows.


Плз...!!!  На коленях...!!!  Подскажите как ACL (куда?) прописать для vpnpool - если в конфу добавлять "access-list vpnpool ...." есесно орет и ругается. На КПК (pocketPC) стоит windows mobile 2003 SE, в нем встроен vpn client...


"access-list, помогите плз...  очень надо, можно за деньги..."
Отправлено toor99 , 14-Мрт-05 10:19 
>>Ну? И где у вас ACL для vpnpool ?
>>Кстати, какой VPN-клиент используется на наладонниках?
>>И еще, совет - я бы, будь такая возможность, поднял в сети
>>RADIUS и аутентифицировался на нём, а не по локальной базе. Так
>>и безопаснее и удобнее. В качестве RADIUS вполне годится Microsoft IAS,
>>если у вас сеть в основном под Windows.
>
>
>Плз...!!!  На коленях...!!!  Подскажите как ACL (куда?) прописать для vpnpool
>- если в конфу добавлять "access-list vpnpool ...." есесно орет и
>ругается.

Я же сказал "ACL для vpnpool", а не "ACL vpnpool".
Примерно так:
access-list 110 permit ip 193.201.231.0 0.0.0.31 host (IP адрес вашего сервера)

И добавить "acl 110" в crypto isakmp client configuration

crypto isakmp client configuration group agents
key 123456
pool vpnpool
acl 110

Убедитесь, что ваш сервер знает маршрут на 193.201.231.0/27, пропишите его руками если надо. Кстати, где вы взяли эту подсеть? Она выдана вам, или взята с потолка? Судя по Whois, эта сеть принадлежит ЗАО "Sonic Duo" (Мегафон).
На всякий случай - vpnpool это НЕ реальные адреса клиентов! Это адреса, которые ваша циска выдает VPN-клиентам. Поменяйте на приватные и подкорректируйте acl.


"access-list, помогите плз...  очень надо, можно за деньги..."
Отправлено Corhaid , 14-Мрт-05 08:39 
>Друзья, господа, товарищи...
>
>Голова уже не варит, по ночам сниться tftp сервера с различными конфами,
>пальцы стерты в кровь от бесконечной долбежки по клаве...
>
>Суть проблемы:
>У нашей конторы есть торговые агенты которые катаются по магазинам и собирают
>заказы... Нашему нач-ству пришла в голову идея - почему-бы агентам не
>скидывать заказы он-лайн с помощью кпк...  сказано-сделано, вот теперь у
>нас головы и пухнут, есть локалка, в ней ntевый сервак, терминал,
>на нем база 1с, есть в локалке циска 1721, идея с
>помощью кпк-ашных впн клиентов конектиться к циске
Какой клиент? Какой тип ВПНа? PPTP? L2TP? Или что-то другое?

>и потом уже кпк-шным
>терминал-клиентом заходить на сервак 1с, конфу вроде намисали (на форуме сказали
>что ни радиуса ни каких других серверов поднимать не надо, достаточно
>одной циски)
Авторизация обычно все-таки требуется. А это или радиус или заведение локального пользователя(лей). В принципе можно обойтись одним.

>в долгу не останемся, если
>интересно занимаемся алкоголем!!!  :)
Качественный алкоголь это всегда интересно :)

PS. Попытка выйти ВПНом с КПКшки на PPTP сервер обломилась у нас из-за того что GPRS нашего провайдера сотовых выдавала адреса типа 192.168. и хождение в инет было через НАТ, и соединение не получилось установить. Не знаю как у вас все организовано, но думаю что примерно так же :)


"access-list, помогите плз...  очень надо, можно за деньги..."
Отправлено fgroup , 14-Мрт-05 08:59 

>Какой клиент? Какой тип ВПНа? PPTP? L2TP? Или что-то другое?
На КПК (pocketPC) стоит windows mobile 2003 SE, в нем встроен vpn client...  типа подключения два - ipsec/l2tp, pptp

>Авторизация обычно все-таки требуется. А это или радиус или заведение локального пользователя(лей).
>В принципе можно обойтись одним.
А локальные пользователи как прописываются - имя и пароль куды тыкнуть?

>Качественный алкоголь это всегда интересно :)
Сколько угодно :)

>PS. Попытка выйти ВПНом с КПКшки на PPTP сервер обломилась у нас
>из-за того что GPRS нашего провайдера сотовых выдавала адреса типа 192.168.
>и хождение в инет было через НАТ, и соединение не получилось
>установить. Не знаю как у вас все организовано, но думаю что
>примерно так же :)

провайдер выдает ip 193.201.x.x с нашей локалкой они не пересекаются, в инет ходим вообще через другой сервак... друг другу, сервак и киска, не мешают...



"access-list, помогите плз...  очень надо, можно за деньги..."
Отправлено Corhaid , 15-Мрт-05 02:20 

>На КПК (pocketPC) стоит windows mobile 2003 SE, в нем встроен vpn
>client...  типа подключения два - ipsec/l2tp, pptp
Приведу пример для PPTP.

>>В принципе можно обойтись одним.
>А локальные пользователи как прописываются - имя и пароль куды тыкнуть?
прописываются прям в конфигурацию например:
username Client password TestPass

>провайдер выдает ip 193.201.x.x с нашей локалкой они не пересекаются, в инет
>ходим вообще через другой сервак... друг другу, сервак и киска, не
>мешают...

У меня настроен радиус, по этому переделывал на ходу:

aaa new-model
aaa authentication ppp default local
aaa authorization network default local

vpdn-group PPTP
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1

interface Virtual-Template1
ip unnumbered FastEthernet0
peer default ip address pool PPTP
ppp encrypt mppe 128
ppp authentication ms-chap

ip local pool PPTP Х.Х.Х.Х Х.Х.Х.У (диапазон адресов которые будут присваиваться подключающимся по VPN)

Вот еще ссылка на настройку PPTP:
http://www.cisco.com/univercd/cc/td/doc/product/software/ios...


"access-list, помогите плз...  очень надо, можно за деньги..."
Отправлено fgroup , 15-Мрт-05 12:12 
>
>>На КПК (pocketPC) стоит windows mobile 2003 SE, в нем встроен vpn
>>client...  типа подключения два - ipsec/l2tp, pptp
>Приведу пример для PPTP.
>
>>>В принципе можно обойтись одним.
>>А локальные пользователи как прописываются - имя и пароль куды тыкнуть?
>прописываются прям в конфигурацию например:
>username Client password TestPass
>
>>провайдер выдает ip 193.201.x.x с нашей локалкой они не пересекаются, в инет
>>ходим вообще через другой сервак... друг другу, сервак и киска, не
>>мешают...
>
>У меня настроен радиус, по этому переделывал на ходу:
>
>aaa new-model
>aaa authentication ppp default local
>aaa authorization network default local
>
>vpdn-group PPTP
>! Default PPTP VPDN group
> accept-dialin
>  protocol pptp
>  virtual-template 1
>
>interface Virtual-Template1
> ip unnumbered FastEthernet0
> peer default ip address pool PPTP
> ppp encrypt mppe 128
> ppp authentication ms-chap
>
>ip local pool PPTP Х.Х.Х.Х Х.Х.Х.У (диапазон адресов которые будут присваиваться подключающимся
>по VPN)
>
>Вот еще ссылка на настройку PPTP:
>http://www.cisco.com/univercd/cc/td/doc/product/software/ios...

Конект проходит, сесию открывает...  но блин почему-то юзера не берет - в смысле вообще не запрашивает, проходим с обычного компа все на ура, как токо с кпк ни фига...  бум искать какого-нить клиента  :(


"access-list, помогите плз...  очень надо, можно за деньги..."
Отправлено fgroup , 15-Мрт-05 16:31 
>
>>На КПК (pocketPC) стоит windows mobile 2003 SE, в нем встроен vpn
>>client...  типа подключения два - ipsec/l2tp, pptp
>Приведу пример для PPTP.
>
>>>В принципе можно обойтись одним.
>>А локальные пользователи как прописываются - имя и пароль куды тыкнуть?
>прописываются прям в конфигурацию например:
>username Client password TestPass
>
>>провайдер выдает ip 193.201.x.x с нашей локалкой они не пересекаются, в инет
>>ходим вообще через другой сервак... друг другу, сервак и киска, не
>>мешают...
>
>У меня настроен радиус, по этому переделывал на ходу:
>
>aaa new-model
>aaa authentication ppp default local
>aaa authorization network default local
>
>vpdn-group PPTP
>! Default PPTP VPDN group
> accept-dialin
>  protocol pptp
>  virtual-template 1
>
>interface Virtual-Template1
> ip unnumbered FastEthernet0
> peer default ip address pool PPTP
> ppp encrypt mppe 128
> ppp authentication ms-chap
>
>ip local pool PPTP Х.Х.Х.Х Х.Х.Х.У (диапазон адресов которые будут присваиваться подключающимся
>по VPN)
>
>Вот еще ссылка на настройку PPTP:
>http://www.cisco.com/univercd/cc/td/doc/product/software/ios...

Я понимаю что я наверное уже достал....   но уже почти все, клиент конектится открывает сесию, по юзер и его пасворд почему-то не проходит, если это делать из локалки то все ок, конект есть, сетка видна...
В чем может быть дело?  :(