Поднят тунель между двумя маршрутизаторами
Не идут типги через тунел все пакеты уходят в ошибку не подскажите где проблема, и на второй кошке есть интерфейс Virtual а первой нет.Сообщение от первой кошки по команде
sh cry ipsec sa
Router#sh cry ipsec sa
interface: Tunnel0
Crypto map tag: vpn, local addr. yyy.yyy.yyy.yyyprotected vrf:
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/47/0)
remote ident (addr/mask/prot/port): (xxx.xxx.xxx.xxx/255.255.255.255/47/0)
current_peer: xxx.xxx.xxx.xxx:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 63, #recv errors 0local crypto endpt.: yyy.yyy.yyy.yyy, remote crypto endpt.: xxx.xxx.xxx.xxx
path mtu 1476, media mtu 1476
current outbound spi: 0inbound esp sas:
inbound ah sas:
inbound pcp sas:
outbound esp sas:
outbound ah sas:
outbound pcp sas:
interface: Dialer0
Crypto map tag: vpn, local addr. yyy.yyy.yyy.yyyprotected vrf:
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/47/0)
remote ident (addr/mask/prot/port): (xxx.xxx.xxx.xxx/255.255.255.255/47/0)
current_peer: xxx.xxx.xxx.xxx:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 63, #recv errors 0local crypto endpt.: yyy.yyy.yyy.yyy, remote crypto endpt.: xxx.xxx.xxx.xxx
path mtu 1476, media mtu 1476
current outbound spi: 0inbound esp sas:
inbound ah sas:
inbound pcp sas:
outbound esp sas:
outbound ah sas:
outbound pcp sas:
Router#
Сообщение от второй:
interface: Tunnel0
Crypto map tag: vpn, local addr. xxx.xxx.xxx.xxxprotected vrf:
local ident (addr/mask/prot/port): (xxx.xxx.xxx.xxx/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (yyy.yyy.yyy.yyy/255.255.255.255/47/0)
current_peer: yyy.yyy.yyy.yyy:500
PERMIT, flags={origin_is_acl,ipsec_sa_request_sent}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 3, #recv errors 0local crypto endpt.: xxx.xxx.xxx.xxx, remote crypto endpt.: yyy.yyy.yyy.yyy
path mtu 1476, media mtu 1476
current outbound spi: 0inbound esp sas:
inbound ah sas:
inbound pcp sas:
outbound esp sas:
outbound ah sas:
outbound pcp sas:
interface: Dialer0
Crypto map tag: vpn, local addr. xxx.xxx.xxx.xxxprotected vrf:
local ident (addr/mask/prot/port): (xxx.xxx.xxx.xxx/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (yyy.yyy.yyy.yyy/255.255.255.255/47/0)
current_peer: yyy.yyy.yyy.yyy:500
PERMIT, flags={origin_is_acl,ipsec_sa_request_sent}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 3, #recv errors 0local crypto endpt.: xxx.xxx.xxx.xxx, remote crypto endpt.: yyy.yyy.yyy.yyy
path mtu 1476, media mtu 1476
current outbound spi: 0inbound esp sas:
inbound ah sas:
inbound pcp sas:
outbound esp sas:
outbound ah sas:
outbound pcp sas:
interface: Virtual-Access3
Crypto map tag: vpn, local addr. xxx.xxx.xxx.xxxprotected vrf:
local ident (addr/mask/prot/port): (xxx.xxx.xxx.xxx/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (yyy.yyy.yyy.yyy/255.255.255.255/47/0)
current_peer: yyy.yyy.yyy.yyy:500
PERMIT, flags={origin_is_acl,ipsec_sa_request_sent}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 3, #recv errors 0local crypto endpt.: xxx.xxx.xxx.xxx, remote crypto endpt.: yyy.yyy.yyy.yyy
path mtu 1476, media mtu 1476
current outbound spi: 0inbound esp sas:
inbound ah sas:
inbound pcp sas:
outbound esp sas:
outbound ah sas:
outbound pcp sas:
>Поднят тунель между двумя маршрутизаторами
>Не идут типги через тунел все пакеты уходят в ошибку не подскажите
>где проблема, и на второй кошке есть интерфейс Virtual а первой
>нет.
>
>Конфиги покажи...
Тунель поднялся только не могу понять пинги идут, папки удаленных компов открываються, а терминал сервер не работает
вот конфиг:
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key ------------- address xxx.xxx.xxx.xxx
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer xxx.xxx.xxx.xxx
set transform-set strong
match address 130
!
!
!
interface Tunnel0
ip address 192.168.250.2 255.255.255.0
ip access-group 199 in
ip access-group 199 out
tunnel source Dialer0
tunnel destination xxx.xxx.xxx.
crypto map vpn
!
!
!
!
access-list 130 permit gre host yyy.yyy.yyy.yyy host xxx.xxx.xxx.xxxНа другой сторе то-же самое с соответсвующей сменой адресов и маршрутов.
>Тунель поднялся только не могу понять пинги идут, папки удаленных компов открываються,
>а терминал сервер не работает
> вот конфиг:
>
>
>crypto isakmp policy 1
> hash md5
> authentication pre-share
>crypto isakmp key ------------- address xxx.xxx.xxx.xxx
>!
>!
>crypto ipsec transform-set strong esp-3des esp-md5-hmac
>!
>crypto map vpn 10 ipsec-isakmp
> set peer xxx.xxx.xxx.xxx
> set transform-set strong
> match address 130
>!
>!
>!
>interface Tunnel0
> ip address 192.168.250.2 255.255.255.0
> ip access-group 199 in
> ip access-group 199 out
> tunnel source Dialer0
> tunnel destination xxx.xxx.xxx.
> crypto map vpn
>!
>!
>!
>!
>access-list 130 permit gre host yyy.yyy.yyy.yyy host xxx.xxx.xxx.xxx
>
>
>
>На другой сторе то-же самое с соответсвующей сменой адресов и маршрутов.По поводу терминал-сервера сказать ничего не могу (не вижу, почему бы ему не работать), а вот для чего вам GRE-туннель? IPSec в туннельном режиме работает ничем не хуже, если вам не требуется экзотика типа инкапсуляции IPv6, или мультикастов.
>По поводу терминал-сервера сказать ничего не могу (не вижу, почему бы ему
>не работать), а вот для чего вам GRE-туннель? IPSec в туннельном
>режиме работает ничем не хуже, если вам не требуется экзотика типа
>инкапсуляции IPv6, или мультикастов.Я нашел примерный конфиг и им воспользывался по поскажите пример конфига без использвания GRE
>>По поводу терминал-сервера сказать ничего не могу (не вижу, почему бы ему
>>не работать), а вот для чего вам GRE-туннель? IPSec в туннельном
>>режиме работает ничем не хуже, если вам не требуется экзотика типа
>>инкапсуляции IPv6, или мультикастов.
>
>Я нашел примерный конфиг и им воспользывался по поскажите пример конфига без
>использвания GREКонфиг будет ровно такой же, как у вас сейчас, за исключением трёх вещей. Во-первых, не будет интерфейса Tunnel X, во-вторых, в ACL 130 надо заменить "gre" на "ip", а адреса хостов yyy.yyy.yyy.yyy и xxx.xxx.xxx.xxx - на адреса ваших локальных сетей (локальной и удалённой, с правильными wildcard-масками). И в третьих, разумеется, криптомап нужно будет наложить на интерфейс, какой он у вас там, Dialer0.
На втором роутере, естественно, все это симметрично, включая ACL.К слову сказать, IPSec у вас сейчас и так работает в режиме туннеля (туннель в туннеле, получается):
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
mode tunnel - это его режим по умолчанию. А если нужет транспортный режим, то надо в явном виде говорить mode transport.
>Конфиг будет ровно такой же, как у вас сейчас, за исключением трёх
>вещей. Во-первых, не будет интерфейса Tunnel X, во-вторых, в ACL 130
>надо заменить "gre" на "ip", а адреса хостов yyy.yyy.yyy.yyy и xxx.xxx.xxx.xxx
>- на адреса ваших локальных сетей (локальной и удалённой, с правильными
>wildcard-масками). И в третьих, разумеется, криптомап нужно будет наложить на интерфейс,
>какой он у вас там, Dialer0.
>На втором роутере, естественно, все это симметрично, включая ACL.
>
>К слову сказать, IPSec у вас сейчас и так работает в режиме
>туннеля (туннель в туннеле, получается):
>!
>crypto ipsec transform-set strong esp-3des esp-md5-hmac
> mode tunnel - это его режим по умолчанию. А если нужет
>транспортный режим, то надо в явном виде говорить mode transporБольшое спасибо за понятный ответ.
Тунель поднялся только поять не могу почему по нему пинги не идут там маршруты я так пинимаю писать не какие не нужно?
>Большое спасибо за понятный ответ.
>Тунель поднялся только поять не могу почему по нему пинги не идут
>там маршруты я так пинимаю писать не какие не нужно?В данном случае - нет, не надо. А что значит "не идут"? откуда куда?
Вобщем сетуация токая:
У меня даве подсети
одна 10,10,10,0 255,255,255,0
вторая 192,168,2,0 255,255,255,0
Я сделал такой конфиг:crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key _______________ address yyy.yyy.yyy.yyy
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer yyy.yyy.yyy.yyy
set transform-set strong
match address 140
!
!
interface Dialer0
!
crypto map vpn
!
!
access-list 140 permit ip 192.168.2.0 0.0.0.255 10.10.10.0 0.0.0.255
С другой стороны то-же только, соответственно вместо yyy.yyy.yyy.yyy другой адрес и ACL
access-list 140 permit ip 10.10.10.0 0.0.0.255 192.168.2.0 0.0.0.255Значит таблица маршрутизации осталось такой:
Как и была без тунеля.
Соответсвенно пинги с маршрутизатора до другого маршрутизатора не идут?И как проверить поднялся ли тунель?
>Вобщем сетуация токая:
>У меня даве подсети
>одна 10,10,10,0 255,255,255,0
>вторая 192,168,2,0 255,255,255,0
>Я сделал такой конфиг:
>
>crypto isakmp policy 1
> hash md5
> authentication pre-share
>crypto isakmp key _______________ address yyy.yyy.yyy.yyy
>!
>!
>crypto ipsec transform-set strong esp-3des esp-md5-hmac
>!
>crypto map vpn 10 ipsec-isakmp
> set peer yyy.yyy.yyy.yyy
> set transform-set strong
> match address 140
>!
>!
>interface Dialer0
>!
>crypto map vpn
>!
>!
>access-list 140 permit ip 192.168.2.0 0.0.0.255 10.10.10.0 0.0.0.255
>
>
>С другой стороны то-же только, соответственно вместо yyy.yyy.yyy.yyy другой адрес и ACL
>
>access-list 140 permit ip 10.10.10.0 0.0.0.255 192.168.2.0 0.0.0.255
>
>Значит таблица маршрутизации осталось такой:
>Как и была без тунеля.
>Соответсвенно пинги с маршрутизатора до другого маршрутизатора не идут?
>
>И как проверить поднялся ли тунель?
1) До другого маршрутизатора, или из одной приватной сети в другую?
2) Чтобы появились маршруты, поставить reverse-route в описание криптомапа. Но вообще-то, если оба роутера - шлюзы по умолчанию для обеих приватных сетей, должно работать и так.
3) Проверить - sh crypto isa sa det и sh crypto ipsec sa
4) Что за бляdская манера пошла - разделять октеты в IP-адресах и масках запятыми? Это теперь так модно, или что?
>1) До другого маршрутизатора, или из одной приватной сети в другую?
>2) Чтобы появились маршруты, поставить reverse-route в описание криптомапа. Но вообще-то,
>если оба роутера - шлюзы по умолчанию для обеих приватных сетей,
>должно работать и так.
>3) Проверить - sh crypto isa sa det и sh crypto ipsec
>sa
>4) Что за бляdская манера пошла - разделять октеты в IP-адресах и
>масках запятыми? Это теперь так модно, или что?
Сразу хочу извениться за дурацкое написание адресов.!!!
Привожу полный конфиг помогите разобраться тунель не понимаеться.!!!
С другой сторы то-же самое листы наоборот и дреса.
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Router
!
enable secret_________
!
username Kan password ______________________________
clock timezone GMT 6
no aaa new-model
ip subnet-zero
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool CLIENT
import all
network 10.10.10.0 255.255.255.0
dns-server ___________________________
default-router 10.10.10.1
lease 0 18
!
!
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key 0 123456 address xxx.xxx.xxx.xxx
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer xxx.xxx.xxx.xxx
set transform-set strong
match address 140
reverse-route
!
!
!
!
interface Ethernet0
ip address 10.10.10.1 255.255.255.0
ip nat inside
hold-queue 100 out
!
interface ATM0
no ip address
no ip mroute-cache
no atm ilmi-keepalive
pvc 0/33
encapsulation aal5mux ppp dialer
dialer pool-member 10
!
dsl operating-mode auto
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
interface Dialer0
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
encapsulation ppp
no ip mroute-cache
dialer pool 10
dialer-group 10
no cdp enable
ppp authentication pap callin
ppp pap sent-username ----------------- password --------------
crypto map vpn
!
ip nat inside source list 121 interface Dialer0 overload
ip nat inside source static tcp 10.10.10.2 3389 interface Dialer0 3389
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip http server
no ip http secure-server
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 any log
access-list 121 permit ip 10.10.10.0 0.0.0.255 any
access-list 140 permit ip 10.10.10.0 0.0.0.255 192.168.2.0 0.0.0.255
dialer-list 10 protocol ip permit
!
line con 0
exec-timeout 120 0
no modem enable
stopbits 1
line aux 0
line vty 0 4
access-class 101 in
exec-timeout 120 0
login local
length 0
!
scheduler max-task-time 5000
sntp server 194.186.254.22 version 2
sntp server 195.2.64.5 version 2
!
end
ACL 121 переделайте:access-list 121 deny ip 10.10.10.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 121 permit ip 10.10.10.0 0.0.0.255 anyчтобы пакеты из 10.10.10.0/24 в 192.168.2.0/24 не попадали в NAT.
На другой стороне - симметрично.И смотрите дебаги, от установления сессии ISAKMP до установления туннеля, чтобы стало понятно, где затыкается.
term mon, если не на консоли
debug cry isa
debug cry ipseИ ещё, вот этот момент я не понял:
interface Dialer0
ip address negotiated
Разве у вас не статический IP на этом интерфейсе?
>ACL 121 переделайте:
>
>access-list 121 deny ip 10.10.10.0 0.0.0.255 192.168.2.0 0.0.0.255
>access-list 121 permit ip 10.10.10.0 0.0.0.255 any
>
>чтобы пакеты из 10.10.10.0/24 в 192.168.2.0/24 не попадали в NAT.
>На другой стороне - симметрично.
>
>И смотрите дебаги, от установления сессии ISAKMP до установления туннеля, чтобы стало
>понятно, где затыкается.
>term mon, если не на консоли
>debug cry isa
>debug cry ipse
>
>И ещё, вот этот момент я не понял:
>interface Dialer0
>ip address negotiated
>Разве у вас не статический IP на этом интерфейсе?
Да не статический но я его знаю и он не меняеться.!
>>ACL 121 переделайте:
>>
>>access-list 121 deny ip 10.10.10.0 0.0.0.255 192.168.2.0 0.0.0.255
>>access-list 121 permit ip 10.10.10.0 0.0.0.255 any
>>
>>чтобы пакеты из 10.10.10.0/24 в 192.168.2.0/24 не попадали в NAT.
>>На другой стороне - симметрично.
>>
>>И смотрите дебаги, от установления сессии ISAKMP до установления туннеля, чтобы стало
>>понятно, где затыкается.
>>term mon, если не на консоли
>>debug cry isa
>>debug cry ipse
>>
>>И ещё, вот этот момент я не понял:
>>interface Dialer0
>>ip address negotiated
>>Разве у вас не статический IP на этом интерфейсе?
>Да не статический но я его знаю и он не меняеться.!
Понятно. ACL поправьте, как я показал, и посмотрите дебаги. Должно работать.
>Понятно. ACL поправьте, как я показал, и посмотрите дебаги. Должно работать.Вобщем тунель работает, не работает только подключение к терминал серверу.
расположенному по адресу 192.168.2.5 на него идут пинги окрываеться сетевые папки происходит соединение терминала, а потом надпись соединение закрыто по таймауту.
С одной стороны Cisco 2651XM IOS:c2600-adventerprisek9-mz.123-4.XD.bin
с другой стороны Cisco 837 ADSL IOS: c837-k9o3y6-mz.123-2.XC2.binВот я и думаю может какие проблемы с IOS на 837 может у кого нибудь сте иос с плюсом для данно ймашинки.
c837-k9o3sy6-mz.bin
Заранее благодарен жду ответ.
>>Понятно. ACL поправьте, как я показал, и посмотрите дебаги. Должно работать.
>
>Вобщем тунель работает, не работает только подключение к терминал серверу.
>расположенному по адресу 192.168.2.5 на него идут пинги окрываеться сетевые папки происходит
>соединение терминала, а потом надпись соединение закрыто по таймауту.
>С одной стороны Cisco 2651XM IOS:c2600-adventerprisek9-mz.123-4.XD.bin
>с другой стороны Cisco 837 ADSL IOS: c837-k9o3y6-mz.123-2.XC2.bin
>
>Вот я и думаю может какие проблемы с IOS на 837 может
>у кого нибудь сте иос с плюсом для данно ймашинки.
>
>c837-k9o3sy6-mz.bin
>
>Заранее благодарен жду ответ.Да не при чём это тут. Странно всё это.
На самом терминал-сервере ничего такого нет? Файрволл, пакетный фильтр...
Возможно ещё, дело в размере MTU и в MTU Path Discovery. Оно вряд ли, т.к. у RDP пакеты небольшие. Но всё-таки проверьте и эту возможность.
Для простоты - попробуйте урезать MSS на внутренних интерфейсах обоих роутеров. Команда ip tcp adjust-mss (число) на интерфейсе.
Начните с 1452 и постепенно уменьшайте.
>Для простоты - попробуйте урезать MSS на внутренних интерфейсах обоих роутеров. Команда
>ip tcp adjust-mss (число) на интерфейсе.
>Начните с 1452 и постепенно уменьшайте.Попробывал не помогает ситуация та-же.!
Ради проверки сделал все проще через интерфейс Tunnel без шиврования, и с ипользование маршрутизации и через нат проблема таже пинги идут, сетевые ресурсыоткрываються, а RDP не подключаеться. На сервере ничего нет никакий ограничении на подключение.Вот кусок конфига
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Router
!
enable secret 5 ---------------------------
!
username ---- password 7 ----------------------------
clock timezone GMT 6
no aaa new-model
ip subnet-zero
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool CLIENT
import all
network 10.10.10.0 255.255.255.0
dns-server ------------------------
default-router 10.10.10.1
lease 0 18
!
!
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
crypto isakmp policy 1
authentication pre-share
crypto isakmp key 0 ltuhflfwbz address -----------------
!
!
crypto ipsec transform-set strong esp-des esp-sha-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer ---------------
set transform-set strong
match address 101
!
!
!
!
interface Tunnel0
bandwidth 56
ip address 192.168.250.2 255.255.255.0
ip mtu 1452
ip nat outside
no ip mroute-cache
tunnel source Dialer0
tunnel destination --------------------
!
interface Ethernet0
ip address 10.10.10.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
no ip mroute-cache
no cdp enable
hold-queue 100 out
!
interface ATM0
no ip address
no ip mroute-cache
no atm ilmi-keepalive
pvc 0/33
encapsulation aal5mux ppp dialer
dialer pool-member 10
!
dsl operating-mode auto
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
interface Dialer0
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
encapsulation ppp
no ip mroute-cache
dialer pool 10
dialer-group 10
no cdp enable
ppp authentication pap callin
ppp pap sent-username --------- password 7 -----------------
!
ip nat inside source list 101 interface Tunnel0 overload
ip nat inside source list 121 interface Dialer0 overload
ip nat inside source static tcp 10.10.10.2 3389 interface Dialer0 3389
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.2.0 255.255.255.0 Tunnel0
ip http server
no ip http secure-server
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 192.168.2.0 0.0.0.255 log
access-list 120 permit ip 10.10.10.0 0.0.0.255 any log
access-list 120 permit ip host 212.154.216.169 any log
access-list 121 permit ip 10.10.10.0 0.0.0.255 any
dialer-list 10 protocol ip permit
no cdp run
!
line con 0
exec-timeout 120 0
no modem enable
stopbits 1
line aux 0
line vty 0 4
access-class 120 in
exec-timeout 120 0
login local
length 0
!
scheduler max-task-time 5000
sntp server 194.186.254.22 version 2
sntp server 195.2.64.5 version 2
!
end
>>Для простоты - попробуйте урезать MSS на внутренних интерфейсах обоих роутеров. Команда
>>ip tcp adjust-mss (число) на интерфейсе.
>>Начните с 1452 и постепенно уменьшайте.
>
>Попробывал не помогает ситуация та-же.!Ну тогда я сдаюсь.
Тем не менее, скорее что-то все-таки не так с вашим сервером, именно с ним.
Смысл в том что на cisco 2651XM которая стоит в главном офисе сейчас поднят VPN сервер и пользователи из других филиалов подключаються на него и тоже идуп по RDP так вот у низ проблем никаких нет, просто сейчас я перевожу все офисы на тунели купил эти 837 cisco и вот сталкнулся с проблемой. В связи с этим я думаю проблем с сервером нет.
>Ну тогда я сдаюсь.
>Тем не менее, скорее что-то все-таки не так с вашим сервером, именно
>с ним.Смысл в том что сейчас на Cisco 2651XM которая стои в головном офисе, поднят VPN сервер и удаленные офисы ек ней конектяться и выодят по RDP на сервер, а сейчас в филиалах решил купить Cisco 837 и поднять тунели, что бы меньше забот. А вот и неполучаеться.
Может все таки у кого завалялся иос с плюсом для этой кошки а точнее с837-k9o3sy6.bin
toor99 спасибо Вам за помощь и участие.
>>Ну тогда я сдаюсь.
>>Тем не менее, скорее что-то все-таки не так с вашим сервером, именно
>>с ним.
>
>Смысл в том что сейчас на Cisco 2651XM которая стои в головном
>офисе, поднят VPN сервер и удаленные офисы ек ней конектяться и
>выодят по RDP на сервер, а сейчас в филиалах решил купить
>Cisco 837 и поднять тунели, что бы меньше забот. А вот
>и неполучаеться.
>
>Может все таки у кого завалялся иос с плюсом для этой кошки
>а точнее с837-k9o3sy6.bin
>
>toor99 спасибо Вам за помощь и участие.Я конечно дико извеняюсь, но чем дело закончилось? У меня похожая ситуация, и не чего сделать не могу. Ответте пожалуйста?