помогите чайнику. сделал все по книжке :-). нету роутинга между vpn client'ом и внутренней сетью. клиент нормально коннектится, получает адрес, роутинг, все параметры, но дальше адреса 192.168.1.44 не уходит :-(, т е локалку за этим интерфейсом не видит. (ios 12.3, vpn client 4.5)
aaa authentication login clientauth local
aaa authorization network groupauthor local!
crypto isakmp client configuration group testgroup
key cisco321
dns xxx.xxx.76.6 xxx.xxx.77.6
wins 192.168.1.1
domain блабла.ru
pool ippool
acl 100crypto isakmp profile VPNclient
description VPN clients profile
match identity group testgroup
client authentication list clientauth
isakmp authorization list groupauthor
client configuration address respondinterface FastEthernet0/0
ip address xxx.xxx.77.10 255.255.255.252
duplex auto
speed auto
crypto map mymapinterface FastEthernet0/1
ip address 192.168.1.44 255.255.255.0
duplex auto
speed auto!
ip local pool ippool 192.168.11.1 192.168.11.254
ip classless
ip route 0.0.0.0 0.0.0.0 xxx.xxx.77.9
ip route 192.168.1.0 255.255.255.0 192.168.1.223
!
access-list 100 permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
вот что на клиенте, вроде все правильно:Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 xxx.xxx.77.2 xxx.xxx.77.1 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.0.0 192.168.11.5 192.168.11.5 1
192.168.11.0 255.255.255.0 192.168.11.5 192.168.11.5 1
192.168.11.5 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.11.255 255.255.255.255 192.168.11.5 192.168.11.5 1
xxx.xxx.77.0 255.255.255.252 xxx.xxx.77.1 xxx.xxx.77.1 1
xxx.xxx.77.1 255.255.255.255 127.0.0.1 127.0.0.1 1
xxx.xxx.77.10 255.255.255.255 xxx.xxx.77.2 xxx.xxx.77.1 1
xxx.xxx.77.255 255.255.255.255 xxx.xxx.77.1 xxx.xxx.77.1 1
224.0.0.0 224.0.0.0 192.168.11.5 192.168.11.5 1
224.0.0.0 224.0.0.0 xxx.xxx.77.1 xxx.xxx.77.1 1
255.255.255.255 255.255.255.255 xxx.xxx.77.1 xxx.xxx.77.1 1
Default Gateway: xxx.xxx.77.2
cisco-2651xm#show crypto ipsec sainterface: FastEthernet0/0
Crypto map tag: mymap, local addr. xxx.xxx.77.10protected vrf:
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.11.10/255.255.255.255/0/0)
current_peer: xxx.xxx.77.1:500
PERMIT, flags={}
#pkts encaps: 2, #pkts encrypt: 2, #pkts digest 2
#pkts decaps: 72, #pkts decrypt: 72, #pkts verify 72
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0local crypto endpt.: xxx.xxx.77.10, remote crypto endpt.: xxx.xxx.77.1
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
current outbound spi: FE9A3F93inbound esp sas:
spi: 0xF6E4C26F(4142187119)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2000, flow_id: 1, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4544742/3537)
IV size: 8 bytes
replay detection support: Yinbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xFE9A3F93(4271521683)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2001, flow_id: 2, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4544753/3537)
IV size: 8 bytes
replay detection support: Youtbound ah sas:
outbound pcp sas:
>cisco-2651xm#show crypto ipsec sa
>
>interface: FastEthernet0/0
> Crypto map tag: mymap, local addr. xxx.xxx.77.10
>
> protected vrf:
> local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
> remote ident (addr/mask/prot/port): (192.168.11.10/255.255.255.255/0/0)
> current_peer: xxx.xxx.77.1:500
> PERMIT, flags={}
> #pkts encaps: 2, #pkts encrypt: 2, #pkts digest
>2
> #pkts decaps: 72, #pkts decrypt: 72, #pkts verify
>72
> #pkts compressed: 0, #pkts decompressed: 0
> #pkts not compressed: 0, #pkts compr. failed: 0
>
> #pkts not decompressed: 0, #pkts decompress failed: 0
>
> #send errors 0, #recv errors 0
>
> local crypto endpt.: xxx.xxx.77.10, remote crypto endpt.:
>xxx.xxx.77.1
> path mtu 1500, ip mtu 1500, ip
>mtu idb FastEthernet0/0
> current outbound spi: FE9A3F93
>
> inbound esp sas:
> spi: 0xF6E4C26F(4142187119)
> transform: esp-3des esp-sha-hmac ,
>
> in use settings ={Tunnel,
>}
> slot: 0, conn id:
>2000, flow_id: 1, crypto map: mymap
> sa timing: remaining key
>lifetime (k/sec): (4544742/3537)
> IV size: 8 bytes
>
> replay detection support: Y
>
>
> inbound ah sas:
>
> inbound pcp sas:
>
> outbound esp sas:
> spi: 0xFE9A3F93(4271521683)
> transform: esp-3des esp-sha-hmac ,
>
> in use settings ={Tunnel,
>}
> slot: 0, conn id:
>2001, flow_id: 2, crypto map: mymap
> sa timing: remaining key
>lifetime (k/sec): (4544753/3537)
> IV size: 8 bytes
>
> replay detection support: Y
>
>
> outbound ah sas:
>
> outbound pcp sas:
Багира я уже иду ))Вот поднимаю старый ответ
>>есть ПК+Инэт(с дешевым региональным трафиком и дорогим зарубежным)
>>также в соседнем городе есть Cisco одним портом воткнутая в Инэт(анлим)
>>ЗАДАЧА:
>>..ходить в инэт с ПК через циску(тоесть просто слать пакеты в порт
>>циски а они в свою очередь через тот же порт уходили
>>дальше в инэт)..тоесть использование регионального трафика вместо заграничного!..
>>..подозреваю что по сути это как прозрачный прокси..
>
>Нет, это скорее vpn + nat.
>
>VPN-ом на циску, с нее в инет через нат.
aaa authentication login default local
aaa authentication login UCL local
aaa authorization exec default local
aaa authorization network UCL local
aaa session-id common
ip subnet-zero
no ip source-route
no ip gratuitous-arps
ip cef
!
!
no ip domain lookup
!
no ip bootp server
ip audit po max-events 100
!
!
!
! !
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
!
crypto isakmp client configuration group Cisco2621
key 1234567
pool POOL
!
crypto isakmp client configuration group Roman
key 123456789pool POOL2
!
crypto ipsec transform-set TS esp-des esp-md5-hmac
!
crypto dynamic-map DM 10
set transform-set TS
reverse-route
qos pre-classify
!
!
crypto map CM client authentication list UCL
crypto map CM isakmp authorization list UCL
crypto map CM client configuration address respond
crypto map CM 10 ipsec-isakmp dynamic DM
!
!
!
!
interface Loopback1
ip address 172.17.1.1 255.255.255.255
ip nat insideinterface FastEthernet0/1
bandwidth 100000
ip address 172.18.1.1 255.255.0.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip policy route-map Loop
duplex auto
speed auto
no cdp enable
crypto map CMip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621
ip local pool POOL2 172.18.3.10 group Roman
ip nat pool out 192.18.1.1 192.18.1.1 netmask 255.255.255.0
ip nat inside source list 11 pool out overload
no ip http server
no ip http secure-server
ip classlessaccess-list 11 permit 172.18.3.0 0.0.0.255
no cdp run
!
!
route-map Loop permit 10
match ip address 11
set interface Loopback1
Вот испытывал вроде работает…..
Циско впн клиент плюхаеться на сиску , получает айпи адресс , перескакивает на луппбек , там в инсайд потом в оутсайд и тутутутуту в инет ….. пробуйУбери роут мапы и лупбек, и нат убери,и акцесс лист acl 100 не вписывай потом впишешь) пробывать надо крутить так сяк , да и группу одну оставь на выбор.
>>cisco-2651xm#show crypto ipsec sa
>>
>>interface: FastEthernet0/0
>> Crypto map tag: mymap, local addr. xxx.xxx.77.10
>>
>> protected vrf:
>> local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
>> remote ident (addr/mask/prot/port): (192.168.11.10/255.255.255.255/0/0)
>> current_peer: xxx.xxx.77.1:500
>> PERMIT, flags={}
>> #pkts encaps: 2, #pkts encrypt: 2, #pkts digest
>>2
>> #pkts decaps: 72, #pkts decrypt: 72, #pkts verify
>>72
>> #pkts compressed: 0, #pkts decompressed: 0
>> #pkts not compressed: 0, #pkts compr. failed: 0
>>
>> #pkts not decompressed: 0, #pkts decompress failed: 0
>>
>> #send errors 0, #recv errors 0
>>
>> local crypto endpt.: xxx.xxx.77.10, remote crypto endpt.:
>>xxx.xxx.77.1
>> path mtu 1500, ip mtu 1500, ip
>>mtu idb FastEthernet0/0
>> current outbound spi: FE9A3F93
>>
>> inbound esp sas:
>> spi: 0xF6E4C26F(4142187119)
>> transform: esp-3des esp-sha-hmac ,
>>
>> in use settings ={Tunnel,
>>}
>> slot: 0, conn id:
>>2000, flow_id: 1, crypto map: mymap
>> sa timing: remaining key
>>lifetime (k/sec): (4544742/3537)
>> IV size: 8 bytes
>>
>> replay detection support: Y
>>
>>
>> inbound ah sas:
>>
>> inbound pcp sas:
>>
>> outbound esp sas:
>> spi: 0xFE9A3F93(4271521683)
>> transform: esp-3des esp-sha-hmac ,
>>
>> in use settings ={Tunnel,
>>}
>> slot: 0, conn id:
>>2001, flow_id: 2, crypto map: mymap
>> sa timing: remaining key
>>lifetime (k/sec): (4544753/3537)
>> IV size: 8 bytes
>>
>> replay detection support: Y
>>
>>
>> outbound ah sas:
>>
>> outbound pcp sas:
>Багира я уже иду ))
>
>Вот поднимаю старый ответ
>
>>>есть ПК+Инэт(с дешевым региональным трафиком и дорогим зарубежным)
>>>также в соседнем городе есть Cisco одним портом воткнутая в Инэт(анлим)
>>>ЗАДАЧА:
>>>..ходить в инэт с ПК через циску(тоесть просто слать пакеты в порт
>>>циски а они в свою очередь через тот же порт уходили
>>>дальше в инэт)..тоесть использование регионального трафика вместо заграничного!..
>>>..подозреваю что по сути это как прозрачный прокси..
>>
>>Нет, это скорее vpn + nat.
>>
>>VPN-ом на циску, с нее в инет через нат.
>aaa authentication login default local
>aaa authentication login UCL local
>aaa authorization exec default local
>aaa authorization network UCL local
>aaa session-id common
>ip subnet-zero
>no ip source-route
>no ip gratuitous-arps
>ip cef
>!
>!
>no ip domain lookup
>!
>no ip bootp server
>ip audit po max-events 100
>!
>!
>!
>! !
>crypto isakmp policy 10
>hash md5
>authentication pre-share
>group 2
>!
>crypto isakmp client configuration group Cisco2621
>key 1234567
>pool POOL
>!
>crypto isakmp client configuration group Roman
>key 123456789
>
>pool POOL2
>
>!
>crypto ipsec transform-set TS esp-des esp-md5-hmac
>!
>crypto dynamic-map DM 10
>set transform-set TS
>reverse-route
>qos pre-classify
>!
>!
>crypto map CM client authentication list UCL
>crypto map CM isakmp authorization list UCL
>crypto map CM client configuration address respond
>crypto map CM 10 ipsec-isakmp dynamic DM
>!
>!
>!
>!
>interface Loopback1
>ip address 172.17.1.1 255.255.255.255
>ip nat inside
>
>interface FastEthernet0/1
>bandwidth 100000
>ip address 172.18.1.1 255.255.0.0
>no ip redirects
>no ip unreachables
>no ip proxy-arp
>ip nat outside
>ip policy route-map Loop
>duplex auto
>speed auto
>no cdp enable
>crypto map CM
>
>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621
>ip local pool POOL2 172.18.3.10 group Roman
>ip nat pool out 192.18.1.1 192.18.1.1 netmask 255.255.255.0
>ip nat inside source list 11 pool out overload
>no ip http server
>no ip http secure-server
>ip classless
>
>access-list 11 permit 172.18.3.0 0.0.0.255
>no cdp run
>!
>!
>route-map Loop permit 10
>match ip address 11
>set interface Loopback1
>
>
>Вот испытывал вроде работает…..
>Циско впн клиент плюхаеться на сиску , получает айпи адресс , перескакивает
>на луппбек , там в инсайд потом в оутсайд и
>тутутутуту в инет ….. пробуй
>
>Убери роут мапы и лупбек, и нат убери,и акцесс лист acl 100
>не вписывай потом впишешь) пробывать надо крутить так сяк , да
>и группу одну оставь на выбор.Кстати не Организация защиты сетей Cisco книжка ?? видел я этот пример - правда он сумбурно разобран был ... как бы надо было из кусочков собирать , из разных глав, может ты какой кусочек забыл например динамическую карту прописать . В принципе я смотрел по форумам и на cisco.com
>Кстати не Организация защиты сетей Cisco книжка ?? видел я этот пример
>- правда он сумбурно разобран был ... как бы надо было
>из кусочков собирать , из разных глав, может ты какой кусочек
>забыл например динамическую карту прописать . В принципе я смотрел по
>форумам и на cisco.com
да нет, это статья с cisco.com
отконфигурить не забыл, забыл сюда вставить в письмо :-)
сам то тунель работает, все коннектится.. не работает роутинг в локальную сеть.. я уж и так и сяк...странно, 100% мой пример (ну кроме радиуса) вот здесь http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
там чуть другим путем мапу обозначили, но суть не меняется... все также работает, роутинг не идет.
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group testgroup
key cisco321
dns xxx.xxx.76.6 xxx.xxx.77.6
wins 192.168.1.1
domain logika.ru
pool ippool
acl 100
crypto isakmp profile VPNclient
description VPN clients profile
match identity group testgroup
client authentication list clientauth
isakmp authorization list groupauthor
client configuration address respond
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 5
set transform-set myset
set isakmp-profile VPNclient
!
!
crypto map mymap 10 ipsec-isakmp dynamic dynmap
нат построил - в локалку пустили... а без ната никак нельзя ???????? :-(((((((((
>>Кстати не Организация защиты сетей Cisco книжка ?? видел я этот пример
>>- правда он сумбурно разобран был ... как бы надо было
>>из кусочков собирать , из разных глав, может ты какой кусочек
>>забыл например динамическую карту прописать . В принципе я смотрел по
>>форумам и на cisco.com
>
>
>да нет, это статья с cisco.com
>отконфигурить не забыл, забыл сюда вставить в письмо :-)
>сам то тунель работает, все коннектится.. не работает роутинг в локальную сеть..
>я уж и так и сяк...
>
>странно, 100% мой пример (ну кроме радиуса) вот здесь http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
>
>там чуть другим путем мапу обозначили, но суть не меняется... все также
>работает, роутинг не идет.
>
>
>
>crypto isakmp policy 10
> encr 3des
> authentication pre-share
> group 2
>!
>crypto isakmp client configuration group testgroup
> key cisco321
> dns xxx.xxx.76.6 xxx.xxx.77.6
> wins 192.168.1.1
> domain logika.ru
> pool ippool
> acl 100
>crypto isakmp profile VPNclient
> description VPN clients profile
> match identity group testgroup
> client authentication list clientauth
> isakmp authorization list groupauthor
> client configuration address respond
>!
>!
>crypto ipsec transform-set myset esp-3des esp-sha-hmac
>!
>crypto dynamic-map dynmap 5
> set transform-set myset
> set isakmp-profile VPNclient
>!
>!
>crypto map mymap 10 ipsec-isakmp dynamic dynmapВот в динамическую карту добавь,
crypto dynamic-map DM 10
set transform-set TS
reverse-route - вот этоqos pre-classify - вот это
Пулл адресов задай фейковый ченить там бла бла бла
маршрут один оставь по умолчанию , команды в крипто мапе сделают своё дело, и убери этот ACL 100 я пока в нём не разобрался как работает тоже ничё не ходило. У тебя адреса с пула роли никакой не играют они идут по туннелю в зашифрованном виде , на клиенте создаёться новоё соединение с адресом из пула , но всё идёт всё равно по туннелю, можешь хоть 1.1.1.1 поставить всё равно должно работать , и роутиться это будет нормально, связь будет внутрянняя сеть с этими фейковыми адресами , а вообще чем конфиг мой не устраивает ? попробуй и посмотри разницу.
>>>Кстати не Организация защиты сетей Cisco книжка ?? видел я этот пример
>>>- правда он сумбурно разобран был ... как бы надо было
>>>из кусочков собирать , из разных глав, может ты какой кусочек
>>>забыл например динамическую карту прописать . В принципе я смотрел по
>>>форумам и на cisco.com
>>
>>
>>да нет, это статья с cisco.com
>>отконфигурить не забыл, забыл сюда вставить в письмо :-)
>>сам то тунель работает, все коннектится.. не работает роутинг в локальную сеть..
>>я уж и так и сяк...
>>
>>странно, 100% мой пример (ну кроме радиуса) вот здесь http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
>>
>>там чуть другим путем мапу обозначили, но суть не меняется... все также
>>работает, роутинг не идет.
>>
>>
>>
>>crypto isakmp policy 10
>> encr 3des
>> authentication pre-share
>> group 2
>>!
>>crypto isakmp client configuration group testgroup
>> key cisco321
>> dns xxx.xxx.76.6 xxx.xxx.77.6
>> wins 192.168.1.1
>> domain logika.ru
>> pool ippool
>> acl 100
>>crypto isakmp profile VPNclient
>> description VPN clients profile
>> match identity group testgroup
>> client authentication list clientauth
>> isakmp authorization list groupauthor
>> client configuration address respond
>>!
>>!
>>crypto ipsec transform-set myset esp-3des esp-sha-hmac
>>!
>>crypto dynamic-map dynmap 5
>> set transform-set myset
>> set isakmp-profile VPNclient
>>!
>>!
>>crypto map mymap 10 ipsec-isakmp dynamic dynmap
>
>Вот в динамическую карту добавь,
>
>crypto dynamic-map DM 10
>set transform-set TS
>reverse-route - вот это
>
>qos pre-classify - вот это
>
>Пулл адресов задай фейковый ченить там бла бла бла
>маршрут один оставь по умолчанию , команды в крипто мапе сделают своё
>дело, и убери этот ACL 100 я пока в нём
>не разобрался как работает тоже ничё не ходило. У тебя адреса
>с пула роли никакой не играют они идут по туннелю в
>зашифрованном виде , на клиенте создаёться новоё соединение с адресом
>из пула , но всё идёт всё равно по туннелю, можешь
>хоть 1.1.1.1 поставить всё равно должно работать , и роутиться это
>будет нормально, связь будет внутрянняя сеть с этими фейковыми адресами ,
>а вообще чем конфиг мой не устраивает ? попробуй и посмотри
>разницу.Хахахахахах ) блин ты назначал адреса пула такие же как у тебя в локалке ))) кхе представь на двух интервейсах одна и та же сетка прописана маршрутизатор этого не допустит., я тоже мучался долго пока не понял в чём вишка, пример с натом у меня для разворота написан был .
Может я не прав и можно выдавать адреса из пула внутренней сети но у меня не вышло. Через нат я думаю можно пробиваться на твой внутьренний адрес.Да и покажи пожалуйста какой у тебя конфиг теперь , я их для потомства отбираю) Ну в основном для себя.
все заработало с поднятием ната
на интерфейсе 192.168.1.44 fe0/1ну и фиг с ним.. работает и ладно.. :-)
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SUPERROUTER
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
logging monitor informational
!
username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0
username cisco password 0 cisco
mmi polling-interval 60
!
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
aaa session-id common
ip subnet-zero
!
!
no ip domain lookup
ip domain name SS7UA
!
!
ip cef
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp client configuration group user
key password
pool ippool
!
!
crypto ipsec transform-set Table1 esp-3des esp-sha-hmac
crypto ipsec df-bit clear
!
!
crypto dynamic-map DYN_CKV_LPM 3
set transform-set Table1
!
!
crypto map CKV_LPM client authentication list userauthen
crypto map CKV_LPM isakmp authorization list groupauthor
crypto map CKV_LPM client configuration address respond
crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM
!
!
!
!
interface Ethernet0
ip address 12.13.14.1 255.255.255.0
no ip redirects
no ip proxy-arp
ip route-cache flow
no ip route-cache cef
half-duplex
crypto map CKV_LPM
!
interface FastEthernet0
ip address 172.19.9.1 255.255.0.0
no ip redirects
no ip proxy-arp
ip route-cache flow
no ip route-cache cef
speed auto
!
ip local pool ippool 222.19.9.11 222.19.9.21
ip classless
ip route 0.0.0.0 0.0.0.0 10.5.8.105
no ip http server
ip http authentication local
no ip http secure-server
!
!
!
!
!
control-plane
!
!
line con 0
privilege level 15
no exec
line aux 0
privilege level 15
no exec
line vty 0 4
privilege level 15
transport input ssh
line vty 5 15
privilege level 15
transport input telnet ssh
!
!
endПри такой конфигурации не пускает в локальную сетку (172.19.0.0/16). Что не так, подскажи, пожалуйста...
>!
>version 12.3
>service timestamps debug datetime msec
>service timestamps log datetime msec
>no service password-encryption
>!
>hostname SUPERROUTER
>!
>boot-start-marker
>boot-end-marker
>!
>logging buffered 51200 warnings
>logging monitor informational
>!
>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0
>username cisco password 0 cisco
>mmi polling-interval 60
>!
>no mmi auto-configure
>no mmi pvc
>mmi snmp-timeout 180
>aaa new-model
>!
>!
>aaa authentication login userauthen local
>aaa authorization network groupauthor local
>aaa session-id common
>ip subnet-zero
>!
>!
>no ip domain lookup
>ip domain name SS7UA
>!
>!
>ip cef
>ip audit po max-events 100
>no ftp-server write-enable
>!
>!
>!
>!
>!
>!
>crypto isakmp policy 10
> encr 3des
> hash md5
> authentication pre-share
> group 2
>!
>crypto isakmp client configuration group user
> key password
> pool ippool
>!
>!
>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac
>crypto ipsec df-bit clear
>!
>!
>crypto dynamic-map DYN_CKV_LPM 3
> set transform-set Table1
>!
>!
>crypto map CKV_LPM client authentication list userauthen
>crypto map CKV_LPM isakmp authorization list groupauthor
>crypto map CKV_LPM client configuration address respond
>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM
>!
>!
>!
>!
>interface Ethernet0
> ip address 12.13.14.1 255.255.255.0
> no ip redirects
> no ip proxy-arp
> ip route-cache flow
> no ip route-cache cef
> half-duplex
> crypto map CKV_LPM
>!
>interface FastEthernet0
> ip address 172.19.9.1 255.255.0.0
> no ip redirects
> no ip proxy-arp
> ip route-cache flow
> no ip route-cache cef
> speed auto
>!
>ip local pool ippool 222.19.9.11 222.19.9.21
>ip classless
>ip route 0.0.0.0 0.0.0.0 10.5.8.105
>no ip http server
>ip http authentication local
>no ip http secure-server
>!
>!
>!
>!
>!
>control-plane
>!
>!
>line con 0
> privilege level 15
> no exec
>line aux 0
> privilege level 15
> no exec
>line vty 0 4
> privilege level 15
> transport input ssh
>line vty 5 15
> privilege level 15
> transport input telnet ssh
>!
>!
>end
>
>При такой конфигурации не пускает в локальную сетку (172.19.0.0/16). Что не так,
>подскажи, пожалуйста...
Как я понял снифер у тебя не стоит, то есть у тебя афторизация проходит нормально туннель поднимаеться но с с выданными адресами дальше в локалку не проходит
Думаю что пакеты входящие у тебя проходят в локальную сеть но вот обратно с пакетами получаеться проблемы , не прописываються маршруты к удалённым хостам , при чём трафик по этим маршрутам должен завернуться в туннель.
crypto dynamic-map DM 10
set transform-set TS
reverse-route ( вот в крипто мап добавь )
qos pre-classify ( и это тоже.)crypto dynamic-map DM 10
set transform-set TS
reverse-route
qos pre-classifyА вообще при создание конфигурации старайтесь начать с простенького , с самого простого примера или заранее рабочего , и вот от него и надо плясать , добавлять и пробывать, то что работает нормально с одним иосом , может глючить с другим, и вообще списывая конфиг старайтесь разобраться в нём досканально , и если начинаете его дополнять пишите или запоминайте что когда работало а когда перестало работать.
То что я вам советую это моё ИМХО потому как я самоучка и желательно
чтоб конечно писали здесь наши гуру .
Вот к примеру вам бы я посоветовал переписать мой конфиг практически в чистом виде, и дописать команды ip classless , и включить всё таки cef на интерфейсах.
>>!
>>version 12.3
>>service timestamps debug datetime msec
>>service timestamps log datetime msec
>>no service password-encryption
>>!
>>hostname SUPERROUTER
>>!
>>boot-start-marker
>>boot-end-marker
>>!
>>logging buffered 51200 warnings
>>logging monitor informational
>>!
>>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0
>>username cisco password 0 cisco
>>mmi polling-interval 60
>>!
>>no mmi auto-configure
>>no mmi pvc
>>mmi snmp-timeout 180
>>aaa new-model
>>!
>>!
>>aaa authentication login userauthen local
>>aaa authorization network groupauthor local
>>aaa session-id common
>>ip subnet-zero
>>!
>>!
>>no ip domain lookup
>>ip domain name SS7UA
>>!
>>!
>>ip cef
>>ip audit po max-events 100
>>no ftp-server write-enable
>>!
>>!
>>!
>>!
>>!
>>!
>>crypto isakmp policy 10
>> encr 3des
>> hash md5
>> authentication pre-share
>> group 2
>>!
>>crypto isakmp client configuration group user
>> key password
>> pool ippool
>>!
>>!
>>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac
>>crypto ipsec df-bit clear
>>!
>>!
>>crypto dynamic-map DYN_CKV_LPM 3
>> set transform-set Table1
>>!
>>!
>>crypto map CKV_LPM client authentication list userauthen
>>crypto map CKV_LPM isakmp authorization list groupauthor
>>crypto map CKV_LPM client configuration address respond
>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM
>>!
>>!
>>!
>>!
>>interface Ethernet0
>> ip address 12.13.14.1 255.255.255.0
>> no ip redirects
>> no ip proxy-arp
>> ip route-cache flow
>> no ip route-cache cef
>> half-duplex
>> crypto map CKV_LPM
>>!
>>interface FastEthernet0
>> ip address 172.19.9.1 255.255.0.0
>> no ip redirects
>> no ip proxy-arp
>> ip route-cache flow
>> no ip route-cache cef
>> speed auto
>>!
>>ip local pool ippool 222.19.9.11 222.19.9.21
>>ip classless
>>ip route 0.0.0.0 0.0.0.0 10.5.8.105
>>no ip http server
>>ip http authentication local
>>no ip http secure-server
>>!
>>!
>>!
>>!
>>!
>>control-plane
>>!
>>!
>>line con 0
>> privilege level 15
>> no exec
>>line aux 0
>> privilege level 15
>> no exec
>>line vty 0 4
>> privilege level 15
>> transport input ssh
>>line vty 5 15
>> privilege level 15
>> transport input telnet ssh
>>!
>>!
>>end
>>
>>При такой конфигурации не пускает в локальную сетку (172.19.0.0/16). Что не так,
>>подскажи, пожалуйста...
>Как я понял снифер у тебя не стоит, то есть у тебя
>афторизация проходит нормально туннель поднимаеться но с с выданными адресами дальше
>в локалку не проходит
>Думаю что пакеты входящие у тебя проходят в локальную сеть но вот
>обратно с пакетами получаеться проблемы , не прописываються маршруты к удалённым
>хостам , при чём трафик по этим маршрутам должен завернуться в
>туннель.
>crypto dynamic-map DM 10
>set transform-set TS
>reverse-route ( вот в крипто мап добавь )
>qos pre-classify ( и это тоже.)
>
>crypto dynamic-map DM 10
>set transform-set TS
>reverse-route
>qos pre-classify
>
>А вообще при создание конфигурации старайтесь начать с простенького , с самого
>простого примера или заранее рабочего , и вот от него и
>надо плясать , добавлять и пробывать, то что работает нормально с
>одним иосом , может глючить с другим, и вообще списывая конфиг
>старайтесь разобраться в нём досканально , и если начинаете его дополнять
>пишите или запоминайте что когда работало а когда перестало работать.
>То что я вам советую это моё ИМХО потому как я самоучка
>и желательно
>чтоб конечно писали здесь наши гуру .
>Вот к примеру вам бы я посоветовал переписать мой конфиг практически в
>чистом виде, и дописать команды ip classless , и включить всё
>таки cef на интерфейсах.aaa authentication login UCL local
aaa authorization network UCL local
aaa session-id common
ip subnet-zero
no ip source-route
no ip gratuitous-arps
ip cef
!
!
no ip domain lookup
!
no ip bootp server
ip audit po max-events 100
!
!
!
! !
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
!
crypto isakmp client configuration group Cisco2621
key 1234567
pool POOL
!!
crypto ipsec transform-set TS esp-des esp-md5-hmac
!
crypto dynamic-map DM 10
set transform-set TS
reverse-route
qos pre-classify
!
!
crypto map CM client authentication list UCL
crypto map CM isakmp authorization list UCL
crypto map CM client configuration address respond
crypto map CM 10 ipsec-isakmp dynamic DM
!
!
!
!interface FastEthernet0/1
bandwidth 100000
ip address 172.18.1.1 255.255.0.0
no ip redirects
no ip unreachables
no ip proxy-arpduplex auto
speed auto
no cdp enable
crypto map CMip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621
no ip http server
no ip http secure-server
ip classless
no cdp run
!
!
Вот конфиг для вас пробный , потом делайте что хотите , адреса естесственно свои поставте.
Спасибо, попробую
С последним конфигом пингует даже дальний интерфейс роутера, а машины за ним не хочет. Может, надо добавить еще ACL какой?
Спасибо
а как сделать VPN если нет крипртозащиты?!..
можно, например, сделать по локалке соединение по vpdn? ..
ато криптозащиты нет, VPN то хочется!!
>С последним конфигом пингует даже дальний интерфейс роутера, а машины за ним
>не хочет. Может, надо добавить еще ACL какой?
>Спасибо
что делает acl ? в даном случае самую нужную вещь - генерит на клиенте правильный роутинг.сколько я не повторял примеры других - у меня так и не заработал вход в локальную сеть пока я не сделал nat.
Здравствуйте.
Подскажите, плиз, как совсем просто организовать на такой конфигурации NAT?
Обидно, что производитель не дает нормальных примеров. Да и дыры не закрывает.... Microsoft-2, блин..
Спасибо
>Здравствуйте.
>Подскажите, плиз, как совсем просто организовать на такой конфигурации NAT?
>Обидно, что производитель не дает нормальных примеров. Да и дыры не закрывает....
>Microsoft-2, блин..
>СпасибоСергей привиди свой конфиг в полном виде, кстати про ACL на крипто мапе ,
у меня роутинг прописываеться нормально и без ACL , ещё Сергей выведите Show route , адреса какие выдаёте по пулу ? в общем полный конфиг и т.д,
>>С последним конфигом пингует даже дальний интерфейс роутера, а машины за ним
>>не хочет. Может, надо добавить еще ACL какой?
>>Спасибо
>
>
>что делает acl ? в даном случае самую нужную вещь - генерит
>на клиенте правильный роутинг.
>
>сколько я не повторял примеры других - у меня так и не
>заработал вход в локальную сеть пока я не сделал nat.Как раз нат и служит у вас мостом , даже уверен без ACL , у вас будет работать.
>>>С последним конфигом пингует даже дальний интерфейс роутера, а машины за ним
>>>не хочет. Может, надо добавить еще ACL какой?
>>>Спасибо
>>
>>
>>что делает acl ? в даном случае самую нужную вещь - генерит
>>на клиенте правильный роутинг.
>>
>>сколько я не повторял примеры других - у меня так и не
>>заработал вход в локальную сеть пока я не сделал nat.
>
>Как раз нат и служит у вас мостом , даже уверен без
>ACL , у вас будет работать.
Первый пост Багире , второй фатфатфат , http://www.cisco.com/en/US/tech/tk801/tk703/tech_configurati...
Current configuration : 2064 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SUPERROUTER
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
logging monitor informational
!
username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0
username cisco password 0 cisco
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
aaa new-model
!
!
aaa authentication login UCL local
aaa authorization network UCL local
aaa session-id common
ip subnet-zero
no ip source-route
no ip gratuitous-arps
!
!
no ip domain lookup
ip domain name SS7UA
!
!
ip cef
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp client configuration group Cisco2621
key 1234567
pool POOL
!
!
crypto ipsec transform-set Table1 esp-3des esp-sha-hmac
crypto ipsec df-bit clear
!
!
crypto dynamic-map DYN_CKV_LPM 5
set transform-set Table1
reverse-route
qos pre-classify
!
!
crypto map CKV_LPM client authentication list UCL
crypto map CKV_LPM isakmp authorization list UCL
crypto map CKV_LPM client configuration address respond
crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM
!
!
!
!
interface Ethernet0
ip address 12.13.14.1 255.255.255.0
no ip redirects
no ip proxy-arp
ip route-cache flow
no ip route-cache cef
half-duplex
crypto map CKV_LPM
!
interface FastEthernet0
ip address 172.19.9.1 255.255.0.0
no ip redirects
no ip proxy-arp
ip route-cache flow
no ip route-cache cef
speed auto
!
ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621
ip classless
ip route 0.0.0.0 0.0.0.0 10.5.8.105
ip route 172.19.0.0 255.255.0.0 FastEthernet0
no ip http server
ip http authentication local
no ip http secure-server
!
!
!
!
!
control-plane
!
!
line con 0
privilege level 15
no exec
line aux 0
privilege level 15
no exec
line vty 0 4
privilege level 15
transport input ssh
line vty 5 15
privilege level 15
transport input telnet ssh
!
!
endSUPERROUTER#show route-map all
STATIC routemaps
DYNAMIC routemaps
Current active dynamic routemaps = 0
SUPERROUTER#Show Route - не хочет понимать
>Current configuration : 2064 bytes
>!
>version 12.3
>service timestamps debug datetime msec
>service timestamps log datetime msec
>no service password-encryption
>!
>hostname SUPERROUTER
>!
>boot-start-marker
>boot-end-marker
>!
>logging buffered 51200 warnings
>logging monitor informational
>!
>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0
>username cisco password 0 cisco
>mmi polling-interval 60
>no mmi auto-configure
>no mmi pvc
>mmi snmp-timeout 180
>aaa new-model
>!
>!
>aaa authentication login UCL local
>aaa authorization network UCL local
>aaa session-id common
>ip subnet-zero
>no ip source-route
>no ip gratuitous-arps
>!
>!
>no ip domain lookup
>ip domain name SS7UA
>!
>!
>ip cef
>ip audit po max-events 100
>no ftp-server write-enable
>!
>!
>!
>!
>!
>!
>crypto isakmp policy 10
> encr 3des
> hash md5
> authentication pre-share
> group 2
>!
>crypto isakmp client configuration group Cisco2621
> key 1234567
> pool POOL
>!
>!
>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac
>crypto ipsec df-bit clear
>!
>!
>crypto dynamic-map DYN_CKV_LPM 5
> set transform-set Table1
> reverse-route
> qos pre-classify
>!
>!
>crypto map CKV_LPM client authentication list UCL
>crypto map CKV_LPM isakmp authorization list UCL
>crypto map CKV_LPM client configuration address respond
>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM
>!
>!
>!
>!
>interface Ethernet0
> ip address 12.13.14.1 255.255.255.0
> no ip redirects
> no ip proxy-arp
> ip route-cache flow
> no ip route-cache cef
> half-duplex
> crypto map CKV_LPM
>!
>interface FastEthernet0
> ip address 172.19.9.1 255.255.0.0
> no ip redirects
> no ip proxy-arp
> ip route-cache flow
> no ip route-cache cef
> speed auto
>!
>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621
>ip classless
>ip route 0.0.0.0 0.0.0.0 10.5.8.105
>ip route 172.19.0.0 255.255.0.0 FastEthernet0
>no ip http server
>ip http authentication local
>no ip http secure-server
>!
>!
>!
>!
>!
>control-plane
>!
>!
>line con 0
> privilege level 15
> no exec
>line aux 0
> privilege level 15
> no exec
>line vty 0 4
> privilege level 15
> transport input ssh
>line vty 5 15
> privilege level 15
> transport input telnet ssh
>!
>!
>end
>
>SUPERROUTER#show route-map all
>STATIC routemaps
>DYNAMIC routemaps
> Current active dynamic routemaps = 0
>SUPERROUTER#
>
>Show Route - не хочет пониматьНу ё моё , вы сами этот конфиг делали , я не имею в виду что я вам писал , у вас роутер пограничный??? за ним локалка так - так....
Теперь по порядку
>>Current configuration : 2064 bytes
>>!
>>version 12.3
>>service timestamps debug datetime msec
>>service timestamps log datetime msec
>>no service password-encryption
>>!
>>hostname SUPERROUTER
>>!
>>boot-start-marker
>>boot-end-marker
>>!
>>logging buffered 51200 warnings
>>logging monitor informational
>>!
>>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0
>>username cisco password 0 cisco
>>mmi polling-interval 60
>>no mmi auto-configure
>>no mmi pvc
>>mmi snmp-timeout 180
>>aaa new-model
>>!
>>!
>>aaa authentication login UCL local
>>aaa authorization network UCL local
>>aaa session-id common
>>ip subnet-zero
>>no ip source-route
>>no ip gratuitous-arps
>>!
>>!
>>no ip domain lookup
>>ip domain name SS7UA
>>!
>>!
>>ip cef
>>ip audit po max-events 100
>>no ftp-server write-enable
>>!
>>!
>>!
>>!
>>!
>>!
>>crypto isakmp policy 10
>> encr 3des
>> hash md5
>> authentication pre-share
>> group 2
>>!
>>crypto isakmp client configuration group Cisco2621
>> key 1234567
>> pool POOL
>>!
>>!
>>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac
>>crypto ipsec df-bit clear
>>!
>>!
>>crypto dynamic-map DYN_CKV_LPM 5
>> set transform-set Table1
>> reverse-route
>> qos pre-classify
>>!
>>!
>>crypto map CKV_LPM client authentication list UCL
>>crypto map CKV_LPM isakmp authorization list UCL
>>crypto map CKV_LPM client configuration address respond
>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM
>>!
>>!
>>!
>>!
>>interface Ethernet0
>> ip address 12.13.14.1 255.255.255.0
>> no ip redirects
>> no ip proxy-arp
>> ip route-cache flow
>> no ip route-cache cef
>> half-duplex
>> crypto map CKV_LPM
>>!
>>interface FastEthernet0
>> ip address 172.19.9.1 255.255.0.0
>> no ip redirects
>> no ip proxy-arp
>> ip route-cache flow
>> no ip route-cache cef
>> speed auto
>>!
>>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621
>>ip classless
>>ip route 0.0.0.0 0.0.0.0 10.5.8.105
>>ip route 172.19.0.0 255.255.0.0 FastEthernet0
>>no ip http server
>>ip http authentication local
>>no ip http secure-server
>>!
>>!
>>!
>>!
>>!
>>control-plane
>>!
>>!
>>line con 0
>> privilege level 15
>> no exec
>>line aux 0
>> privilege level 15
>> no exec
>>line vty 0 4
>> privilege level 15
>> transport input ssh
>>line vty 5 15
>> privilege level 15
>> transport input telnet ssh
>>!
>>!
>>end
>>
>>SUPERROUTER#show route-map all
>>STATIC routemaps
>>DYNAMIC routemaps
>> Current active dynamic routemaps = 0
>>SUPERROUTER#
>>
>>Show Route - не хочет понимать
>
>Ну ё моё , вы сами этот конфиг делали , я не
>имею в виду что я вам писал , у вас роутер
>пограничный??? за ним локалка так - так....
>Теперь по порядкуCurrent configuration : 2064 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SUPERROUTER
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
logging monitor informational
!
username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0
username cisco password 0 cisco
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
aaa new-model
!
!
aaa authentication login UCL local
aaa authorization network UCL local
aaa session-id common
ip subnet-zero
no ip source-route
no ip gratuitous-arps
!
!
no ip domain lookup
ip domain name SS7UA
!
!
ip cef
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
!
!
crypto isakmp policy 10
encr 3des
hash md5 – вот это пока убрать пока не заработает потом попробуешь дописать
authentication pre-share
group 2
!
crypto isakmp client configuration group Cisco2621
key 1234567
pool POOL
!
!
crypto ipsec transform-set Table1 esp-3des esp-sha-hmac
crypto ipsec df-bit clear - вот это пока убрать ( я даже не знаю что это – если можно мне напиши что это делает , сбивает df бит в нуль? И что это даёт.
!
!
crypto dynamic-map DYN_CKV_LPM 5
set transform-set Table1
reverse-route
qos pre-classify
!
!
crypto map CKV_LPM client authentication list UCL
crypto map CKV_LPM isakmp authorization list UCL
crypto map CKV_LPM client configuration address respond
crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM
!
!
!
!
interface Ethernet0
ip address 12.13.14.1 255.255.255.0
no ip redirects
no ip proxy-arp
ip route-cache flow - зачем тебе FLOW ты статистику собираешь , не вижу где , сервер не прописан.
no ip route-cache cef - вот это пока убери
half-duplex
crypto map CKV_LPM - вот здесь что это за криптомап такой ??? когда имя твоего крипто мапа DYN_CKV_LPM
!
interface FastEthernet0
ip address 172.19.9.1 255.255.0.0
no ip redirects
no ip proxy-arp
убрал пока
speed auto
!
ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621
ip classless
ip route 0.0.0.0 0.0.0.0 10.5.8.105 я надеюсь здесь всё верно хоп следующего роутера .
ip route 172.19.0.0 255.255.0.0 FastEthernet0 у тебя следующий роутер или сразу локалка , если локалка эта запись не нужна…. И тогда включи ip proxy arp пока
Если же у тебя следующий роутер то куда ты хочешь попасть
Значит обрати внимание на эту запись , и убери её и включи на интерфейсе ip proxy arpno ip http server
ip http authentication local
no ip http secure-server
!
!
!
!
!
control-plane
!
!
line con 0
privilege level 15
no exec
line aux 0
privilege level 15
no exec
line vty 0 4
privilege level 15
transport input ssh
line vty 5 15
privilege level 15
transport input telnet ssh
!
!
end
SUPERROUTER#show route-map all
STATIC routemaps
DYNAMIC routemaps
Current active dynamic routemaps = 0
SUPERROUTER#
Show Route - не хочет понимать
Да Серёж извини писать надо show ip route ) просто забываю иногдаИтак – Первое – крипто мап повесь нормально – с правильным именем
2 Маршрут убери или если у тебя за ним следующий роут пропиши ip route 172.19.0.0 255.255.0.0 адресс следующего роута.Да и если у тебя так все непонятно пиши топологию) а если в москве то по пиву )
Делаешь пробуешь пишешь.
http://www.cisco.com/univercd/cc/td/doc/product/vpn/client/4...
посмотри вот это окей )
>>>Current configuration : 2064 bytes
>>>!
>>>version 12.3
>>>service timestamps debug datetime msec
>>>service timestamps log datetime msec
>>>no service password-encryption
>>>!
>>>hostname SUPERROUTER
>>>!
>>>boot-start-marker
>>>boot-end-marker
>>>!
>>>logging buffered 51200 warnings
>>>logging monitor informational
>>>!
>>>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0
>>>username cisco password 0 cisco
>>>mmi polling-interval 60
>>>no mmi auto-configure
>>>no mmi pvc
>>>mmi snmp-timeout 180
>>>aaa new-model
>>>!
>>>!
>>>aaa authentication login UCL local
>>>aaa authorization network UCL local
>>>aaa session-id common
>>>ip subnet-zero
>>>no ip source-route
>>>no ip gratuitous-arps
>>>!
>>>!
>>>no ip domain lookup
>>>ip domain name SS7UA
>>>!
>>>!
>>>ip cef
>>>ip audit po max-events 100
>>>no ftp-server write-enable
>>>!
>>>!
>>>!
>>>!
>>>!
>>>!
>>>crypto isakmp policy 10
>>> encr 3des
>>> hash md5
>>> authentication pre-share
>>> group 2
>>>!
>>>crypto isakmp client configuration group Cisco2621
>>> key 1234567
>>> pool POOL
>>>!
>>>!
>>>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac
>>>crypto ipsec df-bit clear
>>>!
>>>!
>>>crypto dynamic-map DYN_CKV_LPM 5
>>> set transform-set Table1
>>> reverse-route
>>> qos pre-classify
>>>!
>>>!
>>>crypto map CKV_LPM client authentication list UCL
>>>crypto map CKV_LPM isakmp authorization list UCL
>>>crypto map CKV_LPM client configuration address respond
>>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM
>>>!
>>>!
>>>!
>>>!
>>>interface Ethernet0
>>> ip address 12.13.14.1 255.255.255.0
>>> no ip redirects
>>> no ip proxy-arp
>>> ip route-cache flow
>>> no ip route-cache cef
>>> half-duplex
>>> crypto map CKV_LPM
>>>!
>>>interface FastEthernet0
>>> ip address 172.19.9.1 255.255.0.0
>>> no ip redirects
>>> no ip proxy-arp
>>> ip route-cache flow
>>> no ip route-cache cef
>>> speed auto
>>>!
>>>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621
>>>ip classless
>>>ip route 0.0.0.0 0.0.0.0 10.5.8.105
>>>ip route 172.19.0.0 255.255.0.0 FastEthernet0
>>>no ip http server
>>>ip http authentication local
>>>no ip http secure-server
>>>!
>>>!
>>>!
>>>!
>>>!
>>>control-plane
>>>!
>>>!
>>>line con 0
>>> privilege level 15
>>> no exec
>>>line aux 0
>>> privilege level 15
>>> no exec
>>>line vty 0 4
>>> privilege level 15
>>> transport input ssh
>>>line vty 5 15
>>> privilege level 15
>>> transport input telnet ssh
>>>!
>>>!
>>>end
>>>
>>>SUPERROUTER#show route-map all
>>>STATIC routemaps
>>>DYNAMIC routemaps
>>> Current active dynamic routemaps = 0
>>>SUPERROUTER#
>>>
>>>Show Route - не хочет понимать
>>
>>Ну ё моё , вы сами этот конфиг делали , я не
>>имею в виду что я вам писал , у вас роутер
>>пограничный??? за ним локалка так - так....
>>Теперь по порядку
>
>Current configuration : 2064 bytes
>!
>version 12.3
>service timestamps debug datetime msec
>service timestamps log datetime msec
>no service password-encryption
>!
>hostname SUPERROUTER
>!
>boot-start-marker
>boot-end-marker
>!
>logging buffered 51200 warnings
>logging monitor informational
>!
>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0
>username cisco password 0 cisco
>mmi polling-interval 60
>no mmi auto-configure
>no mmi pvc
>mmi snmp-timeout 180
>aaa new-model
>!
>!
>aaa authentication login UCL local
>aaa authorization network UCL local
>aaa session-id common
>ip subnet-zero
>no ip source-route
>no ip gratuitous-arps
>!
>!
>no ip domain lookup
>ip domain name SS7UA
>!
>!
>ip cef
>ip audit po max-events 100
>no ftp-server write-enable
>!
>!
>!
>!
>!
>!
>crypto isakmp policy 10
>encr 3des
>hash md5 – вот это пока убрать пока не заработает потом попробуешь
>дописать
>authentication pre-share
>group 2
>!
>crypto isakmp client configuration group Cisco2621
>key 1234567
>pool POOL
>!
>!
>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac
>crypto ipsec df-bit clear - вот это пока убрать ( я
>даже не знаю что это – если можно мне напиши что
>это делает , сбивает df бит в нуль? И
>что это даёт.
>!
>!
>crypto dynamic-map DYN_CKV_LPM 5
>set transform-set Table1
>reverse-route
>qos pre-classify
>!
>!
>crypto map CKV_LPM client authentication list UCL
>crypto map CKV_LPM isakmp authorization list UCL
>crypto map CKV_LPM client configuration address respond
>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM
>!
>!
>!
>!
>interface Ethernet0
>ip address 12.13.14.1 255.255.255.0
>no ip redirects
>no ip proxy-arp
>ip route-cache flow - зачем тебе FLOW ты статистику собираешь ,
>не вижу где , сервер не прописан.
>no ip route-cache cef - вот это пока убери
>half-duplex
>crypto map CKV_LPM - вот здесь что это за криптомап такой
>??? когда имя твоего крипто мапа DYN_CKV_LPM
>!
>interface FastEthernet0
>ip address 172.19.9.1 255.255.0.0
>no ip redirects
>no ip proxy-arp
>убрал пока
>speed auto
>!
>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621
>ip classless
>ip route 0.0.0.0 0.0.0.0 10.5.8.105 я надеюсь здесь всё верно хоп
>следующего роутера .
>ip route 172.19.0.0 255.255.0.0 FastEthernet0 у тебя следующий роутер или сразу
>локалка , если локалка эта запись не нужна…. И
>тогда включи
> ip proxy arp пока
>Если же у тебя следующий роутер то куда ты хочешь попасть
>
>Значит обрати внимание на эту запись , и убери её и включи
>на интерфейсе ip proxy arp
>
>no ip http server
>ip http authentication local
>no ip http secure-server
>!
>!
>!
>!
>!
>control-plane
>!
>!
>line con 0
>privilege level 15
>no exec
>line aux 0
>privilege level 15
>no exec
>line vty 0 4
>privilege level 15
>transport input ssh
>line vty 5 15
>privilege level 15
>transport input telnet ssh
>!
>!
>end
>SUPERROUTER#show route-map all
>STATIC routemaps
>DYNAMIC routemaps
>Current active dynamic routemaps = 0
>SUPERROUTER#
>Show Route - не хочет понимать
>Да Серёж извини писать надо show ip route ) просто забываю
>иногда
>
>Итак – Первое – крипто мап повесь нормально – с правильным именем
>
>2 Маршрут убери или если у тебя за ним следующий роут
>пропиши ip route 172.19.0.0 255.255.0.0 адресс следующего роута.
>
>Да и если у тебя так все непонятно пиши топологию) а если
>в москве то по пиву )
>Делаешь пробуешь пишешь.
>http://www.cisco.com/univercd/cc/td/doc/product/vpn/client/4...
>посмотри вот это окей )Итак – Первое – крипто мап повесь нормально – с правильным именем - это не надо погоричился запутался в названиях
>>>>Current configuration : 2064 bytes
>>>>!
>>>>version 12.3
>>>>service timestamps debug datetime msec
>>>>service timestamps log datetime msec
>>>>no service password-encryption
>>>>!
>>>>hostname SUPERROUTER
>>>>!
>>>>boot-start-marker
>>>>boot-end-marker
>>>>!
>>>>logging buffered 51200 warnings
>>>>logging monitor informational
>>>>!
>>>>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0
>>>>username cisco password 0 cisco
>>>>mmi polling-interval 60
>>>>no mmi auto-configure
>>>>no mmi pvc
>>>>mmi snmp-timeout 180
>>>>aaa new-model
>>>>!
>>>>!
>>>>aaa authentication login UCL local
>>>>aaa authorization network UCL local
>>>>aaa session-id common
>>>>ip subnet-zero
>>>>no ip source-route
>>>>no ip gratuitous-arps
>>>>!
>>>>!
>>>>no ip domain lookup
>>>>ip domain name SS7UA
>>>>!
>>>>!
>>>>ip cef
>>>>ip audit po max-events 100
>>>>no ftp-server write-enable
>>>>!
>>>>!
>>>>!
>>>>!
>>>>!
>>>>!
>>>>crypto isakmp policy 10
>>>> encr 3des
>>>> hash md5
>>>> authentication pre-share
>>>> group 2
>>>>!
>>>>crypto isakmp client configuration group Cisco2621
>>>> key 1234567
>>>> pool POOL
>>>>!
>>>>!
>>>>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac
>>>>crypto ipsec df-bit clear
>>>>!
>>>>!
>>>>crypto dynamic-map DYN_CKV_LPM 5
>>>> set transform-set Table1
>>>> reverse-route
>>>> qos pre-classify
>>>>!
>>>>!
>>>>crypto map CKV_LPM client authentication list UCL
>>>>crypto map CKV_LPM isakmp authorization list UCL
>>>>crypto map CKV_LPM client configuration address respond
>>>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM
>>>>!
>>>>!
>>>>!
>>>>!
>>>>interface Ethernet0
>>>> ip address 12.13.14.1 255.255.255.0
>>>> no ip redirects
>>>> no ip proxy-arp
>>>> ip route-cache flow
>>>> no ip route-cache cef
>>>> half-duplex
>>>> crypto map CKV_LPM
>>>>!
>>>>interface FastEthernet0
>>>> ip address 172.19.9.1 255.255.0.0
>>>> no ip redirects
>>>> no ip proxy-arp
>>>> ip route-cache flow
>>>> no ip route-cache cef
>>>> speed auto
>>>>!
>>>>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621
>>>>ip classless
>>>>ip route 0.0.0.0 0.0.0.0 10.5.8.105
>>>>ip route 172.19.0.0 255.255.0.0 FastEthernet0
>>>>no ip http server
>>>>ip http authentication local
>>>>no ip http secure-server
>>>>!
>>>>!
>>>>!
>>>>!
>>>>!
>>>>control-plane
>>>>!
>>>>!
>>>>line con 0
>>>> privilege level 15
>>>> no exec
>>>>line aux 0
>>>> privilege level 15
>>>> no exec
>>>>line vty 0 4
>>>> privilege level 15
>>>> transport input ssh
>>>>line vty 5 15
>>>> privilege level 15
>>>> transport input telnet ssh
>>>>!
>>>>!
>>>>end
>>>>
>>>>SUPERROUTER#show route-map all
>>>>STATIC routemaps
>>>>DYNAMIC routemaps
>>>> Current active dynamic routemaps = 0
>>>>SUPERROUTER#
>>>>
>>>>Show Route - не хочет понимать
>>>
>>>Ну ё моё , вы сами этот конфиг делали , я не
>>>имею в виду что я вам писал , у вас роутер
>>>пограничный??? за ним локалка так - так....
>>>Теперь по порядку
>>
>>Current configuration : 2064 bytes
>>!
>>version 12.3
>>service timestamps debug datetime msec
>>service timestamps log datetime msec
>>no service password-encryption
>>!
>>hostname SUPERROUTER
>>!
>>boot-start-marker
>>boot-end-marker
>>!
>>logging buffered 51200 warnings
>>logging monitor informational
>>!
>>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0
>>username cisco password 0 cisco
>>mmi polling-interval 60
>>no mmi auto-configure
>>no mmi pvc
>>mmi snmp-timeout 180
>>aaa new-model
>>!
>>!
>>aaa authentication login UCL local
>>aaa authorization network UCL local
>>aaa session-id common
>>ip subnet-zero
>>no ip source-route
>>no ip gratuitous-arps
>>!
>>!
>>no ip domain lookup
>>ip domain name SS7UA
>>!
>>!
>>ip cef
>>ip audit po max-events 100
>>no ftp-server write-enable
>>!
>>!
>>!
>>!
>>!
>>!
>>crypto isakmp policy 10
>>encr 3des
>>hash md5 – вот это пока убрать пока не заработает потом попробуешь
>>дописать
>>authentication pre-share
>>group 2
>>!
>>crypto isakmp client configuration group Cisco2621
>>key 1234567
>>pool POOL
>>!
>>!
>>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac
>>crypto ipsec df-bit clear - вот это пока убрать ( я
>>даже не знаю что это – если можно мне напиши что
>>это делает , сбивает df бит в нуль? И
>>что это даёт.
>>!
>>!
>>crypto dynamic-map DYN_CKV_LPM 5
>>set transform-set Table1
>>reverse-route
>>qos pre-classify
>>!
>>!
>>crypto map CKV_LPM client authentication list UCL
>>crypto map CKV_LPM isakmp authorization list UCL
>>crypto map CKV_LPM client configuration address respond
>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM
>>!
>>!
>>!
>>!
>>interface Ethernet0
>>ip address 12.13.14.1 255.255.255.0
>>no ip redirects
>>no ip proxy-arp
>>ip route-cache flow - зачем тебе FLOW ты статистику собираешь ,
>>не вижу где , сервер не прописан.
>>no ip route-cache cef - вот это пока убери
>>half-duplex
>>crypto map CKV_LPM - вот здесь что это за криптомап такой
>>??? когда имя твоего крипто мапа DYN_CKV_LPM
>>!
>>interface FastEthernet0
>>ip address 172.19.9.1 255.255.0.0
>>no ip redirects
>>no ip proxy-arp
>>убрал пока
>>speed auto
>>!
>>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621
>>ip classless
>>ip route 0.0.0.0 0.0.0.0 10.5.8.105 я надеюсь здесь всё верно хоп
>>следующего роутера .
>>ip route 172.19.0.0 255.255.0.0 FastEthernet0 у тебя следующий роутер или сразу
>>локалка , если локалка эта запись не нужна…. И
>>тогда включи
>> ip proxy arp пока
>>Если же у тебя следующий роутер то куда ты хочешь попасть
>>
>>Значит обрати внимание на эту запись , и убери её и включи
>>на интерфейсе ip proxy arp
>>
>>no ip http server
>>ip http authentication local
>>no ip http secure-server
>>!
>>!
>>!
>>!
>>!
>>control-plane
>>!
>>!
>>line con 0
>>privilege level 15
>>no exec
>>line aux 0
>>privilege level 15
>>no exec
>>line vty 0 4
>>privilege level 15
>>transport input ssh
>>line vty 5 15
>>privilege level 15
>>transport input telnet ssh
>>!
>>!
>>end
>>SUPERROUTER#show route-map all
>>STATIC routemaps
>>DYNAMIC routemaps
>>Current active dynamic routemaps = 0
>>SUPERROUTER#
>>Show Route - не хочет понимать
>>Да Серёж извини писать надо show ip route ) просто забываю
>>иногда
>>
>>Итак – Первое – крипто мап повесь нормально – с правильным именем
>>
>>2 Маршрут убери или если у тебя за ним следующий роут
>>пропиши ip route 172.19.0.0 255.255.0.0 адресс следующего роута.
>>
>>Да и если у тебя так все непонятно пиши топологию) а если
>>в москве то по пиву )
>>Делаешь пробуешь пишешь.
>>http://www.cisco.com/univercd/cc/td/doc/product/vpn/client/4...
>>посмотри вот это окей )
>
>Итак – Первое – крипто мап повесь нормально – с правильным именем
>- это не надо погоричился запутался в названиях
crypto map CKV_LPM client authentication list UCL
>crypto map CKV_LPM- вот здесь у тебя команды clientmap нету ??( я просто не помню оно залаеться или нет ) isakmp authorization list UCL
>crypto map CKV_LPM client configuration address respond
>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM
>>>>>Current configuration : 2064 bytes
>>>>>!
>>>>>version 12.3
>>>>>service timestamps debug datetime msec
>>>>>service timestamps log datetime msec
>>>>>no service password-encryption
>>>>>!
>>>>>hostname SUPERROUTER
>>>>>!
>>>>>boot-start-marker
>>>>>boot-end-marker
>>>>>!
>>>>>logging buffered 51200 warnings
>>>>>logging monitor informational
>>>>>!
>>>>>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0
>>>>>username cisco password 0 cisco
>>>>>mmi polling-interval 60
>>>>>no mmi auto-configure
>>>>>no mmi pvc
>>>>>mmi snmp-timeout 180
>>>>>aaa new-model
>>>>>!
>>>>>!
>>>>>aaa authentication login UCL local
>>>>>aaa authorization network UCL local
>>>>>aaa session-id common
>>>>>ip subnet-zero
>>>>>no ip source-route
>>>>>no ip gratuitous-arps
>>>>>!
>>>>>!
>>>>>no ip domain lookup
>>>>>ip domain name SS7UA
>>>>>!
>>>>>!
>>>>>ip cef
>>>>>ip audit po max-events 100
>>>>>no ftp-server write-enable
>>>>>!
>>>>>!
>>>>>!
>>>>>!
>>>>>!
>>>>>!
>>>>>crypto isakmp policy 10
>>>>> encr 3des
>>>>> hash md5
>>>>> authentication pre-share
>>>>> group 2
>>>>>!
>>>>>crypto isakmp client configuration group Cisco2621
>>>>> key 1234567
>>>>> pool POOL
>>>>>!
>>>>>!
>>>>>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac
>>>>>crypto ipsec df-bit clear
>>>>>!
>>>>>!
>>>>>crypto dynamic-map DYN_CKV_LPM 5
>>>>> set transform-set Table1
>>>>> reverse-route
>>>>> qos pre-classify
>>>>>!
>>>>>!
>>>>>crypto map CKV_LPM client authentication list UCL
>>>>>crypto map CKV_LPM isakmp authorization list UCL
>>>>>crypto map CKV_LPM client configuration address respond
>>>>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM
>>>>>!
>>>>>!
>>>>>!
>>>>>!
>>>>>interface Ethernet0
>>>>> ip address 12.13.14.1 255.255.255.0
>>>>> no ip redirects
>>>>> no ip proxy-arp
>>>>> ip route-cache flow
>>>>> no ip route-cache cef
>>>>> half-duplex
>>>>> crypto map CKV_LPM
>>>>>!
>>>>>interface FastEthernet0
>>>>> ip address 172.19.9.1 255.255.0.0
>>>>> no ip redirects
>>>>> no ip proxy-arp
>>>>> ip route-cache flow
>>>>> no ip route-cache cef
>>>>> speed auto
>>>>>!
>>>>>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621
>>>>>ip classless
>>>>>ip route 0.0.0.0 0.0.0.0 10.5.8.105
>>>>>ip route 172.19.0.0 255.255.0.0 FastEthernet0
>>>>>no ip http server
>>>>>ip http authentication local
>>>>>no ip http secure-server
>>>>>!
>>>>>!
>>>>>!
>>>>>!
>>>>>!
>>>>>control-plane
>>>>>!
>>>>>!
>>>>>line con 0
>>>>> privilege level 15
>>>>> no exec
>>>>>line aux 0
>>>>> privilege level 15
>>>>> no exec
>>>>>line vty 0 4
>>>>> privilege level 15
>>>>> transport input ssh
>>>>>line vty 5 15
>>>>> privilege level 15
>>>>> transport input telnet ssh
>>>>>!
>>>>>!
>>>>>end
>>>>>
>>>>>SUPERROUTER#show route-map all
>>>>>STATIC routemaps
>>>>>DYNAMIC routemaps
>>>>> Current active dynamic routemaps = 0
>>>>>SUPERROUTER#
>>>>>
>>>>>Show Route - не хочет понимать
>>>>
>>>>Ну ё моё , вы сами этот конфиг делали , я не
>>>>имею в виду что я вам писал , у вас роутер
>>>>пограничный??? за ним локалка так - так....
>>>>Теперь по порядку
>>>
>>>Current configuration : 2064 bytes
>>>!
>>>version 12.3
>>>service timestamps debug datetime msec
>>>service timestamps log datetime msec
>>>no service password-encryption
>>>!
>>>hostname SUPERROUTER
>>>!
>>>boot-start-marker
>>>boot-end-marker
>>>!
>>>logging buffered 51200 warnings
>>>logging monitor informational
>>>!
>>>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0
>>>username cisco password 0 cisco
>>>mmi polling-interval 60
>>>no mmi auto-configure
>>>no mmi pvc
>>>mmi snmp-timeout 180
>>>aaa new-model
>>>!
>>>!
>>>aaa authentication login UCL local
>>>aaa authorization network UCL local
>>>aaa session-id common
>>>ip subnet-zero
>>>no ip source-route
>>>no ip gratuitous-arps
>>>!
>>>!
>>>no ip domain lookup
>>>ip domain name SS7UA
>>>!
>>>!
>>>ip cef
>>>ip audit po max-events 100
>>>no ftp-server write-enable
>>>!
>>>!
>>>!
>>>!
>>>!
>>>!
>>>crypto isakmp policy 10
>>>encr 3des
>>>hash md5 – вот это пока убрать пока не заработает потом попробуешь
>>>дописать
>>>authentication pre-share
>>>group 2
>>>!
>>>crypto isakmp client configuration group Cisco2621
>>>key 1234567
>>>pool POOL
>>>!
>>>!
>>>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac
>>>crypto ipsec df-bit clear - вот это пока убрать ( я
>>>даже не знаю что это – если можно мне напиши что
>>>это делает , сбивает df бит в нуль? И
>>>что это даёт.
>>>!
>>>!
>>>crypto dynamic-map DYN_CKV_LPM 5
>>>set transform-set Table1
>>>reverse-route
>>>qos pre-classify
>>>!
>>>!
>>>crypto map CKV_LPM client authentication list UCL
>>>crypto map CKV_LPM isakmp authorization list UCL
>>>crypto map CKV_LPM client configuration address respond
>>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM
>>>!
>>>!
>>>!
>>>!
>>>interface Ethernet0
>>>ip address 12.13.14.1 255.255.255.0
>>>no ip redirects
>>>no ip proxy-arp
>>>ip route-cache flow - зачем тебе FLOW ты статистику собираешь ,
>>>не вижу где , сервер не прописан.
>>>no ip route-cache cef - вот это пока убери
>>>half-duplex
>>>crypto map CKV_LPM - вот здесь что это за криптомап такой
>>>??? когда имя твоего крипто мапа DYN_CKV_LPM
>>>!
>>>interface FastEthernet0
>>>ip address 172.19.9.1 255.255.0.0
>>>no ip redirects
>>>no ip proxy-arp
>>>убрал пока
>>>speed auto
>>>!
>>>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621
>>>ip classless
>>>ip route 0.0.0.0 0.0.0.0 10.5.8.105 я надеюсь здесь всё верно хоп
>>>следующего роутера .
>>>ip route 172.19.0.0 255.255.0.0 FastEthernet0 у тебя следующий роутер или сразу
>>>локалка , если локалка эта запись не нужна…. И
>>>тогда включи
>>> ip proxy arp пока
>>>Если же у тебя следующий роутер то куда ты хочешь попасть
>>>
>>>Значит обрати внимание на эту запись , и убери её и включи
>>>на интерфейсе ip proxy arp
>>>
>>>no ip http server
>>>ip http authentication local
>>>no ip http secure-server
>>>!
>>>!
>>>!
>>>!
>>>!
>>>control-plane
>>>!
>>>!
>>>line con 0
>>>privilege level 15
>>>no exec
>>>line aux 0
>>>privilege level 15
>>>no exec
>>>line vty 0 4
>>>privilege level 15
>>>transport input ssh
>>>line vty 5 15
>>>privilege level 15
>>>transport input telnet ssh
>>>!
>>>!
>>>end
>>>SUPERROUTER#show route-map all
>>>STATIC routemaps
>>>DYNAMIC routemaps
>>>Current active dynamic routemaps = 0
>>>SUPERROUTER#
>>>Show Route - не хочет понимать
>>>Да Серёж извини писать надо show ip route ) просто забываю
>>>иногда
>>>
>>>Итак – Первое – крипто мап повесь нормально – с правильным именем
>>>
>>>2 Маршрут убери или если у тебя за ним следующий роут
>>>пропиши ip route 172.19.0.0 255.255.0.0 адресс следующего роута.
>>>
>>>Да и если у тебя так все непонятно пиши топологию) а если
>>>в москве то по пиву )
>>>Делаешь пробуешь пишешь.
>>>http://www.cisco.com/univercd/cc/td/doc/product/vpn/client/4...
>>>посмотри вот это окей )
>>
>>Итак – Первое – крипто мап повесь нормально – с правильным именем
>>- это не надо погоричился запутался в названиях
>crypto map CKV_LPM client authentication list UCL
>>crypto map CKV_LPM- вот здесь у тебя команды clientmap нету ??( я просто не помню оно залаеться или нет ) isakmp authorization list UCL
>>crypto map CKV_LPM client configuration address respond
>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPMНасчёт ACL на крипто мапе пишут вот что
Enabling Split Tunneling
To enable split tunneling for the VPN connections, make sure that you have an access list configured on the router. In the example below, the access-list 108 command is associated with the group for split-tunneling purposes, and the tunnel is formed to the 14.38.X.X /16 network. Traffic flows unencrypted to devices not in access list 108 (for example, the Internet).access-list 108 permit ip 14.38.0.0 0.0.255.255
14.1.1.0 0.0.0.255
Then apply the access list on the group properties.crypto isakmp client configuration group 3000client
key cisco123
dns 14.38.100.10
wins 14.38.100.20
domain cisco.com
pool ippool
acl 108
Здравствуйте.
Я не из Москвы, из Винницы (Украина) :)crypto ipsec df-bit clear - когда по туннелю идет Remote Admin, он ставит бит Dont Fragment и пускает здоровенные пакеты. С учетом шифрования получается глюк - работает через раз, поэтому посоветовали принудительно его (флаг) чистить.
крипто мапы:
CKV_LPM - она, собственно, вешается на интерфейс, а в нее может входить несколько, в том числе и DYN_CKV_LPM - для VPN клиентов. Кроме этого, потом (когда заработает), будут подниматься туннели между этой и другими цисками. А VPN клиент сможет заходить только на эту циску.
Такая система, но без VPN клиента, уже работает (8 цисок). Щас потребовали, чтобы можно было заходить в эту сеть еще и с VPN клиентом...Ссылки почитаю, спасибо
>Погоди чутка я разберу твой конфиг ок в редакторе.
>>Погоди чутка я разберу твой конфиг ок в редакторе.
Да, и ещеGateway of last resort is not set
C 172.19.0.0/16 is directly connected, FastEthernet0
172.18.0.0/32 is subnetted, 1 subnets
S 172.18.3.6 [1/0] via 12.13.14.10
12.0.0.0/24 is subnetted, 1 subnets
C 12.13.14.0 is directly connected, Ethernet0Вот
>>Погоди чутка я разберу твой конфиг ок в редакторе.
Я могу ошибаться, но Split Tunneling - это возможность для клиента выходить из туннеля в сеть, по которой он (туннель) проходит :(
>>>>Current configuration : 2064 bytes
>>>>!
>>>>version 12.3
>>>>service timestamps debug datetime msec
>>>>service timestamps log datetime msec
>>>>no service password-encryption
>>>>!
>>>>hostname SUPERROUTER
>>>>!
>>>>boot-start-marker
>>>>boot-end-marker
>>>>!
>>>>logging buffered 51200 warnings
>>>>logging monitor informational
>>>>!
>>>>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0
>>>>username cisco password 0 cisco
>>>>mmi polling-interval 60
>>>>no mmi auto-configure
>>>>no mmi pvc
>>>>mmi snmp-timeout 180
>>>>aaa new-model
>>>>!
>>>>!
>>>>aaa authentication login UCL local
>>>>aaa authorization network UCL local
>>>>aaa session-id common
>>>>ip subnet-zero
>>>>no ip source-route
>>>>no ip gratuitous-arps
>>>>!
>>>>!
>>>>no ip domain lookup
>>>>ip domain name SS7UA
>>>>!
>>>>!
>>>>ip cef
>>>>ip audit po max-events 100
>>>>no ftp-server write-enable
>>>>!
>>>>!
>>>>!
>>>>!
>>>>!
>>>>!
>>>>crypto isakmp policy 10
>>>> encr 3des
>>>> hash md5
>>>> authentication pre-share
>>>> group 2
>>>>!
>>>>crypto isakmp client configuration group Cisco2621
>>>> key 1234567
>>>> pool POOL
>>>>!
>>>>!
>>>>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac
>>>>crypto ipsec df-bit clear
>>>>!
>>>>!
>>>>crypto dynamic-map DYN_CKV_LPM 5
>>>> set transform-set Table1
>>>> reverse-route
>>>> qos pre-classify
>>>>!
>>>>!
>>>>crypto map CKV_LPM client authentication list UCL
>>>>crypto map CKV_LPM isakmp authorization list UCL
>>>>crypto map CKV_LPM client configuration address respond
>>>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM
>>>>!
>>>>!
>>>>!
>>>>!
>>>>interface Ethernet0
>>>> ip address 12.13.14.1 255.255.255.0
>>>> no ip redirects
>>>> no ip proxy-arp
>>>> ip route-cache flow
>>>> no ip route-cache cef
>>>> half-duplex
>>>> crypto map CKV_LPM
>>>>!
>>>>interface FastEthernet0
>>>> ip address 172.19.9.1 255.255.0.0
>>>> no ip redirects
>>>> no ip proxy-arp
>>>> ip route-cache flow
>>>> no ip route-cache cef
>>>> speed auto
>>>>!
>>>>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621
>>>>ip classless
>>>>ip route 0.0.0.0 0.0.0.0 10.5.8.105
>>>>ip route 172.19.0.0 255.255.0.0 FastEthernet0
>>>>no ip http server
>>>>ip http authentication local
>>>>no ip http secure-server
>>>>!
>>>>!
>>>>!
>>>>!
>>>>!
>>>>control-plane
>>>>!
>>>>!
>>>>line con 0
>>>> privilege level 15
>>>> no exec
>>>>line aux 0
>>>> privilege level 15
>>>> no exec
>>>>line vty 0 4
>>>> privilege level 15
>>>> transport input ssh
>>>>line vty 5 15
>>>> privilege level 15
>>>> transport input telnet ssh
>>>>!
>>>>!
>>>>end
>>>>
>>>>SUPERROUTER#show route-map all
>>>>STATIC routemaps
>>>>DYNAMIC routemaps
>>>> Current active dynamic routemaps = 0
>>>>SUPERROUTER#
>>>>
>>>>Show Route - не хочет понимать
>>>
>>>Ну ё моё , вы сами этот конфиг делали , я не
>>>имею в виду что я вам писал , у вас роутер
>>>пограничный??? за ним локалка так - так....
>>>Теперь по порядку
>>
>>Current configuration : 2064 bytes
>>!
>>version 12.3
>>service timestamps debug datetime msec
>>service timestamps log datetime msec
>>no service password-encryption
>>!
>>hostname SUPERROUTER
>>!
>>boot-start-marker
>>boot-end-marker
>>!
>>logging buffered 51200 warnings
>>logging monitor informational
>>!
>>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0
>>username cisco password 0 cisco
>>mmi polling-interval 60
>>no mmi auto-configure
>>no mmi pvc
>>mmi snmp-timeout 180
>>aaa new-model
>>!
>>!
>>aaa authentication login UCL local
>>aaa authorization network UCL local
>>aaa session-id common
>>ip subnet-zero
>>no ip source-route
>>no ip gratuitous-arps
>>!
>>!
>>no ip domain lookup
>>ip domain name SS7UA
>>!
>>!
>>ip cef
>>ip audit po max-events 100
>>no ftp-server write-enable
>>!
>>!
>>!
>>!
>>!
>>!
>>crypto isakmp policy 10
>>encr 3des
>>hash md5 – вот это пока убрать пока не заработает потом попробуешь
>>дописать
>>authentication pre-share
>>group 2
>>!
>>crypto isakmp client configuration group Cisco2621
>>key 1234567
>>pool POOL
>>!
>>!
>>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac
>>crypto ipsec df-bit clear - вот это пока убрать ( я
>>>>
>>!
>>crypto dynamic-map DYN_CKV_LPM 5
>>set transform-set Table1
>>reverse-route
>>qos pre-classify
>>!
>>!
>>crypto map CKV_LPM client authentication list UCL
>>crypto map CKV_LPM isakmp authorization list UCL
>>crypto map CKV_LPM client configuration address respond
>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM
>>!
>>!
>>!
>>!
>>interface Ethernet0
>>ip address 12.13.14.1 255.255.255.0
>>no ip redirects
>>no ip proxy-arp
>>ip route-cache flow - зачем тебе FLOW ты статистику собираешь ,
>>не вижу где , сервер не прописан.
>>no ip route-cache cef - вот это пока убери
>>half-duplex
>>crypto map CKV_LPM
>>!
>>interface FastEthernet0
>>ip address 172.19.9.1 255.255.0.0
>>no ip redirects
>>no ip proxy-arp
>>убрал пока
>>speed auto
>>!
>>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621
>>ip classless
>>ip route 0.0.0.0 0.0.0.0 10.5.8.105 я надеюсь здесь всё верно хоп
>>следующего роутера .
>>ip route 172.19.0.0 255.255.0.0 FastEthernet0 у тебя следующий роутер или сразу
>>локалка , если локалка эта запись не нужна…. И
>>тогда включи
>> ip proxy arp пока
>>Если же у тебя следующий роутер то куда ты хочешь попасть
>>
>>Значит обрати внимание на эту запись , и убери её и включи
>>на интерфейсе ip proxy arp
>>
>>no ip http server
>>ip http authentication local
>>no ip http secure-server
>>!
>>!
>>!
>>!
>>!
>>control-plane
>>!
>>!
>>line con 0
>>privilege level 15
>>no exec
>>line aux 0
>>privilege level 15
>>no exec
>>line vty 0 4
>>privilege level 15
>>transport input ssh
>>line vty 5 15
>>privilege level 15
>>transport input telnet ssh
>>!
>>!
>>end
>>SUPERROUTER#show route-map all
>>STATIC routemaps
>>DYNAMIC routemaps
>>Current active dynamic routemaps = 0
>>SUPERROUTER#
>>Show Route - не хочет понимать
>>Да Серёж извини писать надо show ip route ) просто забываю
>>иногда
>>>>
>>2 Маршрут убери или если у тебя за ним следующий роут
>>пропиши ip route 172.19.0.0 255.255.0.0 адресс следующего роута.
>>
>>Да и если у тебя так все непонятно пиши топологию)
Посмотрел по маршрутизации всё нормуль , маршрут прописываеться правильно,
насчёт Сплит туннеля я это понимаю так что то что у тебя прописано в акцесс листе тот трафик шифруеться ,остальной проходит мимо в интернет.
если так как приведено выще работать не будет , пропиши акцесс лист
>>crypto isakmp client configuration group Cisco2621
>>key 1234567
>>pool POOL
acl 100acl 100 permit ip 172.19.0.0 0.0.255.255 172.18.3.0 0.0.0.255 пока так
сделай так пока как я написал в точности ,сначала без acl потом если не заработает добавь, кстати у тебя версия cisco vpn client какая и как настроена и под что , у меня под винды версия 4.6.3, да а без шифрования машины пингуют друг друга .
всё пока.
>>>>>Current configuration : 2064 bytes
>>>>>!
>>>>>version 12.3
>>>>>service timestamps debug datetime msec
>>>>>service timestamps log datetime msec
>>>>>no service password-encryption
>>>>>!
>>>>>hostname SUPERROUTER
>>>>>!
>>>>>boot-start-marker
>>>>>boot-end-marker
>>>>>!
>>>>>logging buffered 51200 warnings
>>>>>logging monitor informational
>>>>>!
>>>>>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0
>>>>>username cisco password 0 cisco
>>>>>mmi polling-interval 60
>>>>>no mmi auto-configure
>>>>>no mmi pvc
>>>>>mmi snmp-timeout 180
>>>>>aaa new-model
>>>>>!
>>>>>!
>>>>>aaa authentication login UCL local
>>>>>aaa authorization network UCL local
>>>>>aaa session-id common
>>>>>ip subnet-zero
>>>>>no ip source-route
>>>>>no ip gratuitous-arps
>>>>>!
>>>>>!
>>>>>no ip domain lookup
>>>>>ip domain name SS7UA
>>>>>!
>>>>>!
>>>>>ip cef
>>>>>ip audit po max-events 100
>>>>>no ftp-server write-enable
>>>>>!
>>>>>!
>>>>>!
>>>>>!
>>>>>!
>>>>>!
>>>>>crypto isakmp policy 10
>>>>> encr 3des
>>>>> hash md5
>>>>> authentication pre-share
>>>>> group 2
>>>>>!
>>>>>crypto isakmp client configuration group Cisco2621
>>>>> key 1234567
>>>>> pool POOL
>>>>>!
>>>>>!
>>>>>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac
>>>>>crypto ipsec df-bit clear
>>>>>!
>>>>>!
>>>>>crypto dynamic-map DYN_CKV_LPM 5
>>>>> set transform-set Table1
>>>>> reverse-route
>>>>> qos pre-classify
>>>>>!
>>>>>!
>>>>>crypto map CKV_LPM client authentication list UCL
>>>>>crypto map CKV_LPM isakmp authorization list UCL
>>>>>crypto map CKV_LPM client configuration address respond
>>>>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM
>>>>>!
>>>>>!
>>>>>!
>>>>>!
>>>>>interface Ethernet0
>>>>> ip address 12.13.14.1 255.255.255.0
>>>>> no ip redirects
>>>>> no ip proxy-arp
>>>>> ip route-cache flow
>>>>> no ip route-cache cef
>>>>> half-duplex
>>>>> crypto map CKV_LPM
>>>>>!
>>>>>interface FastEthernet0
>>>>> ip address 172.19.9.1 255.255.0.0
>>>>> no ip redirects
>>>>> no ip proxy-arp
>>>>> ip route-cache flow
>>>>> no ip route-cache cef
>>>>> speed auto
>>>>>!
>>>>>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621
>>>>>ip classless
>>>>>ip route 0.0.0.0 0.0.0.0 10.5.8.105
>>>>>ip route 172.19.0.0 255.255.0.0 FastEthernet0
>>>>>no ip http server
>>>>>ip http authentication local
>>>>>no ip http secure-server
>>>>>!
>>>>>!
>>>>>!
>>>>>!
>>>>>!
>>>>>control-plane
>>>>>!
>>>>>!
>>>>>line con 0
>>>>> privilege level 15
>>>>> no exec
>>>>>line aux 0
>>>>> privilege level 15
>>>>> no exec
>>>>>line vty 0 4
>>>>> privilege level 15
>>>>> transport input ssh
>>>>>line vty 5 15
>>>>> privilege level 15
>>>>> transport input telnet ssh
>>>>>!
>>>>>!
>>>>>end
>>>>>
>>>>>SUPERROUTER#show route-map all
>>>>>STATIC routemaps
>>>>>DYNAMIC routemaps
>>>>> Current active dynamic routemaps = 0
>>>>>SUPERROUTER#
>>>>>
>>>>>Show Route - не хочет понимать
>>>>
>>>>Ну ё моё , вы сами этот конфиг делали , я не
>>>>имею в виду что я вам писал , у вас роутер
>>>>пограничный??? за ним локалка так - так....
>>>>Теперь по порядку
>>>
>>>Current configuration : 2064 bytes
>>>!
>>>version 12.3
>>>service timestamps debug datetime msec
>>>service timestamps log datetime msec
>>>no service password-encryption
>>>!
>>>hostname SUPERROUTER
>>>!
>>>boot-start-marker
>>>boot-end-marker
>>>!
>>>logging buffered 51200 warnings
>>>logging monitor informational
>>>!
>>>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0
>>>username cisco password 0 cisco
>>>mmi polling-interval 60
>>>no mmi auto-configure
>>>no mmi pvc
>>>mmi snmp-timeout 180
>>>aaa new-model
>>>!
>>>!
>>>aaa authentication login UCL local
>>>aaa authorization network UCL local
>>>aaa session-id common
>>>ip subnet-zero
>>>no ip source-route
>>>no ip gratuitous-arps
>>>!
>>>!
>>>no ip domain lookup
>>>ip domain name SS7UA
>>>!
>>>!
>>>ip cef
>>>ip audit po max-events 100
>>>no ftp-server write-enable
>>>!
>>>!
>>>!
>>>!
>>>!
>>>!
>>>crypto isakmp policy 10
>>>encr 3des
>>>hash md5 – вот это пока убрать пока не заработает потом попробуешь
>>>дописать
>>>authentication pre-share
>>>group 2
>>>!
>>>crypto isakmp client configuration group Cisco2621
>>>key 1234567
>>>pool POOL
>>>!
>>>!
>>>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac
>>>crypto ipsec df-bit clear - вот это пока убрать ( я
>>>>>
>>>!
>>>crypto dynamic-map DYN_CKV_LPM 5
>>>set transform-set Table1
>>>reverse-route
>>>qos pre-classify
>>>!
>>>!
>>>crypto map CKV_LPM client authentication list UCL
>>>crypto map CKV_LPM isakmp authorization list UCL
>>>crypto map CKV_LPM client configuration address respond
>>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM
>>>!
>>>!
>>>!
>>>!
>>>interface Ethernet0
>>>ip address 12.13.14.1 255.255.255.0
>>>no ip redirects
>>>no ip proxy-arp
>>>ip route-cache flow - зачем тебе FLOW ты статистику собираешь ,
>>>не вижу где , сервер не прописан.
>>>no ip route-cache cef - вот это пока убери
>>>half-duplex
>>>crypto map CKV_LPM
>>>!
>>>interface FastEthernet0
>>>ip address 172.19.9.1 255.255.0.0
>>>no ip redirects
>>>no ip proxy-arp
>>>убрал пока
>>>speed auto
>>>!
>>>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621
>>>ip classless
>>>ip route 0.0.0.0 0.0.0.0 10.5.8.105 я надеюсь здесь всё верно хоп
>>>следующего роутера .
>>>ip route 172.19.0.0 255.255.0.0 FastEthernet0 у тебя следующий роутер или сразу
>>>локалка , если локалка эта запись не нужна…. И
>>>тогда включи
>>> ip proxy arp пока
>>>Если же у тебя следующий роутер то куда ты хочешь попасть
>>>
>>>Значит обрати внимание на эту запись , и убери её и включи
>>>на интерфейсе ip proxy arp
>>>
>>>no ip http server
>>>ip http authentication local
>>>no ip http secure-server
>>>!
>>>!
>>>!
>>>!
>>>!
>>>control-plane
>>>!
>>>!
>>>line con 0
>>>privilege level 15
>>>no exec
>>>line aux 0
>>>privilege level 15
>>>no exec
>>>line vty 0 4
>>>privilege level 15
>>>transport input ssh
>>>line vty 5 15
>>>privilege level 15
>>>transport input telnet ssh
>>>!
>>>!
>>>end
>>>SUPERROUTER#show route-map all
>>>STATIC routemaps
>>>DYNAMIC routemaps
>>>Current active dynamic routemaps = 0
>>>SUPERROUTER#
>>>Show Route - не хочет понимать
>>>Да Серёж извини писать надо show ip route ) просто забываю
>>>иногда
>>>
>
>>>
>>>2 Маршрут убери или если у тебя за ним следующий роут
>>>пропиши ip route 172.19.0.0 255.255.0.0 адресс следующего роута.
>>>
>>>Да и если у тебя так все непонятно пиши топологию)
>Посмотрел по маршрутизации всё нормуль , маршрут прописываеться правильно,
>насчёт Сплит туннеля я это понимаю так что то что у тебя
>прописано в акцесс листе тот трафик шифруеться ,остальной проходит мимо в
>интернет.
>если так как приведено выще работать не будет , пропиши акцесс лист
>
>>>crypto isakmp client configuration group Cisco2621
>>>key 1234567
>>>pool POOL
>acl 100
>
>acl 100 permit ip 172.19.0.0 0.0.255.255 172.18.3.0 0.0.0.255 пока так
>
>сделай так пока как я написал в точности ,сначала без acl потом
>если не заработает добавь, кстати у тебя версия cisco vpn client
>какая и как настроена и под что , у меня под
>винды версия 4.6.3, да а без шифрования машины пингуют друг друга
>.
>всё пока.Стоп
Да, и ещеGateway of last resort is not set
C 172.19.0.0/16 is directly connected, FastEthernet0
172.18.0.0/32 is subnetted, 1 subnets А вот это что за висюн????
Ты мне конфиг весь напечатал??
S 172.18.3.6 [1/0] via 12.13.14.10
12.0.0.0/24 is subnetted, 1 subnets
C 12.13.14.0 is directly connected, Ethernet0Вот
>>>>>>Current configuration : 2064 bytes
>>>>>>!
>>>>>>version 12.3
>>>>>>service timestamps debug datetime msec
>>>>>>service timestamps log datetime msec
>>>>>>no service password-encryption
>>>>>>!
>>>>>>hostname SUPERROUTER
>>>>>>!
>>>>>>boot-start-marker
>>>>>>boot-end-marker
>>>>>>!
>>>>>>logging buffered 51200 warnings
>>>>>>logging monitor informational
>>>>>>!
>>>>>>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0
>>>>>>username cisco password 0 cisco
>>>>>>mmi polling-interval 60
>>>>>>no mmi auto-configure
>>>>>>no mmi pvc
>>>>>>mmi snmp-timeout 180
>>>>>>aaa new-model
>>>>>>!
>>>>>>!
>>>>>>aaa authentication login UCL local
>>>>>>aaa authorization network UCL local
>>>>>>aaa session-id common
>>>>>>ip subnet-zero
>>>>>>no ip source-route
>>>>>>no ip gratuitous-arps
>>>>>>!
>>>>>>!
>>>>>>no ip domain lookup
>>>>>>ip domain name SS7UA
>>>>>>!
>>>>>>!
>>>>>>ip cef
>>>>>>ip audit po max-events 100
>>>>>>no ftp-server write-enable
>>>>>>!
>>>>>>!
>>>>>>!
>>>>>>!
>>>>>>!
>>>>>>!
>>>>>>crypto isakmp policy 10
>>>>>> encr 3des
>>>>>> hash md5
>>>>>> authentication pre-share
>>>>>> group 2
>>>>>>!
>>>>>>crypto isakmp client configuration group Cisco2621
>>>>>> key 1234567
>>>>>> pool POOL
>>>>>>!
>>>>>>!
>>>>>>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac
>>>>>>crypto ipsec df-bit clear
>>>>>>!
>>>>>>!
>>>>>>crypto dynamic-map DYN_CKV_LPM 5
>>>>>> set transform-set Table1
>>>>>> reverse-route
>>>>>> qos pre-classify
>>>>>>!
>>>>>>!
>>>>>>crypto map CKV_LPM client authentication list UCL
>>>>>>crypto map CKV_LPM isakmp authorization list UCL
>>>>>>crypto map CKV_LPM client configuration address respond
>>>>>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM
>>>>>>!
>>>>>>!
>>>>>>!
>>>>>>!
>>>>>>interface Ethernet0
>>>>>> ip address 12.13.14.1 255.255.255.0
>>>>>> no ip redirects
>>>>>> no ip proxy-arp
>>>>>> ip route-cache flow
>>>>>> no ip route-cache cef
>>>>>> half-duplex
>>>>>> crypto map CKV_LPM
>>>>>>!
>>>>>>interface FastEthernet0
>>>>>> ip address 172.19.9.1 255.255.0.0
>>>>>> no ip redirects
>>>>>> no ip proxy-arp
>>>>>> ip route-cache flow
>>>>>> no ip route-cache cef
>>>>>> speed auto
>>>>>>!
>>>>>>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621
>>>>>>ip classless
>>>>>>ip route 0.0.0.0 0.0.0.0 10.5.8.105
>>>>>>ip route 172.19.0.0 255.255.0.0 FastEthernet0
>>>>>>no ip http server
>>>>>>ip http authentication local
>>>>>>no ip http secure-server
>>>>>>!
>>>>>>!
>>>>>>!
>>>>>>!
>>>>>>!
>>>>>>control-plane
>>>>>>!
>>>>>>!
>>>>>>line con 0
>>>>>> privilege level 15
>>>>>> no exec
>>>>>>line aux 0
>>>>>> privilege level 15
>>>>>> no exec
>>>>>>line vty 0 4
>>>>>> privilege level 15
>>>>>> transport input ssh
>>>>>>line vty 5 15
>>>>>> privilege level 15
>>>>>> transport input telnet ssh
>>>>>>!
>>>>>>!
>>>>>>end
>>>>>>
>>>>>>SUPERROUTER#show route-map all
>>>>>>STATIC routemaps
>>>>>>DYNAMIC routemaps
>>>>>> Current active dynamic routemaps = 0
>>>>>>SUPERROUTER#
>>>>>>
>>>>>>Show Route - не хочет понимать
>>>>>
>>>>>Ну ё моё , вы сами этот конфиг делали , я не
>>>>>имею в виду что я вам писал , у вас роутер
>>>>>пограничный??? за ним локалка так - так....
>>>>>Теперь по порядку
>>>>
>>>>Current configuration : 2064 bytes
>>>>!
>>>>version 12.3
>>>>service timestamps debug datetime msec
>>>>service timestamps log datetime msec
>>>>no service password-encryption
>>>>!
>>>>hostname SUPERROUTER
>>>>!
>>>>boot-start-marker
>>>>boot-end-marker
>>>>!
>>>>logging buffered 51200 warnings
>>>>logging monitor informational
>>>>!
>>>>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0
>>>>username cisco password 0 cisco
>>>>mmi polling-interval 60
>>>>no mmi auto-configure
>>>>no mmi pvc
>>>>mmi snmp-timeout 180
>>>>aaa new-model
>>>>!
>>>>!
>>>>aaa authentication login UCL local
>>>>aaa authorization network UCL local
>>>>aaa session-id common
>>>>ip subnet-zero
>>>>no ip source-route
>>>>no ip gratuitous-arps
>>>>!
>>>>!
>>>>no ip domain lookup
>>>>ip domain name SS7UA
>>>>!
>>>>!
>>>>ip cef
>>>>ip audit po max-events 100
>>>>no ftp-server write-enable
>>>>!
>>>>!
>>>>!
>>>>!
>>>>!
>>>>!
>>>>crypto isakmp policy 10
>>>>encr 3des
>>>>hash md5 – вот это пока убрать пока не заработает потом попробуешь
>>>>дописать
>>>>authentication pre-share
>>>>group 2
>>>>!
>>>>crypto isakmp client configuration group Cisco2621
>>>>key 1234567
>>>>pool POOL
>>>>!
>>>>!
>>>>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac
>>>>crypto ipsec df-bit clear - вот это пока убрать ( я
>>>>>>
>>>>!
>>>>crypto dynamic-map DYN_CKV_LPM 5
>>>>set transform-set Table1
>>>>reverse-route
>>>>qos pre-classify
>>>>!
>>>>!
>>>>crypto map CKV_LPM client authentication list UCL
>>>>crypto map CKV_LPM isakmp authorization list UCL
>>>>crypto map CKV_LPM client configuration address respond
>>>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM
>>>>!
>>>>!
>>>>!
>>>>!
>>>>interface Ethernet0
>>>>ip address 12.13.14.1 255.255.255.0
>>>>no ip redirects
>>>>no ip proxy-arp
>>>>ip route-cache flow - зачем тебе FLOW ты статистику собираешь ,
>>>>не вижу где , сервер не прописан.
>>>>no ip route-cache cef - вот это пока убери
>>>>half-duplex
>>>>crypto map CKV_LPM
>>>>!
>>>>interface FastEthernet0
>>>>ip address 172.19.9.1 255.255.0.0
>>>>no ip redirects
>>>>no ip proxy-arp
>>>>убрал пока
>>>>speed auto
>>>>!
>>>>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621
>>>>ip classless
>>>>ip route 0.0.0.0 0.0.0.0 10.5.8.105 я надеюсь здесь всё верно хоп
>>>>следующего роутера .
>>>>ip route 172.19.0.0 255.255.0.0 FastEthernet0 у тебя следующий роутер или сразу
>>>>локалка , если локалка эта запись не нужна…. И
>>>>тогда включи
>>>> ip proxy arp пока
>>>>Если же у тебя следующий роутер то куда ты хочешь попасть
>>>>
>>>>Значит обрати внимание на эту запись , и убери её и включи
>>>>на интерфейсе ip proxy arp
>>>>
>>>>no ip http server
>>>>ip http authentication local
>>>>no ip http secure-server
>>>>!
>>>>!
>>>>!
>>>>!
>>>>!
>>>>control-plane
>>>>!
>>>>!
>>>>line con 0
>>>>privilege level 15
>>>>no exec
>>>>line aux 0
>>>>privilege level 15
>>>>no exec
>>>>line vty 0 4
>>>>privilege level 15
>>>>transport input ssh
>>>>line vty 5 15
>>>>privilege level 15
>>>>transport input telnet ssh
>>>>!
>>>>!
>>>>end
>>>>SUPERROUTER#show route-map all
>>>>STATIC routemaps
>>>>DYNAMIC routemaps
>>>>Current active dynamic routemaps = 0
>>>>SUPERROUTER#
>>>>Show Route - не хочет понимать
>>>>Да Серёж извини писать надо show ip route ) просто забываю
>>>>иногда
>>>>
>>
>>>>
>>>>2 Маршрут убери или если у тебя за ним следующий роут
>>>>пропиши ip route 172.19.0.0 255.255.0.0 адресс следующего роута.
>>>>
>>>>Да и если у тебя так все непонятно пиши топологию)
>>Посмотрел по маршрутизации всё нормуль , маршрут прописываеться правильно,
>>насчёт Сплит туннеля я это понимаю так что то что у тебя
>>прописано в акцесс листе тот трафик шифруеться ,остальной проходит мимо в
>>интернет.
>>если так как приведено выще работать не будет , пропиши акцесс лист
>>
>>>>crypto isakmp client configuration group Cisco2621
>>>>key 1234567
>>>>pool POOL
>>acl 100
>>
>>acl 100 permit ip 172.19.0.0 0.0.255.255 172.18.3.0 0.0.0.255 пока так
>>
>>сделай так пока как я написал в точности ,сначала без acl потом
>>если не заработает добавь, кстати у тебя версия cisco vpn client
>>какая и как настроена и под что , у меня под
>>винды версия 4.6.3, да а без шифрования машины пингуют друг друга
>>.
>>всё пока.
>
>Стоп
>Да, и еще
>
>Gateway of last resort is not set
>
>C 172.19.0.0/16 is directly connected, FastEthernet0
> 172.18.0.0/32 is subnetted, 1 subnets А вот
>это что за висюн????
>Ты мне конфиг весь напечатал??
>S 172.18.3.6 [1/0] via 12.13.14.10
> 12.0.0.0/24 is subnetted, 1 subnets
>C 12.13.14.0 is directly connected, Ethernet0
>
>
>Вот
Всё нормально это меня сглючило , перессидел я за компом, завтра время будет включю стенд.ещё раз проверю всё.
Вот новый крнфиг, с Вашими исправлениями :)aaa session-id common
ip subnet-zero
no ip source-route
no ip gratuitous-arps
!
!
no ip domain lookup
ip domain name SS7UA
!
!
ip cef
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
!
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group Cisco2621
key 1234567
pool POOL
acl 100
!
!
crypto ipsec transform-set Table1 esp-3des esp-sha-hmac
crypto ipsec df-bit clear
!
!
crypto dynamic-map DYN_CKV_LPM 5
set transform-set Table1
reverse-route
qos pre-classify
!
!
crypto map CKV_LPM client authentication list UCL
crypto map CKV_LPM isakmp authorization list UCL
crypto map CKV_LPM client configuration address respond
crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM
!
!
!
!
interface Ethernet0
ip address 12.13.14.1 255.255.255.0
no ip redirects
half-duplex
crypto map CKV_LPM
!
interface FastEthernet0
ip address 172.19.9.1 255.255.0.0
no ip redirects
speed auto
!
ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621
ip classless
ip route 0.0.0.0 0.0.0.0 10.5.8.105
no ip http server
ip http authentication local
no ip http secure-server
!
!
!
access-list 100 permit ip 172.19.0.0 0.0.255.255 172.18.3.0 0.0.0.255Cisco VPN Client 4.7.00.0533
Cisco IOS Software, C1700 Software (C1700-K9O3SY7-M), Version 12.3(7)T6, RELEASE SOFTWARE (fc2) - это цискаВсе осталось пока по прежнему. Подключается чуть дольше - это наверное, из-за убранного md5. Дальний интерфейс роутера пингует, ближний - тоже. Роутер видит оба компа. Жду советов
Спасибо за помощь
>Вот новый крнфиг, с Вашими исправлениями :)
>
>aaa session-id common
>ip subnet-zero
>no ip source-route
>no ip gratuitous-arps
>!
>!
>no ip domain lookup
>ip domain name SS7UA
>!
>!
>ip cef
>ip audit po max-events 100
>no ftp-server write-enable
>!
>!
>!
>!
>!
>!
>crypto isakmp policy 10
> encr 3des
> authentication pre-share
> group 2
>!
>crypto isakmp client configuration group Cisco2621
> key 1234567
> pool POOL
> acl 100
>!
>!
>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac
>crypto ipsec df-bit clear
>!
>!
>crypto dynamic-map DYN_CKV_LPM 5
> set transform-set Table1
> reverse-route
> qos pre-classify
>!
>!
>crypto map CKV_LPM client authentication list UCL
>crypto map CKV_LPM isakmp authorization list UCL
>crypto map CKV_LPM client configuration address respond
>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM
>!
>!
>!
>!
>interface Ethernet0
> ip address 12.13.14.1 255.255.255.0
> no ip redirects
> half-duplex
> crypto map CKV_LPM
>!
>interface FastEthernet0
> ip address 172.19.9.1 255.255.0.0
> no ip redirects
> speed auto
>!
>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621
>ip classless
>ip route 0.0.0.0 0.0.0.0 10.5.8.105
>no ip http server
>ip http authentication local
>no ip http secure-server
>!
>!
>!
>access-list 100 permit ip 172.19.0.0 0.0.255.255 172.18.3.0 0.0.0.255
>
>Cisco VPN Client 4.7.00.0533
>Cisco IOS Software, C1700 Software (C1700-K9O3SY7-M), Version 12.3(7)T6, RELEASE SOFTWARE (fc2) -
>это циска
>
>Все осталось пока по прежнему. Подключается чуть дольше - это наверное, из-за
>убранного md5. Дальний интерфейс роутера пингует, ближний - тоже. Роутер видит
>оба компа. Жду советов
>Спасибо за помощьИ так за внутренним шлюзом сразу идёт локалка , так сниффер есть возможность воткнуть на линии? если пингует внутренний шлюз это хорошо, мне хотелось бы знать не пингует ли роутер два компа а пингуют ли друг друга компы )) Ну давайте попробуем вариант с натом сначало без лупбека.
interface Ethernet0
> ip address 12.13.14.1 255.255.255.0
> no ip redirects
> half-duplex
> crypto map CKV_LPM
>! ip nat inside
>interface FastEthernet0
> ip address 172.19.9.1 255.255.0.0
> no ip redirects
ip nat outsaid
speed autoip nat inside sourse list 1 pool out overload
ip nat pool out 192.18.1.1 192.18.1.1 netmask 255.255.255.0
access-list 1 permit 172.18.3.0 0.0.0.255Пробуем так ,
потом пробуем с лупбекомinterface Loopback1
ip address 12.13.13.1 255.255.255.255
ip nat inside
interface FastEthernet0
> ip address 172.19.9.1 255.255.0.0
> no ip redirects
ip nat outsaid
speed auto
interface Ethernet0
> ip address 12.13.14.1 255.255.255.0
> no ip redirects
> half-duplex
> crypto map CKV_LPMip policy route-map Loop
route-map Loop permit 10
match ip address 11
set interface Loopback1access-list 11 permit 172.18.3.0 0.0.0.255
Вот вроде бы всё , в обоих случаях пробуешь отключать ACL 100 и включать на клиенте
Ну а на последок если всё это не помогает , оставляешь без ната и прописываешь просто обратный маршрут
ip route 172.18.3.0 255.255.255.0 inter eth 0ip route 172.18.3.0 255.255.0.0 inter eth 0 или так на крайняк
или на крайнеи случай уже к каждому хосту
ip route 172.18.3.3 255.255.255.255 inter eth 0
ip route 172.18.3.4 255.255.255.255 inter eth 0
ip route 172.18.3.5 255.255.255.255 inter eth 0
ip route 172.18.3.6 255.255.255.255 inter eth 0
вот меня распирает )) но пробывать надо всё )
нов общем твой случай очень странный )да кстати настройки у тебя стандартные на клиенте - ipsec/udp
вначале IOS потом группа ключ , без всяких прибамбасов ?
>>Вот новый крнфиг, с Вашими исправлениями :)
>>
>>aaa session-id common
>>ip subnet-zero
>>no ip source-route
>>no ip gratuitous-arps
>>!
>>!
>>no ip domain lookup
>>ip domain name SS7UA
>>!
>>!
>>ip cef
>>ip audit po max-events 100
>>no ftp-server write-enable
>>!
>>!
>>!
>>!
>>!
>>!
>>crypto isakmp policy 10
>> encr 3des
>> authentication pre-share
>> group 2
>>!
>>crypto isakmp client configuration group Cisco2621
>> key 1234567
>> pool POOL
>> acl 100
>>!
>>!
>>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac
>>crypto ipsec df-bit clear
>>!
>>!
>>crypto dynamic-map DYN_CKV_LPM 5
>> set transform-set Table1
>> reverse-route
>> qos pre-classify
>>!
>>!
>>crypto map CKV_LPM client authentication list UCL
>>crypto map CKV_LPM isakmp authorization list UCL
>>crypto map CKV_LPM client configuration address respond
>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM
>>!
>>!
>>!
>>!
>>interface Ethernet0
>> ip address 12.13.14.1 255.255.255.0
>> no ip redirects
>> half-duplex
>> crypto map CKV_LPM
>>!
>>interface FastEthernet0
>> ip address 172.19.9.1 255.255.0.0
>> no ip redirects
>> speed auto
>>!
>>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621
>>ip classless
>>ip route 0.0.0.0 0.0.0.0 10.5.8.105
>>no ip http server
>>ip http authentication local
>>no ip http secure-server
>>!
>>!
>>!
>>access-list 100 permit ip 172.19.0.0 0.0.255.255 172.18.3.0 0.0.0.255
>>
>>Cisco VPN Client 4.7.00.0533
>>Cisco IOS Software, C1700 Software (C1700-K9O3SY7-M), Version 12.3(7)T6, RELEASE SOFTWARE (fc2) -
>>это циска
>>
>>Все осталось пока по прежнему. Подключается чуть дольше - это наверное, из-за
>>убранного md5. Дальний интерфейс роутера пингует, ближний - тоже. Роутер видит
>>оба компа. Жду советов
>>Спасибо за помощь
>
>И так за внутренним шлюзом сразу идёт локалка , так сниффер есть
>возможность воткнуть на линии? если пингует внутренний шлюз это хорошо, мне
>хотелось бы знать не пингует ли роутер два компа а пингуют
>ли друг друга компы )) Ну давайте попробуем вариант с натом
>сначало без лупбека.
>
>interface Ethernet0
>> ip address 12.13.14.1 255.255.255.0
>> no ip redirects
>> half-duplex
>> crypto map CKV_LPM
>>! ip nat inside
>>interface FastEthernet0
>> ip address 172.19.9.1 255.255.0.0
>> no ip redirects
>ip nat outsaid
>speed auto
>
>ip nat inside sourse list 1 pool out overload
>ip nat pool out 192.18.1.1 192.18.1.1 netmask 255.255.255.0
>access-list 1 permit 172.18.3.0 0.0.0.255
>
>Пробуем так ,
>потом пробуем с лупбеком
>
>interface Loopback1
> ip address 12.13.13.1 255.255.255.255
> ip nat inside
>interface FastEthernet0
>> ip address 172.19.9.1 255.255.0.0
>> no ip redirects
>ip nat outsaid
>speed auto
> interface Ethernet0
>> ip address 12.13.14.1 255.255.255.0
>> no ip redirects
>> half-duplex
>> crypto map CKV_LPM
>
>ip policy route-map Loop
>
>
>route-map Loop permit 10
> match ip address 11
> set interface Loopback1
>
>access-list 11 permit 172.18.3.0 0.0.0.255
>
>Вот вроде бы всё , в обоих случаях пробуешь отключать ACL 100
>и включать на клиенте
>
>Ну а на последок если всё это не помогает , оставляешь без
>ната и прописываешь просто обратный маршрут
>ip route 172.18.3.0 255.255.255.0 inter eth 0
>
>ip route 172.18.3.0 255.255.0.0 inter eth 0 или так на крайняк
>или на крайнеи случай уже к каждому хосту
>ip route 172.18.3.3 255.255.255.255 inter eth 0
>ip route 172.18.3.4 255.255.255.255 inter eth 0
>ip route 172.18.3.5 255.255.255.255 inter eth 0
>ip route 172.18.3.6 255.255.255.255 inter eth 0
>вот меня распирает )) но пробывать надо всё )
>нов общем твой случай очень странный )
>
>да кстати настройки у тебя стандартные на клиенте - ipsec/udp
>вначале IOS потом группа ключ , без всяких прибамбасов ?
попробуй поиграть с этим
reverse-route
> qos pre-classify
при каждом варианте включай выключай может глючит что ( То есть решай
>>Вот новый крнфиг, с Вашими исправлениями :)
>>
>>aaa session-id common
>>ip subnet-zero
>>no ip source-route
>>no ip gratuitous-arps
>>!
>>!
>>no ip domain lookup
>>ip domain name SS7UA
>>!
>>!
>>ip cef
>>ip audit po max-events 100
>>no ftp-server write-enable
>>!
>>!
>>!
>>!
>>!
>>!
>>crypto isakmp policy 10
>> encr 3des
>> authentication pre-share
>> group 2
>>!
>>crypto isakmp client configuration group Cisco2621
>> key 1234567
>> pool POOL
>> acl 100
>>!
>>!
>>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac
>>crypto ipsec df-bit clear
>>!
>>!
>>crypto dynamic-map DYN_CKV_LPM 5
>> set transform-set Table1
>> reverse-route
>> qos pre-classify
>>!
>>!
>>crypto map CKV_LPM client authentication list UCL
>>crypto map CKV_LPM isakmp authorization list UCL
>>crypto map CKV_LPM client configuration address respond
>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM
>>!
>>!
>>!
>>!
>>interface Ethernet0
>> ip address 12.13.14.1 255.255.255.0
>> no ip redirects
>> half-duplex
>> crypto map CKV_LPM
>>!
>>interface FastEthernet0
>> ip address 172.19.9.1 255.255.0.0
>> no ip redirects
>> speed auto
>>!
>>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621
>>ip classless
>>ip route 0.0.0.0 0.0.0.0 10.5.8.105
>>no ip http server
>>ip http authentication local
>>no ip http secure-server
>>!
>>!
>>!
>>access-list 100 permit ip 172.19.0.0 0.0.255.255 172.18.3.0 0.0.0.255
>>
>>Cisco VPN Client 4.7.00.0533
>>Cisco IOS Software, C1700 Software (C1700-K9O3SY7-M), Version 12.3(7)T6, RELEASE SOFTWARE (fc2) -
>>это циска
>>
>>Все осталось пока по прежнему. Подключается чуть дольше - это наверное, из-за
>>убранного md5. Дальний интерфейс роутера пингует, ближний - тоже. Роутер видит
>>оба компа. Жду советов
>>Спасибо за помощь
>
>И так за внутренним шлюзом сразу идёт локалка , так сниффер есть
>возможность воткнуть на линии? если пингует внутренний шлюз это хорошо, мне
>хотелось бы знать не пингует ли роутер два компа а пингуют
>ли друг друга компы )) Ну давайте попробуем вариант с натом
>сначало без лупбека.
>
>interface Ethernet0
>> ip address 12.13.14.1 255.255.255.0
>> no ip redirects
>> half-duplex
>> crypto map CKV_LPM
>>! ip nat inside
>>interface FastEthernet0
>> ip address 172.19.9.1 255.255.0.0
>> no ip redirects
>ip nat outsaid
>speed auto
>
>ip nat inside sourse list 1 pool out overload
>ip nat pool out 192.18.1.1 192.18.1.1 netmask 255.255.255.0
>access-list 1 permit 172.18.3.0 0.0.0.255
>
>Пробуем так ,
>потом пробуем с лупбеком
>
>interface Loopback1
> ip address 12.13.13.1 255.255.255.255
> ip nat inside
>interface FastEthernet0
>> ip address 172.19.9.1 255.255.0.0
>> no ip redirects
>ip nat outsaid
>speed auto
> interface Ethernet0
>> ip address 12.13.14.1 255.255.255.0
>> no ip redirects
>> half-duplex
>> crypto map CKV_LPM
>
>ip policy route-map Loop
>
>
>route-map Loop permit 10
> match ip address 11
> set interface Loopback1
>
>access-list 11 permit 172.18.3.0 0.0.0.255
>
>Вот вроде бы всё , в обоих случаях пробуешь отключать ACL 100
>и включать на клиенте
>
>Ну а на последок если всё это не помогает , оставляешь без
>ната и прописываешь просто обратный маршрут
>ip route 172.18.3.0 255.255.255.0 inter eth 0
>
>ip route 172.18.3.0 255.255.0.0 inter eth 0 или так на крайняк
>или на крайнеи случай уже к каждому хосту
>ip route 172.18.3.3 255.255.255.255 inter eth 0
>ip route 172.18.3.4 255.255.255.255 inter eth 0
>ip route 172.18.3.5 255.255.255.255 inter eth 0
>ip route 172.18.3.6 255.255.255.255 inter eth 0
>вот меня распирает )) но пробывать надо всё )
>нов общем твой случай очень странный )
>
>да кстати настройки у тебя стандартные на клиенте - ipsec/udp
>вначале IOS потом группа ключ , без всяких прибамбасов ?
попробуй поиграть с этим
reverse-route
> qos pre-classify
при каждом варианте включай выключай может глючит что ( То есть решай
задачу методом исключения ) Что делать надо искать, я надеюсь всё получиться.
Всем спасибо, заработало.
Стер циску полностью, поставил reverse-route.
В статических криптомапах добавил no-xauth.
После этого заработали и туннели межцу цисками, и с VPN клиента
>Всем спасибо, заработало.
>Стер циску полностью, поставил reverse-route.
>В статических криптомапах добавил no-xauth.
>После этого заработали и туннели межцу цисками, и с VPN клиентаСерёж погодь выложи конфиг , ну про туннели между цисками в конфиге не значится , а но хаут применяется для соединения без авторизации по моему , ну типа туннель циска - циска ) ну и клиент рядом сидит ))
Давай конфиг показывай , не жадничай всё что секретно сотри )
Ловите:Current configuration : 1972 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname TEST1
!
boot-start-marker
boot-end-marker
!
!
username cisco password 0 ofp
username configurator privilege 15 secret 5 $1$OBq9$hafryCx8EKj6WQRvDtKRu.
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
aaa session-id common
ip subnet-zero
!
!
ip domain name TTTTT
!
!
ip cef
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
!
!
crypto isakmp policy 3
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
crypto isakmp key HHHHHYYTTT address 172.19.9.2 no-xauth
!
crypto isakmp client configuration group monitor
key monitor
pool ippool
!
!
crypto ipsec transform-set Table1 esp-3des esp-sha-hmac
crypto ipsec df-bit clear
!
crypto dynamic-map dynmap 1
set transform-set Table1
reverse-route
!
!
crypto map CKV_LPM client authentication list userauthen
crypto map CKV_LPM isakmp authorization list groupauthor
crypto map CKV_LPM client configuration address respond
crypto map CKV_LPM 2 ipsec-isakmp dynamic dynmap
crypto map CKV_LPM 10 ipsec-isakmp
set peer 172.19.9.2
set transform-set Table1
match address TEST2
!
!
!
interface Ethernet0
ip address 172.19.9.1 255.255.0.0
half-duplex
no cdp enable
crypto map CKV_LPM
!
interface FastEthernet0
ip address 182.19.10.1 255.255.255.0
speed auto
no cdp enable
!
ip local pool ippool 11.11.11.1 11.11.11.101
ip classless
ip route 0.0.0.0 0.0.0.0 172.19.0.1
ip route 182.19.11.0 255.255.255.0 172.19.9.2
no ip http server
no ip http secure-server
!
!
!
ip access-list extended TEST2
permit ip 182.19.10.0 0.0.0.255 182.19.11.0 0.0.0.255
no cdp run
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
privilege level 15
transport input ssh
!
!
endВторой роутер 172.19.9.2, сетка за ним - 182.19.11.0
VPN клиент подключается, туннель между роутерами тоже поднимается
Наверное, какая-то опция была неправильно установлена перед этим... Легче оказалось полностью переконфигурировать.