URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 9549
[ Назад ]
Исходное сообщение
"Гуру, помогите с VPN 2620"
Отправлено Mad_Max , 05-Янв-06 18:30 
Всем доброго дня!
Имеется Cisco2620 вот с таким IOS (tm) C2600 Software (C2600-IK9O3S3-M), Version 12.3(17), RELEASE SOFTWARE (fc2)
Необходимо поднять VPN.
Инет приходит по сериал порту. Выкладываю конфиг:

Building configuration...

Current configuration : 5482 bytes
!
! Last configuration change at 17:07:07 Kiev Thu Jan 5 2006 by vetrenkom
!
version 12.3
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Cisco2620
!
boot-start-marker
boot-end-marker
!
enable password
!
clock timezone Kiev 2
clock summer-time Kiev recurring last Sun Mar 3:00 last Sun Oct 3:00
aaa new-model
!
!
aaa authentication login default local
aaa authentication login userauthen local
aaa authentication ppp default local
aaa authorization exec default local
aaa authorization network default local
aaa authorization network groupauthor local
aaa session-id common
ip subnet-zero
ip cef
!
ip name-server 212.109.32.5
ip name-server 212.109.32.9
!
ip audit po max-events 100
!
isdn switch-type basic-net3
isdn voice-call-failure 0
!
username Cisco801 password
username lsergey password
username odessa password
username vinnitsa password
username dnepr password
username Nikolayev password
username kirovograd password
username stretenskaya password
username vetrenkom privilege 15 password
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group vpn
key 123456
dns 192.168.2.101
domain toepfer.ua
pool vpnpool
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set security-association lifetime kilobytes 46080
set security-association lifetime seconds 10800
set transform-set myset
!
crypto map clientmap client authentication list userauthern
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address initiate
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
interface FastEthernet0/0
description connected to EthernetLAN
ip address 212.*.59.* 255.255.255.248 secondary
ip address 192.168.2.77 255.255.255.0
ip nat inside
duplex auto
speed 100
crypto map clientmap
!
interface Serial0/0
ip address 212.*.196.* 255.255.255.248
ip nat outside
encapsulation frame-relay IETF
frame-relay interface-dlci 100
!
interface BRI1/0
description connected to Cisco801
no ip address
encapsulation ppp
no ip route-cache cef
no ip route-cache
no ip mroute-cache
dialer rotary-group 1
dialer-group 1
isdn switch-type basic-net3
isdn point-to-point-setup
isdn spid1 spid-number 168
isdn spid2 spid-number 165
isdn incoming-voice data
no cdp enable
!
interface BRI1/1
description connected to Cisco801
no ip address
encapsulation ppp
no ip route-cache cef
no ip route-cache
no ip mroute-cache
dialer rotary-group 1
dialer-group 1
isdn switch-type basic-net3
isdn point-to-point-setup
isdn incoming-voice data
no cdp enable
!
interface BRI1/2
description connected to Cisco801
no ip address
encapsulation ppp
no ip route-cache cef
no ip route-cache
no ip mroute-cache
dialer rotary-group 1
dialer-group 1
isdn switch-type basic-net3
isdn point-to-point-setup
isdn incoming-voice data
no cdp enable
!
interface BRI1/3
description connected to Cisco801
no ip address
encapsulation ppp
no ip route-cache cef
no ip route-cache
no ip mroute-cache
dialer rotary-group 1
dialer-group 1
isdn switch-type basic-net3
isdn point-to-point-setup
isdn incoming-voice data
no cdp enable
!
interface Dialer1
description connected to Cisco801
ip unnumbered FastEthernet0/0
encapsulation ppp
load-interval 30
dialer in-band
dialer hold-queue 10
dialer-group 1
peer default ip address pool default
no cdp enable
ppp authentication pap chap
ppp multilink
!
router rip
version 2
redistribute connected
redistribute static
network 192.168.1.0
network 192.168.2.0
network 192.168.3.0
network 192.168.4.0
network 192.168.5.0
network 192.168.6.0
network 192.168.7.0
network 192.168.8.0
network 192.168.10.0
network 192.168.11.0
network 192.168.12.0
neighbor 192.168.11.1
neighbor 192.168.6.1
neighbor 192.168.3.1
neighbor 192.168.4.1
neighbor 192.168.5.1
neighbor 192.168.8.1
neighbor 192.168.10.1
!
ip local pool default 192.168.2.80 192.168.2.90
ip local pool vpnpool 192.168.14.1 192.168.14.10
ip nat inside source list Internet interface Serial0/0 overload
no ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 212.82.196.169
ip route 192.168.1.0 255.255.255.0 192.168.2.100
ip route 192.168.7.0 255.255.255.0 192.168.2.242
ip route 192.168.9.0 255.255.255.0 192.168.2.99 name Infocom
ip route 192.168.10.0 255.255.255.0 192.168.2.55
ip route 192.168.12.0 255.255.255.0 192.168.2.130
!
!
snmp-server engineID local 0000000902000007EB9D6400
snmp-server community public RO
!
!
ntp clock-period 17180607
ntp source FastEthernet0/0
ntp master 12
ntp server 192.168.1.1 source FastEthernet0/0
ntp peer 192.168.2.100 prefer
ntp server 193.193.193.113
!
end

Теперь вопрос: когда VPN Client'ом пытаюсь подключится, то в дебаге циски вижу, что:
IPSEC(validate_transform_proposal): invalid local address 212.*.59.* ?!?!?! Наставте на путь истенный....

Содержание
Сообщения в этом обсуждении
"Гуру, помогите с VPN 2620"
Отправлено Jethro Tull , 10-Янв-06 13:43 
Посмотри здесь:
http://216.239.59.104/search?q=cache:l6XN5ZoTK6UJ:www.cisco....):+invalid+local+address&hl=ru
"Гуру, помогите с VPN 2620"
Отправлено Изгой , 10-Янв-06 15:08 
>Посмотри здесь:
>http://216.239.59.104/search?q=cache:l6XN5ZoTK6UJ:www.cisco....):+invalid+local+address&hl=ru

А к какому адресу вы подсоединяетесь клиентом ?

"Гуру, помогите с VPN 2620"
Отправлено Mad_Max , 10-Янв-06 15:14 
>>Посмотри здесь:
>>http://216.239.59.104/search?q=cache:l6XN5ZoTK6UJ:www.cisco....):+invalid+local+address&hl=ru
>
>А к какому адресу вы подсоединяетесь клиентом ?

К тому, на который она ругается...

По ссылке ходил.... С моей точки зрения crypto map привязан к правильному интерфейсу(поправте если не прав), а задание руками local-address не даёт результатов....

"Гуру, помогите с VPN 2620"
Отправлено Изгой , 10-Янв-06 15:14 
>>Посмотри здесь:
>>http://216.239.59.104/search?q=cache:l6XN5ZoTK6UJ:www.cisco....):+invalid+local+address&hl=ru
>
>А к какому адресу вы подсоединяетесь клиентом ?

Попробуйте его сделать гавным , а второй секондри.

"Гуру, помогите с VPN 2620"
Отправлено Изгой , 10-Янв-06 15:17 
>>>Посмотри здесь:
>>>http://216.239.59.104/search?q=cache:l6XN5ZoTK6UJ:www.cisco....):+invalid+local+address&hl=ru
>>
>>А к какому адресу вы подсоединяетесь клиентом ?
>
>Попробуйте его сделать гавным , а второй секондри.


Да немного неправильно , задал вопрос , вы через инет подключаетесь , или из внутренней сети ?

"Гуру, помогите с VPN 2620"
Отправлено Mad_Max , 10-Янв-06 15:21 
>>>>Посмотри здесь:
>>>>http://216.239.59.104/search?q=cache:l6XN5ZoTK6UJ:www.cisco....):+invalid+local+address&hl=ru
>>>
>>>А к какому адресу вы подсоединяетесь клиентом ?
>>
>>Попробуйте его сделать гавным , а второй секондри.
>
>
>Да немного неправильно , задал вопрос , вы через инет подключаетесь ,
>или из внутренней сети ?


Пытаюсь подключится с одного из реальных ИП выданных провайдером, он из той же подсети что и адрес на который ругается...

"Гуру, помогите с VPN 2620"
Отправлено Mad_Max , 10-Янв-06 15:18 
>>>Посмотри здесь:
>>>http://216.239.59.104/search?q=cache:l6XN5ZoTK6UJ:www.cisco....):+invalid+local+address&hl=ru
>>
>>А к какому адресу вы подсоединяетесь клиентом ?
>
>Попробуйте его сделать гавным , а второй секондри.

Это я уже делал... Как не странно, заработало, НО у меня на неё ещё филиалы через ISDN звонят, для работы в терминале, так вот если я этот адрес делаю первым, то филиалы перестают работать. Т.е. дозваниваются, а дальше всё...


"Гуру, помогите с VPN 2620"
Отправлено Изгой , 10-Янв-06 15:37 
>>>>Посмотри здесь:
>>>>http://216.239.59.104/search?q=cache:l6XN5ZoTK6UJ:www.cisco....):+invalid+local+address&hl=ru
>>>
>>>А к какому адресу вы подсоединяетесь клиентом ?
>>
>>Попробуйте его сделать гавным , а второй секондри.
>
>Это я уже делал... Как не странно, заработало, НО у меня на
>неё ещё филиалы через ISDN звонят, для работы в терминале, так
>вот если я этот адрес делаю первым, то филиалы перестают работать.
>Т.е. дозваниваются, а дальше всё...
Sh ip route  с подсоединёнными клиентами... по впн, покажь

"Гуру, помогите с VPN 2620"
Отправлено Изгой , 10-Янв-06 15:42 
>>>>>Посмотри здесь:
>>>>>http://216.239.59.104/search?q=cache:l6XN5ZoTK6UJ:www.cisco....):+invalid+local+address&hl=ru
>>>>
>>>>А к какому адресу вы подсоединяетесь клиентом ?
>>>
>>>Попробуйте его сделать гавным , а второй секондри.
>>
>>Это я уже делал... Как не странно, заработало, НО у меня на
>>неё ещё филиалы через ISDN звонят, для работы в терминале, так
>>вот если я этот адрес делаю первым, то филиалы перестают работать.
>>Т.е. дозваниваются, а дальше всё...
>Мда головная боль..однако.а нелзя подключаться на серый адресс ?

"Гуру, помогите с VPN 2620"
Отправлено Mad_Max , 10-Янв-06 15:57 
>>>>>>Посмотри здесь:
>>>>>>http://216.239.59.104/search?q=cache:l6XN5ZoTK6UJ:www.cisco....):+invalid+local+address&hl=ru
>>>>>
>>>>>А к какому адресу вы подсоединяетесь клиентом ?
>>>>
>>>>Попробуйте его сделать гавным , а второй секондри.
>>>
>>>Это я уже делал... Как не странно, заработало, НО у меня на
>>>неё ещё филиалы через ISDN звонят, для работы в терминале, так
>>>вот если я этот адрес делаю первым, то филиалы перестают работать.
>>>Т.е. дозваниваются, а дальше всё...
>>Мда головная боль..однако.а нелзя подключаться на серый адресс ?

     212.82.*.0/29 is subnetted, 1 subnets
C       212.*.*.168 is directly connected, Serial0/0
     212.*.59.0/29 is subnetted, 1 subnets
C       212.*.59.* is directly connected, FastEthernet0/0
R    192.168.8.0/24 [120/1] via 192.168.2.80, 00:00:15, Dialer1
S    192.168.9.0/24 [1/0] via 192.168.2.99
S    192.168.10.0/24 [1/0] via 192.168.2.55
R    192.168.11.0/24 [120/1] via 192.168.2.84, 00:00:09, Dialer1
R    192.168.4.0/24 [120/1] via 192.168.2.82, 00:00:26, Dialer1
R    192.168.5.0/24 [120/1] via 192.168.2.83, 00:00:19, Dialer1
R    192.168.6.0/24 [120/1] via 192.168.2.85, 00:00:07, Dialer1
S    192.168.7.0/24 [1/0] via 192.168.2.242
S    192.168.1.0/24 [1/0] via 192.168.2.100
     192.168.2.0/24 is variably subnetted, 7 subnets, 2 masks
C       192.168.2.82/32 is directly connected, Dialer1
C       192.168.2.83/32 is directly connected, Dialer1
C       192.168.2.80/32 is directly connected, Dialer1
C       192.168.2.81/32 is directly connected, Dialer1
C       192.168.2.84/32 is directly connected, Dialer1
C       192.168.2.85/32 is directly connected, Dialer1
C       192.168.2.0/24 is directly connected, FastEthernet0/0
R    192.168.3.0/24 [120/1] via 192.168.2.81, 00:00:20, Dialer1
S*   0.0.0.0/0 [1/0] via 212.82.*.*

Ты имеешь ввиду ISDN на серый?! Так они и так при подключении серый получают...

"Гуру, помогите с VPN 2620"
Отправлено Изгой , 10-Янв-06 16:07 
>>>>>>>Посмотри здесь:
>>>>>>>http://216.239.59.104/search?q=cache:l6XN5ZoTK6UJ:www.cisco....):+invalid+local+address&hl=ru
>>>>>>
>>>>>>А к какому адресу вы подсоединяетесь клиентом ?
>>>>>
>>>>>Попробуйте его сделать гавным , а второй секондри.
>>>>
>>>>Это я уже делал... Как не странно, заработало, НО у меня на
>>>>неё ещё филиалы через ISDN звонят, для работы в терминале, так
>>>>вот если я этот адрес делаю первым, то филиалы перестают работать.
>>>>Т.е. дозваниваются, а дальше всё...
>>>Мда головная боль..однако.а нелзя подключаться на серый адресс ?
>
>     212.82.*.0/29 is subnetted, 1 subnets
>C       212.*.*.168 is directly connected, Serial0/0
>
>     212.*.59.0/29 is subnetted, 1 subnets
>C       212.*.59.* is directly connected, FastEthernet0/0
>
>R    192.168.8.0/24 [120/1] via 192.168.2.80, 00:00:15, Dialer1
>S    192.168.9.0/24 [1/0] via 192.168.2.99
>S    192.168.10.0/24 [1/0] via 192.168.2.55
>R    192.168.11.0/24 [120/1] via 192.168.2.84, 00:00:09, Dialer1
>R    192.168.4.0/24 [120/1] via 192.168.2.82, 00:00:26, Dialer1
>R    192.168.5.0/24 [120/1] via 192.168.2.83, 00:00:19, Dialer1
>R    192.168.6.0/24 [120/1] via 192.168.2.85, 00:00:07, Dialer1
>S    192.168.7.0/24 [1/0] via 192.168.2.242
>S    192.168.1.0/24 [1/0] via 192.168.2.100
>     192.168.2.0/24 is variably subnetted, 7 subnets, 2
>masks
>C       192.168.2.82/32 is directly connected, Dialer1
>
>C       192.168.2.83/32 is directly connected, Dialer1
>
>C       192.168.2.80/32 is directly connected, Dialer1
>
>C       192.168.2.81/32 is directly connected, Dialer1
>
>C       192.168.2.84/32 is directly connected, Dialer1
>
>C       192.168.2.85/32 is directly connected, Dialer1
>
>C       192.168.2.0/24 is directly connected, FastEthernet0/0
>
>R    192.168.3.0/24 [120/1] via 192.168.2.81, 00:00:20, Dialer1
>S*   0.0.0.0/0 [1/0] via 212.82.*.*
>
>Ты имеешь ввиду ISDN на серый?! Так они и так при подключении
>серый получают...

Знаешь если честно я чё то плавую , кто у тебя откуда подключаеться ,
Так ну теперь при подключение когда у тебя секондри становиться главным , с подключенным , sh ip route

Про серые я говорил что если ты подключаешься изнутри а потом в инет уходят через нат зачём тебе белый адресс секондри оставь один и подключайся к нему , а нат можно пустить через белый адрес выданый провом.

"Гуру, помогите с VPN 2620"
Отправлено Изгой , 10-Янв-06 16:34 
>>>>>>>>Посмотри здесь:
>>>>>>>>http://216.239.59.104/search?q=cache:l6XN5ZoTK6UJ:www.cisco....):+invalid+local+address&hl=ru
>>>>>>>
>>>>>>>А к какому адресу вы подсоединяетесь клиентом ?
>>>>>>
>>>>>>Попробуйте его сделать гавным , а второй секондри.
>>>>>
>>>>>Это я уже делал... Как не странно, заработало, НО у меня на
>>>>>неё ещё филиалы через ISDN звонят, для работы в терминале, так
>>>>>вот если я этот адрес делаю первым, то филиалы перестают работать.
>>>>>Т.е. дозваниваются, а дальше всё...
>>>>Мда головная боль..однако.а нелзя подключаться на серый адресс ?
>>
>>     212.82.*.0/29 is subnetted, 1 subnets
>>C       212.*.*.168 is directly connected, Serial0/0
>>
>>     212.*.59.0/29 is subnetted, 1 subnets
>>C       212.*.59.* is directly connected, FastEthernet0/0
>>
>>R    192.168.8.0/24 [120/1] via 192.168.2.80, 00:00:15, Dialer1
>>S    192.168.9.0/24 [1/0] via 192.168.2.99
>>S    192.168.10.0/24 [1/0] via 192.168.2.55
>>R    192.168.11.0/24 [120/1] via 192.168.2.84, 00:00:09, Dialer1
>>R    192.168.4.0/24 [120/1] via 192.168.2.82, 00:00:26, Dialer1
>>R    192.168.5.0/24 [120/1] via 192.168.2.83, 00:00:19, Dialer1
>>R    192.168.6.0/24 [120/1] via 192.168.2.85, 00:00:07, Dialer1
>>S    192.168.7.0/24 [1/0] via 192.168.2.242
>>S    192.168.1.0/24 [1/0] via 192.168.2.100
>>     192.168.2.0/24 is variably subnetted, 7 subnets, 2
>>masks
>>C       192.168.2.82/32 is directly connected, Dialer1
>>
>>C       192.168.2.83/32 is directly connected, Dialer1
>>
>>C       192.168.2.80/32 is directly connected, Dialer1
>>
>>C       192.168.2.81/32 is directly connected, Dialer1
>>
>>C       192.168.2.84/32 is directly connected, Dialer1
>>
>>C       192.168.2.85/32 is directly connected, Dialer1
>>
>>C       192.168.2.0/24 is directly connected, FastEthernet0/0
>>
>>R    192.168.3.0/24 [120/1] via 192.168.2.81, 00:00:20, Dialer1
>>S*   0.0.0.0/0 [1/0] via 212.82.*.*
>>
>>Ты имеешь ввиду ISDN на серый?! Так они и так при подключении
>>серый получают...
>
>Знаешь если честно я чё то плавую , кто у тебя откуда
>подключаеться ,
>Так ну теперь при подключение когда у тебя секондри становиться главным ,
>с подключенным , sh ip route
>
>Про серые я говорил что если ты подключаешься изнутри а потом в
>инет уходят через нат зачём тебе белый адресс секондри оставь один
>и подключайся к нему , а нат можно пустить через белый
>адрес выданый провом.

Тут пробывал на стенде, с секендри адресом , тоже не получаеться , пороль даёт ввести , а дальше скидывает.