форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Easy vpn problem"

Сообщение от Andrew (??) on 17-Мрт-06, 18:29

Доброго времени суток!!! Имеется следующая схема ... cisco vpn client ------ Internet ----- Cisco2620 --- Lan cisco vpn client коннектится к cisco2620, но доступа в Lan нет. Господа помогите разобраться с конвигом. Current configuration : 2019 bytes ! version 12.2 service config service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname VPNtest ! logging queue-limit 100 enable secret 5 $1$RCRI$no8otFK4Pxi1t6t2JuP7D/ ! username vpntest password 7 096F5C100911183B180D0F273B047A636574 aaa new-model aaa authorization network vpn-access local aaa session-id common ip subnet-zero ! ! ! ip audit notify log ip audit po max-events 100 ! ! ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp keepalive 10 5 crypto isakmp client configuration address-pool local dynpool ! crypto isakmp client configuration group vpn-access key 123456 pool dynpool acl 150 ! ! crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac ! crypto dynamic-map dynmap 1 set transform-set transform-1 reverse-route ! ! crypto map dynmap client authentication list vpn-access crypto map dynmap isakmp authorization list vpn-access crypto map dynmap client configuration address initiate crypto map dynmap client configuration address respond crypto map dynmap 1 ipsec-isakmp dynamic dynmap ! ! ! ! ! ! ! ! ! ! no voice hpi capture buffer no voice hpi capture destination ! ! mta receive maximum-recipients 0 ! ! ! ! interface FastEthernet0/0 description Internet ip address x.x.x.x 255.255.255.240 duplex auto speed auto crypto map dynmap ! interface FastEthernet0/1 ip address 192.168.1.250 255.255.255.0 duplex auto speed auto ! ip local pool dynpool 192.168.10.1 192.168.10.9 ip http server no ip http secure-server ip classless ip route 0.0.0.0 0.0.0.0 x.x.x.x ! ! ! access-list 150 permit ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255 ! call rsvp-sync ! ! mgcp profile default ! dial-peer cor custom ! ! ! ! ! line con 0 line aux 0 line vty 0 4 ! ! end

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "Easy vpn problem"

Сообщение от sh_ (??) on 17-Мрт-06, 18:40

no access-list 150 permit ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 150 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Easy vpn problem"
	Сообщение от Andrew (??) on 17-Мрт-06, 18:46
	>no access-list 150 permit ip 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255 >access-list 150 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255 Спасибо за ответ, но... Не помогло
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Easy vpn problem"
	Сообщение от sh_ (??) on 18-Мрт-06, 07:52
	route print покажи с того места, откуда законнектился...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Easy vpn problem"
	Сообщение от andrew (??) on 23-Мрт-06, 16:30
	>route print покажи с того места, откуда законнектился... C:\Documents and Settings\Administrator>route print =========================================================================== Interface List 0x1 ........................... MS TCP Loopback interface 0x370003 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface 0x370004 ...00 05 9a 3c 78 00 ...... Cisco Systems VPN Adapter - Packet Schedule r Miniport =========================================================================== =========================================================================== Active Routes: Network Destination        Netmask          Gateway       Interface  Metric           0.0.0.0          0.0.0.0     212.0.195.25    212.0.195.25       1         127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1       192.168.1.0    255.255.255.0     192.168.10.1    192.168.10.1       1      192.168.10.0    255.255.255.0     192.168.10.1    192.168.10.1       10      192.168.10.1  255.255.255.255        127.0.0.1       127.0.0.1       10    192.168.10.255  255.255.255.255     192.168.10.1    192.168.10.1       10       212.0.193.1  255.255.255.255     212.0.195.25    212.0.195.25       1      212.0.195.25  255.255.255.255        127.0.0.1       127.0.0.1       50     212.0.195.255  255.255.255.255     212.0.195.25    212.0.195.25       50    217.12.118.183  255.255.255.255     212.0.195.25    212.0.195.25       1         224.0.0.0        240.0.0.0     192.168.10.1    192.168.10.1       10         224.0.0.0        240.0.0.0     212.0.195.25    212.0.195.25       1   255.255.255.255  255.255.255.255     192.168.10.1    192.168.10.1       1 Default Gateway:      212.0.195.25 =========================================================================== Persistent Routes:   None
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Easy vpn problem"
	Сообщение от sh_ (??) on 23-Мрт-06, 18:59
	Все у вас должно работать!!! :) Почему вы решили, что не работает? Когда вы приконнектились к циске, 192.168.10.1 пингуется? Покажите трейс с компьютера в LAN.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Easy vpn problem"
	Сообщение от andrew (??) on 23-Мрт-06, 19:43
	>Все у вас должно работать!!! :) Почему вы решили, что не работает? >Когда вы приконнектились к циске, 192.168.10.1 пингуется? Покажите трейс с компьютера >в LAN. 1. 192.168.10.1 пингуется 2. trace вообще не проходит, request timeout 3. Вот лог vpn клиента 1      18:38:06.178  03/23/06  Sev=Warning/3    CM/0xA310002C Adapter address changed from 212.0.194.142.  Current address(es): 192.168.10.1. 2      18:38:06.178  03/23/06  Sev=Warning/3    IKE/0xE3000068 Failed to send 76 bytes to 217.12.119.138, error = 0xFFFFFFF0 3      18:38:06.178  03/23/06  Sev=Warning/3    IKE/0xE3000068 Failed to send 84 bytes to 217.12.119.138, error = 0xFFFFFFF0 и в статусе показывает bites out: 5065, а bytes in : 0
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Easy vpn problem"

Сообщение от sable (??) on 18-Мрт-06, 11:59

Либо используй split-tunnel, либо поднимай nat. Понятно, что в этой конфигурации клиент "в мир" ходить лишен возможности.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Easy vpn problem"
	Сообщение от andrew (??) on 28-Мрт-06, 12:57
	>Либо используй split-tunnel, либо поднимай nat. Понятно, что в этой конфигурации клиент >"в мир" ходить лишен возможности. Configuring Split Tunneling When split tunneling is enabled, it allows an Easy VPN Remote device to send traffic directly to the Internet and not across the tunnel to the Easy VPN Server. However, split tunneling can be a security risk because hackers can potentially get direct access to the Easy VPN Remote device. To configure split tunneling, use the following syntax: Router(config-isakmp-group)# acl number If you were using access list 159, the command you enter would look like the following: Router(config-isakmp-group)# acl 159 Вроде в конфиге acl прописан.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Easy vpn problem"
	Сообщение от sable (??) on 30-Мрт-06, 12:16
	Я бы посоветовал сделать так: 1. Убрать "acl 150" из "crypto isakmp client configuration group vpn-access", отключить split-tunnel. 2. Учитывая отсутствие split-tunnel (весь трафик идет, точнее - должен идти, на 1760), после соединения клиента посмотреть "show ip route" на 1760 и возможность доступа с клиента в LAN. К примеру, должны пинговаться все интерфейсы на 1760. 3. Далее действовать по обстоятельствам - если п.2 не работает, искать косяки. Если работает - включать обратно split-tunnel и бороться с маршрутизацией.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Easy vpn problem"
	Сообщение от andrew (??) on 30-Мрт-06, 13:02
	>Я бы посоветовал сделать так: >1. Убрать "acl 150" из "crypto isakmp client configuration group vpn-access", отключить >split-tunnel. >2. Учитывая отсутствие split-tunnel (весь трафик идет, точнее - должен идти, на >1760), после соединения клиента посмотреть "show ip route" на 1760 и >возможность доступа с клиента в LAN. К примеру, должны пинговаться все >интерфейсы на 1760. >3. Далее действовать по обстоятельствам - если п.2 не работает, искать косяки. >Если работает - включать обратно split-tunnel и бороться с маршрутизацией. 1. Отключил split-tunnel 2. не работает... доступа в LAN нет....даже внутренний интерфейс рутера не пингуется
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Easy vpn problem"

Сообщение от gallan (ok) on 30-Мрт-06, 11:03

попробуй добавь: ip route 192.168.10.0 255.255.255.240 FastEthernet0/0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Easy vpn problem"
	Сообщение от andrew (??) on 30-Мрт-06, 12:24
	>попробуй добавь: >ip route 192.168.10.0 255.255.255.240 FastEthernet0/0 пасиба но не помогло...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Easy vpn problem"
	Сообщение от gallan (ok) on 30-Мрт-06, 12:56
	каким клиентом соединяешься? да, access-list 150 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.15 cовет совершенно правильный, он будет добавлять маршрут клиенту (route print или netstat -rn) и есчо, конфиг полный? нет ли там дополнительных параметров, усиливающих безопасность, примененных к внутреннему интерфейсу? типа no ip redirects no ip unreachables и покажи sh ip rou
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Easy vpn problem"
	Сообщение от andrew (??) on 30-Мрт-06, 13:17
	Самое интересное, то что когда я напрямую подключаюсь к  внешнему интерфесу и прописываю на ноутбуке адрес из внешней подсети, то все нормально работает.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "Easy vpn problem"
	Сообщение от sh_ (??) on 30-Мрт-06, 15:19
	Может оно тебе надо? :) http://www.cisco.com/en/US/products/ps6350/products_configuration_guide_chapter09186a0080455c72.html#wp1027186
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "Easy vpn problem"
	Сообщение от andrew (??) on 30-Мрт-06, 16:22
	>Может оно тебе надо? :) >http://www.cisco.com/en/US/products/ps6350/products_configuration_guide_chapter09186a0080455c72.html#wp1027186 Может быть и надо :) но не помогает
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "Easy vpn problem"
	Сообщение от sh_ (??) on 30-Мрт-06, 17:13
	То есть включение crypto ipsec nat-transparency udp-encapsulation не помогает? Тогда сдаюсь. :(
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "Easy vpn problem"
	Сообщение от ВОЛКА on 30-Мрт-06, 19:57
	а текущий конфиг покажите...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "Easy vpn problem"
	Сообщение от andrew (??) on 31-Мрт-06, 09:45
	>а текущий конфиг покажите... hostname VPNtest ! logging queue-limit 100 enable secret 5 *** ! username vpntest password 7 *** aaa new-model aaa authorization network vpn-access local aaa session-id common ip subnet-zero ! ! ! ip audit notify log ip audit po max-events 100 ! ! ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp keepalive 10 5 crypto isakmp client configuration address-pool local dynpool ! crypto isakmp client configuration group vpn-access key 123456 pool dynpool acl 150 ! ! crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac ! crypto dynamic-map dynmap 1 set transform-set transform-1 reverse-route ! ! crypto map dynmap client authentication list vpn-access crypto map dynmap isakmp authorization list vpn-access crypto map dynmap client configuration address initiate crypto map dynmap client configuration address respond crypto map dynmap 1 ipsec-isakmp dynamic dynmap ! ! ! ! ! ! ! ! ! ! no voice hpi capture buffer no voice hpi capture destination ! ! mta receive maximum-recipients 0 ! ! ! ! interface FastEthernet0/0 description Internet ip address x.x.x.x 255.255.255.240 duplex auto speed auto crypto map dynmap ! interface FastEthernet0/1 ip address 192.168.1.250 255.255.255.0 duplex auto speed auto ! ip local pool dynpool 192.168.10.1 192.168.10.9 ip http server no ip http secure-server ip classless ip route 0.0.0.0 0.0.0.0 x.x.x.x ! ! ! access-list 150 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255 ! call rsvp-sync ! ! mgcp profile default ! dial-peer cor custom ! ! ! ! ! line con 0 line aux 0 line vty 0 4 ! !
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	20. "Easy vpn problem"
	Сообщение от sh_ (??) on 31-Мрт-06, 11:01
	Блин, да все у вас работает. Залил ваш конфиг к себе на рутер и проверил. Может в LAN'е на компах шлюзом не 192.168.1.250 прописано...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	21. "Easy vpn problem"
	Сообщение от andrew (??) on 31-Мрт-06, 16:34
	>Блин, да все у вас работает. Залил ваш конфиг к себе на >рутер и проверил. Может в LAN'е на компах шлюзом не 192.168.1.250 >прописано... Дык... даже внутренний ip не пингуется :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	22. "Easy vpn problem"
	Сообщение от Изгой (??) on 05-Апр-06, 09:10
	>>Блин, да все у вас работает. Залил ваш конфиг к себе на >>рутер и проверил. Может в LAN'е на компах шлюзом не 192.168.1.250 >>прописано... > > >Дык... даже внутренний ip не пингуется :) Бла бла бла , сейчас лень искать вот здесь на память надо дописать , а вообще эта тема уже разбиралась aaa new-model aaa authorization network vpn-access local aaa session-id common ( тут не хватает строчки ) - на память Поищите в избранных вроде весит, так вот при конечном работающем конфиге , конфиг приходилось периписать с 0 и ребутить циску - тогда всё заработало
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	23. "Easy vpn problem"
	Сообщение от Andrew (??) on 07-Апр-06, 17:19
	> > >Бла бла бла , сейчас лень искать >вот здесь на память надо дописать , а вообще эта тема уже >разбиралась > >aaa new-model >aaa authorization network vpn-access local >aaa session-id common ( тут не хватает строчки ) - на память hm... a po konkretnee mojno > >Поищите в избранных вроде весит, так вот при конечном работающем конфиге , >конфиг приходилось периписать с 0 и ребутить циску - тогда всё >заработало naiti ni4ego ne nashel. Tem nemenee spasibo...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	24. "Easy vpn problem"
	Сообщение от 42day (ok) on 03-Ноя-06, 17:41
	Добрый день! как на VPN с натом влияют no ip redirects и no ip unreachables?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]