В тренировочных целях пытаюсь сделать подключение при помощи Cisco VPN Client 4.8.00.0440
Вопрос изучил обстоятельно, прочитал много литературы :-)
Решил начать с простого. Имеем:
Комп по ethernet-у подключен к 1751, сеть 2.0.0.0/24
Та в свою очередь подключена к 7206, сеть 172.16.130.0/24
Цель - сделать туннель до 7206.
На машине несколько сетевухEthernet adapter VLAN18:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Desktop Adapter - VLAN : VLAN18
Physical Address. . . . . . . . . : 00-07-E8-09-5B-D4
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 10.110.10.10
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 10.92.1.100
Ethernet adapter VLAN90:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Desktop Adapter - VLAN : VLAN90
Physical Address. . . . . . . . . : 00-07-E8-09-5B-D4
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.10.90
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
NetBIOS over Tcpip. . . . . . . . : Disabled
Ethernet adapter TEST:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connection
Physical Address. . . . . . . . . : 00-13-21-47-3A-4D
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 2.0.0.10
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 2.0.0.1
Маршруты:
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 2.0.0.1 2.0.0.10 1
2.0.0.0 255.255.255.0 2.0.0.10 2.0.0.10 20
2.0.0.0 255.255.255.0 2.0.0.1 2.0.0.10 1
2.0.0.10 255.255.255.255 127.0.0.1 127.0.0.1 20
2.255.255.255 255.255.255.255 2.0.0.10 2.0.0.10 20
10.0.0.0 255.0.0.0 10.110.10.1 10.110.10.10 1
10.110.10.0 255.255.255.0 10.110.10.10 10.110.10.10 10
10.110.10.10 255.255.255.255 127.0.0.1 127.0.0.1 10
10.255.255.255 255.255.255.255 10.110.10.10 10.110.10.10 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
172.31.1.0 255.255.255.0 10.110.10.1 10.110.10.10 1
192.168.1.0 255.255.255.0 192.168.10.1 192.168.10.90 1
192.168.10.0 255.255.255.0 192.168.10.90 192.168.10.90 10
192.168.10.90 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.10.255 255.255.255.255 192.168.10.90 192.168.10.90 10
224.0.0.0 240.0.0.0 2.0.0.10 2.0.0.10 20
224.0.0.0 240.0.0.0 10.110.10.10 10.110.10.10 10
224.0.0.0 240.0.0.0 192.168.10.90 192.168.10.90 10
255.255.255.255 255.255.255.255 2.0.0.10 2.0.0.10 1
255.255.255.255 255.255.255.255 10.110.10.10 10.110.10.10 1
255.255.255.255 255.255.255.255 192.168.10.90 192.168.10.90 1
Default Gateway: 2.0.0.1
===========================================================================
Persistent Routes:
None
На 7206 иос c7200-jk9o3s-mz.124-7.bin
Конфиг
7206_IPS#sh run
Building configuration...
Current configuration : 1865 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 7206_IPS
!
boot-start-marker
boot system flash disk1:/c7200-jk9o3s-mz.124-7.bin
boot system flash disk1:/c7200-js-mz.124-5.bin
boot bootldr slot0:c7200-kboot-mz.124-5.bin
warm-reboot count 1
boot-end-marker
!
enable secret 5 $1$dyHD$KnLmclAnVqdGsSfHKTPlP0
!
aaa new-model
!
!
aaa authentication login client local
aaa authorization network group local
!
aaa session-id common
!
resource policy
!
!
!
ip cef
!
!
username test privilege 15 password 7 1403171818
username cisco privilege 15 secret 5 $1$KLou$/HEe/0DMWgwGdMhbLqmbH0
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group testgroup
key cisco123
pool ippool
crypto isakmp profile VPNclient
match identity group testgroup
client authentication list client
isakmp authorization list group
client configuration address respond
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
set isakmp-profile VPNclient
!
!
crypto map mymap 10 ipsec-isakmp dynamic dynmap
!
interface FastEthernet0/0
no ip address
duplex full
!
interface FastEthernet0/0.1
encapsulation dot1Q 1 native
ip address 172.16.130.5 255.255.255.0
no snmp trap link-status
crypto map mymap
!
router eigrp 1
redistribute connected
network 172.16.0.0
no auto-summary
!
ip local pool ippool 70.0.0.10 70.0.0.20
!
no ip http server
no ip http secure-server
!
...
SH IP ROUTE
Gateway of last resort is not set
2.0.0.0/24 is subnetted, 1 subnets
D 2.0.0.0 [90/30720] via 172.16.130.1, 03:51:04, FastEthernet0/0.1
4.0.0.0/24 is subnetted, 1 subnets
D 4.0.0.0 [90/30720] via 172.16.130.2, 00:45:57, FastEthernet0/0.1
172.16.0.0/24 is subnetted, 1 subnets
C 172.16.130.0 is directly connected, FastEthernet0/0.1
7206_IPS#ping 2.0.0.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2.0.0.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
7206_IPS#
Так вот, при попытке соединения VPN клиентом дело доходит до Negotiating Security Policy и на этом дело останавливается, загрузка проца у компа подскакивает до 99%, перестают пинговаться ВСЕ сети, а не только те, что на сетевухе с адресом 2.0.0.10
Разборки с дебагом показали, что дело стопорится на
*May 4 10:25:02.969: ISAKMP:(0:1:SW:1):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
*May 4 10:25:02.969: ISAKMP:(0:1:SW:1):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE
7206_IPS#sh crypto isakmp sa
dst src state conn-id slot status
172.16.130.5 2.0.0.10 QM_IDLE 1 0 ACTIVE VPNclient
Т.е. после этого рутер не получает от 2.0.0.10 никаких пакетов. Соответственно и никакие "negotiating security policy" не проходят.
Экспериментировал со split tunneling-ом, не помогло, но чувствую что не в этом дело.
Пробовал с другой машины - та же история. Файрвол на компе отключил сразу.
Что-то я похоже в этом клиенте не понял.
Кстати, клиент добавляет в список сетевух свой адаптер, но он disable и если его раздисейбл, то он вскоре снова отключается.
Вариант для распечатки
Маршрутизаторы CISCO и др. оборудование. (Public)
(ok) on 04-Май-06, 11:31 
