forum.opennet.ru - "Easy VPN 1811-871

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Easy VPN 1811-871 - вопрос"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Easy VPN 1811-871 - вопрос"
Сообщение от Антон (??) on 21-Ноя-06, 19:30
Здравствуйте, есть Cisco 1811 и Cisco 871, оба 12.4 avanced ip. 1811 настраиваю как Easy VPN Server, 871 - как Easy VPN remote. Всё делается в SDM - т.е. ошибиться очень сложно :) Туннель поднимается, его видно в SDM, однако пакеты между защищаемыми сетями не проходят. Более того, если на одной и рабочих станций дать tracert до ip-адреса из другой защищаемой сети, то роутер маршрутизирует этот пакет не в установленный туннель, а пытается использовать маршрут по умолчанию - к провайдеру :( Если же к Easy VPN Server подсоединяться из Интернет с помощью софтового клиента (Cisco VPN клиент), то все ОК. Пожалуйста, помогите советом. Спасибо, Антон
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Easy VPN 1811-871 - вопрос, Val, 14:55 , 22-Ноя-06, (1)

Easy VPN 1811-871 - вопрос, Антон, 15:24 , 22-Ноя-06, (2)

Easy VPN 1811-871 - вопрос, Val, 15:54 , 22-Ноя-06, (3)

Easy VPN 1811-871 - вопрос, Антон, 20:06 , 07-Дек-06, (4)

Сообщения по теме [Сортировка по времени, UBB]

1. "Easy VPN 1811-871 - вопрос"

Сообщение от Val (??) on 22-Ноя-06, 14:55

>Здравствуйте,
>
>есть Cisco 1811 и Cisco 871, оба 12.4 avanced ip.
>
>1811 настраиваю как Easy VPN Server, 871 - как Easy VPN remote.
>Всё делается в SDM - т.е. ошибиться очень сложно :) Туннель
>поднимается, его видно в SDM, однако пакеты между защищаемыми сетями не
>проходят. Более того, если на одной и рабочих станций дать tracert
>до ip-адреса из другой защищаемой сети, то роутер маршрутизирует этот пакет
>не в установленный туннель, а пытается использовать маршрут по умолчанию -
>к провайдеру :(
>
>Если же к Easy VPN Server подсоединяться из Интернет с помощью софтового
>клиента (Cisco VPN клиент), то все ОК.
>
>Пожалуйста, помогите советом.
>
>Спасибо,
>Антон
Проверяйте ACL-ы на НАТ-е и IPSec. SDM иногда чудные конфигурации создает. Но самое главное - почему не Site-to-Site VPN?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Easy VPN 1811-871 - вопрос"

Сообщение от Антон (??) on 22-Ноя-06, 15:24

>Проверяйте ACL-ы на НАТ-е и IPSec. SDM иногда чудные конфигурации создает. Но
>самое главное - почему не Site-to-Site VPN?
Спасибо за информацию,
ACL (на взгляд не-специалиста по IOS) выглядят прилично. Site-to-Site, насколько я понимаю - это классический IPSec VPN, при котором настраиваются оба роутера. При изменении настроек на одном второй нужно перенастраивать. Плюс нет возможности Fail-over. Easy VPN, насколько я понял, по замыслу Cisco, это упрощение труда по администрированию, формируется логичская структура "ведущий-ведомые", подробно настраивается Easy VPN Server, Easy VPN Remote авторизуется, получает настройки с сервера и поднимает туннель. Плюс для Remote можно указать backup server, если основной откажет.
Подобный функционал предусматривается и в DMVPN, но там формируются также GRE-туннели.
Спасибо,
Антон

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Easy VPN 1811-871 - вопрос"

Сообщение от Val (??) on 22-Ноя-06, 15:54

>>Проверяйте ACL-ы на НАТ-е и IPSec. SDM иногда чудные конфигурации создает. Но
>>самое главное - почему не Site-to-Site VPN?
>
>Спасибо за информацию,
>
>ACL (на взгляд не-специалиста по IOS) выглядят прилично. Site-to-Site, насколько я понимаю
>- это классический IPSec VPN, при котором настраиваются оба роутера. При
>изменении настроек на одном второй нужно перенастраивать. Плюс нет возможности Fail-over.
>Easy VPN, насколько я понял, по замыслу Cisco, это упрощение труда
>по администрированию, формируется логичская структура "ведущий-ведомые", подробно настраивается Easy VPN Server,
>Easy VPN Remote авторизуется, получает настройки с сервера и поднимает туннель.
>Плюс для Remote можно указать backup server, если основной откажет.
>
>Подобный функционал предусматривается и в DMVPN, но там формируются также GRE-туннели.
>
>Спасибо,
>Антон
EzVPN - не менее "классичеcкий" IPSec :)), и удаленный роутер, как и VPN Client, тоже должен настраиваться (адрес peer -а, ключи или сертификаты, и т.д.), и нужен там, где у клиентов динамический ай-пи. У Вас так?
Политика для клиентов одинаковая или разная? Reverce route - прописывается?
"Приличные" ACL-ы доступ на другой конец - разрешают?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Easy VPN 1811-871 - вопрос"

Сообщение от Антон (??) on 07-Дек-06, 20:06

Здравствуйте,
разобрался в ситуации - действительно, ACL на НАТ-е исправно НАТ-ил трафик и не давал ему попасть в туннель.
Спасибо,
Антон

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Easy VPN 1811-871 - вопрос"
Сообщение от Val (??) on 22-Ноя-06, 14:55
>Здравствуйте, > >есть Cisco 1811 и Cisco 871, оба 12.4 avanced ip. > >1811 настраиваю как Easy VPN Server, 871 - как Easy VPN remote. >Всё делается в SDM - т.е. ошибиться очень сложно :) Туннель >поднимается, его видно в SDM, однако пакеты между защищаемыми сетями не >проходят. Более того, если на одной и рабочих станций дать tracert >до ip-адреса из другой защищаемой сети, то роутер маршрутизирует этот пакет >не в установленный туннель, а пытается использовать маршрут по умолчанию - >к провайдеру :( > >Если же к Easy VPN Server подсоединяться из Интернет с помощью софтового >клиента (Cisco VPN клиент), то все ОК. > >Пожалуйста, помогите советом. > >Спасибо, >Антон Проверяйте ACL-ы на НАТ-е и IPSec. SDM иногда чудные конфигурации создает. Но самое главное - почему не Site-to-Site VPN?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Easy VPN 1811-871 - вопрос"
	Сообщение от Антон (??) on 22-Ноя-06, 15:24
	>Проверяйте ACL-ы на НАТ-е и IPSec. SDM иногда чудные конфигурации создает. Но >самое главное - почему не Site-to-Site VPN? Спасибо за информацию, ACL (на взгляд не-специалиста по IOS) выглядят прилично. Site-to-Site, насколько я понимаю - это классический IPSec VPN, при котором настраиваются оба роутера. При изменении настроек на одном второй нужно перенастраивать. Плюс нет возможности Fail-over. Easy VPN, насколько я понял, по замыслу Cisco, это упрощение труда по администрированию, формируется логичская структура "ведущий-ведомые", подробно настраивается Easy VPN Server, Easy VPN Remote авторизуется, получает настройки с сервера и поднимает туннель. Плюс для Remote можно указать backup server, если основной откажет. Подобный функционал предусматривается и в DMVPN, но там формируются также GRE-туннели. Спасибо, Антон
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Easy VPN 1811-871 - вопрос"
	Сообщение от Val (??) on 22-Ноя-06, 15:54
	>>Проверяйте ACL-ы на НАТ-е и IPSec. SDM иногда чудные конфигурации создает. Но >>самое главное - почему не Site-to-Site VPN? > >Спасибо за информацию, > >ACL (на взгляд не-специалиста по IOS) выглядят прилично. Site-to-Site, насколько я понимаю >- это классический IPSec VPN, при котором настраиваются оба роутера. При >изменении настроек на одном второй нужно перенастраивать. Плюс нет возможности Fail-over. >Easy VPN, насколько я понял, по замыслу Cisco, это упрощение труда >по администрированию, формируется логичская структура "ведущий-ведомые", подробно настраивается Easy VPN Server, >Easy VPN Remote авторизуется, получает настройки с сервера и поднимает туннель. >Плюс для Remote можно указать backup server, если основной откажет. > >Подобный функционал предусматривается и в DMVPN, но там формируются также GRE-туннели. > >Спасибо, >Антон EzVPN - не менее "классичеcкий" IPSec :)), и удаленный роутер, как и VPN Client, тоже должен настраиваться (адрес peer -а, ключи или сертификаты, и т.д.), и нужен там, где у клиентов динамический ай-пи. У Вас так? Политика для клиентов одинаковая или разная? Reverce route - прописывается? "Приличные" ACL-ы доступ на другой конец - разрешают?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Easy VPN 1811-871 - вопрос"
	Сообщение от Антон (??) on 07-Дек-06, 20:06
	Здравствуйте, разобрался в ситуации - действительно, ACL на НАТ-е исправно НАТ-ил трафик и не давал ему попасть в туннель. Спасибо, Антон
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]