Уважемые гуру, просьба подтолкнуть в нужную сторону ибо сломан уже мозг Значит имеет ферму серверов citrix в сети 192.168.3.0 за 1841 с белым IP XXX.XXX.XXX.XXX
Цитата:
Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.3(14)T7, R
ELEASE SOFTWARE (fc2)
к которой поджключаются как VPN клиенты, что отлично работает так и несколько site-2-site (D-link DIR-330 и т.п., а так-же ASA)
В новом недавно построенном здании Временно, пока ехало оборудование, установили еще один Dir-330, настроил site-2-site с головным сеть 192.168.9.0 внешний белый YYY.YYY.YYY.YYY)
Вот часть конфы по данному тунелю с 1841-й Цитата:
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 28800
crypto isakmp key ********* address YYY.YYY.YYY.YYY no-xauth
crypto isakmp keepalive 90 periodic
no crypto isakmp ccm
crypto isakmp xauth timeout 15
crypto ipsec transform-set ushakova esp-3des
crypto map CMAP_1 client authentication list sdm_vpn_xauth_ml_1
crypto map CMAP_1 isakmp authorization list sdm_vpn_group_ml_1
crypto map CMAP_1 client configuration address respond
crypto map CMAP_1 1 ipsec-isakmp
description Tunnel to YYY.YYY.YYY.YYY
set peer YYY.YYY.YYY.YYY
set transform-set ushakova
set pfs group2
match address 111
interface FastEthernet0/1
description OUT
ip address XXX.XXX.XXX.XXX 255.255.255.252
ip access-group 102 in
ip verify unicast reverse-path
ip nbar protocol-discovery
ip inspect SDM_LOW out
ip flow ingress
ip flow egress
ip ips sdm_ips_rule out
ip nat outside
ip virtual-reassembly
ip route-cache policy
ip route-cache flow
duplex auto
speed auto
crypto map CMAP_1
access-list 111 remark VPN_ACL Category=4
access-list 111 remark IPSec Rule
access-list 111 permit ip 192.168.3.0 0.0.0.255 192.168.9.0 0.0.0.255
Все пакеты ходят как надо, приложения летают.
А теперь переходим к самому интересному.
Пришла к нам его величество 3825
Цитата:
Cisco IOS Software, 3800 Software (C3825-ADVENTERPRISEK9-M), Version 12.4(22)T,
RELEASE SOFTWARE (fc1)
куски конфы
Цитата:
crypto isakmp policy 2
encr 3des
group 2
crypto isakmp key ********** address XXX.XXX.XXX.XXX no-xauth
crypto ipsec transform-set popova esp-3des
crypto map CMAP_1 1 ipsec-isakmp
description Tunnel to XXX.XXX.XXX.XXX
set peer XXX.XXX.XXX.XXX
set transform-set popova
match address 103
interface GigabitEthernet0/1
description OUT
ip address YYY.YYY.YYY.YYY 255.255.255.252
ip access-group 105 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
media-type rj45
no mop enabled
crypto map CMAP_1
access-list 103 remark VPN_ACL Category=4
access-list 103 remark IPSec Rule
access-list 103 permit ip 192.168.9.0 0.0.0.255 192.168.3.0 0.0.0.255
Тунель поднимается, хосты пингуются, сетевое окружение работает. RDP и тот без проблем, но непонятным образом перестает нормально работать citrix. Подключаемся через ICA файл. netstat -a показывает established с 1494 портом, но статус подключение выполняется у citrix висит секунд 20 и заканчивается успешным подключением только у позьзователей с административными правами. При этом если подключение увенчалось успехом, то все летает. Telnet на 1494 порт подключается без проблем. Плюс обратили внимание что дольше чем в случае использования dir-330 открываются в сетевом окружении хосты на другой стороне тунеля. Отсюда возникает мысль, что 3825 либо не все, что необходимо заворачивает в тунель (вопрос что ) ), либо, что еще более вероятно что-то из траффика не пускает в обратку.
Плюс в догонку вопрос по acl inbound на внешнем интерфейсе 3825 возник
Цитата:
access-list 105 permit icmp any host YYY.YYY.YYY.YYY
access-list 105 permit tcp any host YYY.YYY.YYY.YYY eq 443
access-list 105 permit tcp any host YYY.YYY.YYY.YYY eq 4443
access-list 105 permit udp any host YYY.YYY.YYY.YYY eq non500-isakmp
access-list 105 permit udp any host YYY.YYY.YYY.YYY eq isakmp
access-list 105 permit esp any host YYY.YYY.YYY.YYY
access-list 105 permit ahp any host YYY.YYY.YYY.YYY
access-list 105 remark Auto NTP (123) time.windows.com
access-list 105 permit udp host 207.46.197.32 eq ntp host YYY.YYY.YYY.YYY eq ntp
access-list 105 remark IPSec Rule
access-list 105 permit ip 192.168.3.0 0.0.0.255 192.168.9.0 0.0.0.255
access-list 105 remark Radmin
access-list 105 permit tcp any host yyy.yyy.yyy.yyy eq 4899
access-list 105 remark WWW
access-list 105 permit tcp any host YYY.YYY.YYY.YYY eq www
access-list 105 remark ftp
access-list 105 permit tcp any host YYY.YYY.YYY.YYY eq ftp
access-list 105 remark pop3
access-list 105 permit tcp any host YYY.YYY.YYY.YYY eq pop3
access-list 105 remark smtp
access-list 105 permit tcp any host YYY.YYY.YYY.YYY eq smtp
access-list 105 remark citrix www
access-list 105 permit tcp any host YYY.YYY.YYY.YYY eq 8080
access-list 105 remark citrix
access-list 105 permit tcp any host YYY.YYY.YYY.YYY eq 1494
access-list 105 remark WebMail
access-list 105 permit tcp any host YYY.YYY.YYY.YYY eq 3000
access-list 105 deny ip 192.0.0.0 0.255.255.255 any
access-list 105 deny ip 10.0.0.0 0.255.255.255 any
access-list 105 deny ip 172.16.0.0 0.15.255.255 any
access-list 105 deny ip 192.168.0.0 0.0.255.255 any
access-list 105 deny ip 127.0.0.0 0.255.255.255 any
access-list 105 deny ip host 0.0.0.0 any
access-list 105 deny ip host 255.255.255.255 any
в таком виде по неясным мне пока причинам пропадает траффик наружу, при том что больше ничего не денаил Цитата:
access-list 105 permit ip any YYY.YYY.YYY.YYY log
спасает, но это ведь не выход.
Прошу высказаться всех сочувствующих, любые мысли пригодятся, заранее спасибо
Вариант для распечатки
Маршрутизаторы CISCO и др. оборудование. (Public)
on 10-Ноя-08, 07:17 
