forum.opennet.ru - "LAN-2-LAN с агрегированием Remote VPN Clients" (10)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"LAN-2-LAN с агрегированием Remote VPN Clients"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"LAN-2-LAN с агрегированием Remote VPN Clients"	+/–
Сообщение от AlexLine (ok) on 22-Ноя-10, 19:28
Добрый вечер Коллеги! Столкнулся с следующей проблемой (самостоятельно решить не получается): Центральный офис: 10.0.4.0/24 - Cisco 871 Удаленный Офис: 10.0.5.0/24 - Cisco 881 В центральном офисе был настроен Remote VPN Access для Cisco VPN Клиентов. Добавляю впн лан-2-лан статический, соответственно, удаляю старую криптомапу создаю 2 новые, объединяю, вешаю на внешний интерфейс, указываю пиры, убираю НАТ с внутренних подсетей. (конфиги приведены ниже). Результат - LAN-2-LAN - не работает, sh crypto session detail (с терминирующей циски в центральном офисе) говорит следующее: Interface: FastEthernet4 Session status: DOWN Peer: 172.19.124.199 port 500 fvrf: (none) ivrf: (none) Desc: (none) Phase1_id: (none) IPSEC FLOW: permit ip 10.0.4.0/255.255.255.0 10.0.5.0/255.255.255.0 Active SAs: 0, origin: crypto map Inbound: #pkts dec'ed 0 drop 0 life (KB/Sec) 0/0 Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 0/0 sh crypto ipsec sa (с нее же) #sh crypto ipsec sa interface: FastEthernet4 Crypto map tag: clientmap, local addr 172.18.124.159 protected vrf: (none) local ident (addr/mask/prot/port): (10.0.4.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (10.0.5.0/255.255.255.0/0/0) current_peer 85.21.181.194 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 172.18.124.159, remote crypto endpt.: 172.19.124.199 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet4 current outbound spi: 0x0(0) Конфиг Циски с ЦО (принимающая подключение): version 12.4 no service pad service timestamps debug datetime msec service timestamps log datetime localtime no service password-encryption hostname rtr01 boot-start-marker boot-end-marker no logging console enable secret 5 хэш aaa new-model aaa authentication login userlist local aaa authorization network vpn-clients local aaa session-id common clock timezone MSK 3 clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 2:00 dot11 syslog ip cef no ip dhcp use vrf connected ip dhcp excluded-address 10.0.16.1 10.0.16.50 ip dhcp pool WiFi network 10.0.16.0 255.255.255.0 default-router 10.0.16.1 dns-server 10.0.4.6 no ip domain lookup ip name-server 10.0.4.6 username (список юзаков с паролями) crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key ключ address 172.19.124.199 no-xauth crypto isakmp client configuration address-pool local dynpool crypto isakmp xauth timeout 60 crypto isakmp client configuration group vpn-clients key ключ dns 10.0.4.6 domain мойдомен.com pool dynpool acl 150 netmask 255.255.255.0 crypto ipsec transform-set transform-2 esp-3des esp-md5-hmac crypto dynamic-map dynmap 10 set transform-set transform-2 reverse-route crypto map clientmap client authentication list userlist crypto map clientmap isakmp authorization list vpn-clients crypto map clientmap client configuration address respond crypto map clientmap 1 ipsec-isakmp set peer 172.19.124.199 set transform-set transform-2 match address 100 crypto map clientmap 10 ipsec-isakmp dynamic dynmap archive log config hidekeys interface FastEthernet0 interface FastEthernet1 interface FastEthernet2 switchport access vlan 2 interface FastEthernet3 switchport access vlan 2 interface FastEthernet4 description -=Internet=- ip address 172.18.124.159 255.255.255.0 ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable crypto map clientmap interface Vlan1 description -=Internal Network=- ip address 10.0.4.1 255.255.255.0 ip nat inside ip virtual-reassembly interface Vlan2 description -=WiFi=- ip address 10.0.16.1 255.255.255.0 ip nat inside ip virtual-reassembly ip local pool dynpool 10.0.18.20 10.0.18.40 ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 172.18.124.158 no ip http server no ip http secure-server ip nat inside source list nat1 interface FastEthernet4 overload ip nat inside source list nat10 interface FastEthernet4 overload ip nat inside source list nat15 interface FastEthernet4 overload ip access-list extended nat1 deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255 permit ip 10.0.4.0 0.0.0.255 any ip access-list extended nat10 deny ip 10.0.16.0 0.0.0.255 10.0.18.0 0.0.0.255 permit ip 10.0.16.0 0.0.0.255 any ip access-list extended nat15 deny ip 10.0.4.0 0.0.0.255 10.0.5.0 0.0.0.255 permit ip 10.0.4.0 0.0.0.255 any access-list 100 permit ip 10.0.4.0 0.0.0.255 10.0.5.0 0.0.0.255 access-list 150 permit ip 10.0.4.0 0.0.0.255 any access-list 150 permit ip 10.0.16.0 0.0.0.255 any snmp-server community public RO end rtr01# Конфиг циски Доп Офиса (подключающаяся): version 12.4 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname rtr02 boot-start-marker boot system flash c880data-universalk9-mz.124-24.T.bin boot-end-marker logging message-counter syslog aaa new-model aaa session-id common memory-size iomem 10 ip source-route ip dhcp excluded-address 10.0.5.1 10.0.5.70 ip dhcp pool dop network 10.0.5.0 255.255.255.0 dns-server 10.0.4.6 default-router 10.0.5.1 ip cef ip domain name мойдомен.com no ipv6 cef crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key ключ address 172.18.124.159 crypto ipsec transform-set transform-2 esp-3des esp-md5-hmac crypto map statmap 10 ipsec-isakmp set peer 172.18.124.159 set transform-set transform-2 match address 100 archive log config hidekeys interface FastEthernet0 interface FastEthernet1 interface FastEthernet2 interface FastEthernet3 interface FastEthernet4 ip address 172.19.124.199 255.255.255.252 ip broadcast-address 0.0.0.0 ip nat outside ip virtual-reassembly duplex auto speed auto crypto map statmap ! interface Vlan1 description -=internal LAN=- ip address 10.0.5.1 255.255.255.0 ip broadcast-address 10.0.5.255 ip nat inside ip virtual-reassembly ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 172.19.124.198 no ip http server no ip http secure-server ip nat inside source list nat15 interface FastEthernet4 overload ip access-list extended nat15 deny ip 10.0.5.0 0.0.0.255 10.0.4.0 0.0.0.255 permit ip 10.0.5.0 0.0.0.255 any access-list 100 permit ip 10.0.5.0 0.0.0.255 10.0.4.0 0.0.0.255 control-plane exception data-corruption buffer truncate scheduler max-task-time 5000 end Собственно говоря вооот. Коллеги, помогите, пожалйуста разобраться в ситуации. PS: Удаленные VPN Clients (динамическая криптомапа) - нормально подключаются.
Ответить \| Правка \| Cообщить модератору

Оглавление

LAN-2-LAN с агрегированием Remote VPN Clients, j_vw, 00:19 , 23-Ноя-10, (1)

LAN-2-LAN с агрегированием Remote VPN Clients, AlexLine, 00:23 , 23-Ноя-10, (2)

LAN-2-LAN с агрегированием Remote VPN Clients, j_vw, 00:50 , 23-Ноя-10, (3)

LAN-2-LAN с агрегированием Remote VPN Clients, AlexLine, 01:03 , 23-Ноя-10, (4)

LAN-2-LAN с агрегированием Remote VPN Clients, j_vw, 01:20 , 23-Ноя-10, (5)

LAN-2-LAN с агрегированием Remote VPN Clients, AlexLine, 01:28 , 23-Ноя-10, (6)

LAN-2-LAN с агрегированием Remote VPN Clients, j_vw, 01:41 , 23-Ноя-10, (7)

LAN-2-LAN с агрегированием Remote VPN Clients, j_vw, 02:05 , 23-Ноя-10, (8)

LAN-2-LAN с агрегированием Remote VPN Clients, AlexLine, 11:12 , 23-Ноя-10, (9)

LAN-2-LAN с агрегированием Remote VPN Clients, AlexLine, 00:01 , 25-Ноя-10, (10)

Сообщения по теме [Сортировка по времени | RSS]

1. "LAN-2-LAN с агрегированием Remote VPN Clients" +/–

Сообщение от j_vw on 23-Ноя-10, 00:19

Ну....
Букв много... Не разберу...
Но сыграть в "найдите 10 отличий" попробую... ;)

<<Результат - LAN-2-LAN - не работает,>>
crypto map clientmap 1 ipsec-isakmp
set peer 172.19.124.199
set transform-set transform-2
match address 100
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
<<Конфиг циски Доп Офиса (подключающаяся): >>
crypto map statmap 10 ipsec-isakmp
set peer 172.18.124.159
set transform-set transform-2
match address 100

Comments?!!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "LAN-2-LAN с агрегированием Remote VPN Clients" +/–

Сообщение от AlexLine (ok) on 23-Ноя-10, 00:23

>[оверквотинг удален]
> set peer 172.19.124.199
> set transform-set transform-2
> match address 100
> crypto map clientmap 10 ipsec-isakmp dynamic dynmap
> <<Конфиг циски Доп Офиса (подключающаяся): >>
> crypto map statmap 10 ipsec-isakmp
> set peer 172.18.124.159
> set transform-set transform-2
> match address 100
> Comments?!!
ну так для статической мапы то создан отдельный 10й криптомап на терминирующем роутере:
crypto isakmp policy 10
hash md5
authentication pre-share
и вот ответная на spoke так сказать:
rypto map statmap 10 ipsec-isakmp
> set peer 172.18.124.159
> set transform-set transform-2
> match address 100

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "LAN-2-LAN с агрегированием Remote VPN Clients" +/–

Сообщение от j_vw on 23-Ноя-10, 00:50

Так... Народ недогадливый ;)
Уточняю вопрос ;)
<<Результат - LAN-2-LAN - не работает,>>
crypto map clientmap 1 ipsec-isakmp
set peer 172.19.124.199
<<Конфиг циски Доп Офиса (подключающаяся): >>
crypto map statmap 10 ipsec-isakmp
set peer 172.18.124.159

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "LAN-2-LAN с агрегированием Remote VPN Clients" +/–

Сообщение от AlexLine (ok) on 23-Ноя-10, 01:03

> Так... Народ недогадливый ;)
> Уточняю вопрос ;)
> <<Результат - LAN-2-LAN - не работает,>>
> crypto map clientmap 1 ipsec-isakmp
> set peer 172.19.124.199
> <<Конфиг циски Доп Офиса (подключающаяся): >>
> crypto map statmap 10 ipsec-isakmp
> set peer 172.18.124.159
Так, или я уже вообще что-то очень не понимаю, либо...
у меня на роутере в ЦО 2 криптомапы:
одна динамическая - с большим приоритетом,
и одна статическая - с меньшим...
crypto map clientmap 1 ipsec-isakmp
set peer 172.19.124.199
set transform-set transform-2
match address 100
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
так для динамических впн клиентов ипользуется dynmap
для статических:
crypto map clientmap 1 ipsec-isakmp
set peer 172.19.124.199
set transform-set transform-2
match address 100
Которая объединена в crypto map clientmap 10
вот результат вывода sh crypto isakmp policy:
(кстати совпадает с выводом на 2м роутере)
Global IKE policy
Protection suite of priority 1
        encryption algorithm:   Three key triple DES
        hash algorithm:         Secure Hash Standard
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #2 (1024 bit)
        lifetime:               86400 seconds, no volume limit
Protection suite of priority 10
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
        hash algorithm:         Message Digest 5
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #1 (768 bit)
        lifetime:               86400 seconds, no volume limit
Default protection suite
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Rivest-Shamir-Adleman Signature
        Diffie-Hellman group:   #1 (768 bit)
        lifetime:               86400 seconds, no volume limit
Если что-то не понимаю, прошу не закидывать помидорами.
Что не так ? :wall:

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "LAN-2-LAN с агрегированием Remote VPN Clients" +/–

Сообщение от j_vw on 23-Ноя-10, 01:20

Прошу пощения...
Как и говорил "много букв"..
"Выжимка" конфига:
Центральный офис: 10.0.4.0/24 - Cisco 871
Удаленный Офис: 10.0.5.0/24 - Cisco 881
Конфиг Циски с ЦО (принимающая подключение):

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key *ключ* address 172.19.124.199 no-xauth
crypto isakmp client configuration address-pool local dynpool
crypto isakmp xauth timeout 60

crypto isakmp client configuration group vpn-clients
key *ключ*
pool dynpool
acl 150
netmask 255.255.255.0
crypto ipsec transform-set transform-2 esp-3des esp-md5-hmac
crypto dynamic-map dynmap 10
set transform-set transform-2
reverse-route
crypto map clientmap client authentication list userlist
crypto map clientmap isakmp authorization list vpn-clients
crypto map clientmap client configuration address respond
crypto map clientmap 1 ipsec-isakmp
set peer 172.19.124.199
set transform-set transform-2
match address 100
crypto map clientmap 10 ipsec-isakmp dynamic dynmap

interface FastEthernet4
ip address 172.18.124.159 255.255.255.0
crypto map clientmap
interface Vlan1
description -=Internal Network=-
ip address 10.0.4.1 255.255.255.0

ip route 0.0.0.0 0.0.0.0 172.18.124.158
access-list 100 permit ip 10.0.4.0 0.0.0.255 10.0.5.0 0.0.0.255

rtr01#
ip dhcp pool dop
   network 10.0.5.0 255.255.255.0
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key *ключ* address 172.18.124.159
crypto ipsec transform-set transform-2 esp-3des esp-md5-hmac
crypto map statmap 10 ipsec-isakmp
set peer 172.18.124.159
set transform-set transform-2
match address 100
interface FastEthernet4
ip address 172.19.124.199 255.255.255.252
!
interface Vlan1
description -=internal LAN=-
ip address 10.0.5.1 255.255.255.0
ip route 0.0.0.0 0.0.0.0 172.19.124.198
access-list 100 permit ip 10.0.5.0 0.0.0.255 10.0.4.0 0.0.0.255

Дайте, для начала, debug crypto isakmp c ЦО в момент подключения....
У меня по другому... Если не получится, дам свой вариант....Но, у меня с туннелями....(Статик, DMVPN + VPNClient)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "LAN-2-LAN с агрегированием Remote VPN Clients" +/–

Сообщение от AlexLine (ok) on 23-Ноя-10, 01:28

> Дайте, для начала, debug crypto isakmp c ЦО в момент подключения....
А вот нет дебага ((
Не стучится вообще циска из доп офиса в ХедОфис (((
дебаг включал на стороне хед офиса:
debug crypto isakmp
debug crypto ipsec
debug crypto engine
загадочно, блин...

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "LAN-2-LAN с агрегированием Remote VPN Clients" +/–

Сообщение от j_vw on 23-Ноя-10, 01:41

Идиотский вопрос....
ter mon в "головном" включали?
sh logging в ЦО что рассказывает?
Опубликуйте конфиг, при котором у вас связь между офисами работает....
Или, оно никогда не работало?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "LAN-2-LAN с агрегированием Remote VPN Clients" +/–

Сообщение от j_vw on 23-Ноя-10, 02:05

Не хватает рутинга между внутренними сетями...
У вас, кошки, похоже, не знают куда пакет слать...
Так, ладно, фик с ним....
Давайте попробуем другой вариант (с GRE):

"Main"
interface Tunnel10
description TO REMOTE
ip address 10.255.140.1 255.255.255.252
ip mtu 1400
tunnel source 172.18.124.159
tunnel destination 172.19.124.199
ip route 10.0.5.0 255.255.255.0 10.255.140.2
"Remote"

interface Tunnel10
description TO MAIN
ip address 10.255.140.2 255.255.255.252
ip mtu 1400
tunnel source 172.19.124.199
tunnel destination 172.18.124.159

ip route 10.0.4.0 255.255.255.0 10.255.140.1

"Main"
ping 10.255.140.2
ping 10.0.5.1 source 10.0.4.1
"Remote"
ping 10.255.140.1
ping 10.0.4.1 source 10.0.5.1

Если все проходит, будем "прикручивать" шифрование.....

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "LAN-2-LAN с агрегированием Remote VPN Clients" +/–

Сообщение от AlexLine (ok) on 23-Ноя-10, 11:12

> Не хватает рутинга между внутренними сетями...
> У вас, кошки, похоже, не знают куда пакет слать...
> Так, ладно, фик с ним....
> Давайте попробуем другой вариант (с GRE):
Отвечаю на предыдущее сообщение - тер мон ключал в головном,
шоу логгинг говорит "Хозин, все ок, все запишем дорогой" - при этом даже позывов на коннект со стороны удаленной циски не наблюдается, но стоит начать подключение из вне циско впн клиентом - логи сыпятся как из рога изобилия...
По поводу приведенного Вами конфига:
у меня на одном интерфейсе третьего уровня должен быть и нат (для доступа в инет из внутренней сети) и впн Лан-2-Лан (статиченская мапа) и FromAny-2-Lan (динамическая мапа).
других интерфейсов так чтобы вот интерфейс для динамической мапы, вот интерефейс для статической нет.
вот такая вот ситуевина, Коллега.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "LAN-2-LAN с агрегированием Remote VPN Clients" +/–

Сообщение от AlexLine (ok) on 25-Ноя-10, 00:01

Проблема так и не побеждается... (((
Коллеги, посмотрите конфиг плз, мб вы найдете где факап.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "LAN-2-LAN с агрегированием Remote VPN Clients"	+/–
Сообщение от j_vw on 23-Ноя-10, 00:19
Ну.... Букв много... Не разберу... Но сыграть в "найдите 10 отличий" попробую... ;) <<Результат - LAN-2-LAN - не работает,>> crypto map clientmap 1 ipsec-isakmp set peer 172.19.124.199 set transform-set transform-2 match address 100 crypto map clientmap 10 ipsec-isakmp dynamic dynmap <<Конфиг циски Доп Офиса (подключающаяся): >> crypto map statmap 10 ipsec-isakmp set peer 172.18.124.159 set transform-set transform-2 match address 100 Comments?!!
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "LAN-2-LAN с агрегированием Remote VPN Clients"	+/–
	Сообщение от AlexLine (ok) on 23-Ноя-10, 00:23
	>[оверквотинг удален] > set peer 172.19.124.199 > set transform-set transform-2 > match address 100 > crypto map clientmap 10 ipsec-isakmp dynamic dynmap > <<Конфиг циски Доп Офиса (подключающаяся): >> > crypto map statmap 10 ipsec-isakmp > set peer 172.18.124.159 > set transform-set transform-2 > match address 100 > Comments?!! ну так для статической мапы то создан отдельный 10й криптомап на терминирующем роутере: crypto isakmp policy 10 hash md5 authentication pre-share и вот ответная на spoke так сказать: rypto map statmap 10 ipsec-isakmp > set peer 172.18.124.159 > set transform-set transform-2 > match address 100
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "LAN-2-LAN с агрегированием Remote VPN Clients"	+/–
	Сообщение от j_vw on 23-Ноя-10, 00:50
	Так... Народ недогадливый ;) Уточняю вопрос ;) <<Результат - LAN-2-LAN - не работает,>> crypto map clientmap 1 ipsec-isakmp set peer 172.19.124.199 <<Конфиг циски Доп Офиса (подключающаяся): >> crypto map statmap 10 ipsec-isakmp set peer 172.18.124.159
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "LAN-2-LAN с агрегированием Remote VPN Clients"	+/–
	Сообщение от AlexLine (ok) on 23-Ноя-10, 01:03
	> Так... Народ недогадливый ;) > Уточняю вопрос ;) > <<Результат - LAN-2-LAN - не работает,>> > crypto map clientmap 1 ipsec-isakmp > set peer 172.19.124.199 > <<Конфиг циски Доп Офиса (подключающаяся): >> > crypto map statmap 10 ipsec-isakmp > set peer 172.18.124.159 Так, или я уже вообще что-то очень не понимаю, либо... у меня на роутере в ЦО 2 криптомапы: одна динамическая - с большим приоритетом, и одна статическая - с меньшим... crypto map clientmap 1 ipsec-isakmp set peer 172.19.124.199 set transform-set transform-2 match address 100 crypto map clientmap 10 ipsec-isakmp dynamic dynmap так для динамических впн клиентов ипользуется dynmap для статических: crypto map clientmap 1 ipsec-isakmp set peer 172.19.124.199 set transform-set transform-2 match address 100 Которая объединена в crypto map clientmap 10 вот результат вывода sh crypto isakmp policy: (кстати совпадает с выводом на 2м роутере) Global IKE policy Protection suite of priority 1 encryption algorithm: Three key triple DES hash algorithm: Secure Hash Standard authentication method: Pre-Shared Key Diffie-Hellman group: #2 (1024 bit) lifetime: 86400 seconds, no volume limit Protection suite of priority 10 encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Message Digest 5 authentication method: Pre-Shared Key Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit Default protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit Если что-то не понимаю, прошу не закидывать помидорами. Что не так ? :wall:
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "LAN-2-LAN с агрегированием Remote VPN Clients"	+/–
	Сообщение от j_vw on 23-Ноя-10, 01:20
	Прошу пощения... Как и говорил "много букв".. "Выжимка" конфига: Центральный офис: 10.0.4.0/24 - Cisco 871 Удаленный Офис: 10.0.5.0/24 - Cisco 881 Конфиг Циски с ЦО (принимающая подключение): crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key ключ address 172.19.124.199 no-xauth crypto isakmp client configuration address-pool local dynpool crypto isakmp xauth timeout 60 crypto isakmp client configuration group vpn-clients key ключ pool dynpool acl 150 netmask 255.255.255.0 crypto ipsec transform-set transform-2 esp-3des esp-md5-hmac crypto dynamic-map dynmap 10 set transform-set transform-2 reverse-route crypto map clientmap client authentication list userlist crypto map clientmap isakmp authorization list vpn-clients crypto map clientmap client configuration address respond crypto map clientmap 1 ipsec-isakmp set peer 172.19.124.199 set transform-set transform-2 match address 100 crypto map clientmap 10 ipsec-isakmp dynamic dynmap interface FastEthernet4 ip address 172.18.124.159 255.255.255.0 crypto map clientmap interface Vlan1 description -=Internal Network=- ip address 10.0.4.1 255.255.255.0 ip route 0.0.0.0 0.0.0.0 172.18.124.158 access-list 100 permit ip 10.0.4.0 0.0.0.255 10.0.5.0 0.0.0.255 rtr01# ip dhcp pool dop network 10.0.5.0 255.255.255.0 crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key ключ address 172.18.124.159 crypto ipsec transform-set transform-2 esp-3des esp-md5-hmac crypto map statmap 10 ipsec-isakmp set peer 172.18.124.159 set transform-set transform-2 match address 100 interface FastEthernet4 ip address 172.19.124.199 255.255.255.252 ! interface Vlan1 description -=internal LAN=- ip address 10.0.5.1 255.255.255.0 ip route 0.0.0.0 0.0.0.0 172.19.124.198 access-list 100 permit ip 10.0.5.0 0.0.0.255 10.0.4.0 0.0.0.255 Дайте, для начала, debug crypto isakmp c ЦО в момент подключения.... У меня по другому... Если не получится, дам свой вариант....Но, у меня с туннелями....(Статик, DMVPN + VPNClient)
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "LAN-2-LAN с агрегированием Remote VPN Clients"	+/–
	Сообщение от AlexLine (ok) on 23-Ноя-10, 01:28
	> Дайте, для начала, debug crypto isakmp c ЦО в момент подключения.... А вот нет дебага (( Не стучится вообще циска из доп офиса в ХедОфис ((( дебаг включал на стороне хед офиса: debug crypto isakmp debug crypto ipsec debug crypto engine загадочно, блин...
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "LAN-2-LAN с агрегированием Remote VPN Clients"	+/–
	Сообщение от j_vw on 23-Ноя-10, 01:41
	Идиотский вопрос.... ter mon в "головном" включали? sh logging в ЦО что рассказывает? Опубликуйте конфиг, при котором у вас связь между офисами работает.... Или, оно никогда не работало?
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "LAN-2-LAN с агрегированием Remote VPN Clients"	+/–
	Сообщение от j_vw on 23-Ноя-10, 02:05
	Не хватает рутинга между внутренними сетями... У вас, кошки, похоже, не знают куда пакет слать... Так, ладно, фик с ним.... Давайте попробуем другой вариант (с GRE): "Main" interface Tunnel10 description TO REMOTE ip address 10.255.140.1 255.255.255.252 ip mtu 1400 tunnel source 172.18.124.159 tunnel destination 172.19.124.199 ip route 10.0.5.0 255.255.255.0 10.255.140.2 "Remote" interface Tunnel10 description TO MAIN ip address 10.255.140.2 255.255.255.252 ip mtu 1400 tunnel source 172.19.124.199 tunnel destination 172.18.124.159 ip route 10.0.4.0 255.255.255.0 10.255.140.1 "Main" ping 10.255.140.2 ping 10.0.5.1 source 10.0.4.1 "Remote" ping 10.255.140.1 ping 10.0.4.1 source 10.0.5.1 Если все проходит, будем "прикручивать" шифрование.....
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "LAN-2-LAN с агрегированием Remote VPN Clients"	+/–
	Сообщение от AlexLine (ok) on 23-Ноя-10, 11:12
	> Не хватает рутинга между внутренними сетями... > У вас, кошки, похоже, не знают куда пакет слать... > Так, ладно, фик с ним.... > Давайте попробуем другой вариант (с GRE): Отвечаю на предыдущее сообщение - тер мон ключал в головном, шоу логгинг говорит "Хозин, все ок, все запишем дорогой" - при этом даже позывов на коннект со стороны удаленной циски не наблюдается, но стоит начать подключение из вне циско впн клиентом - логи сыпятся как из рога изобилия... По поводу приведенного Вами конфига: у меня на одном интерфейсе третьего уровня должен быть и нат (для доступа в инет из внутренней сети) и впн Лан-2-Лан (статиченская мапа) и FromAny-2-Lan (динамическая мапа). других интерфейсов так чтобы вот интерфейс для динамической мапы, вот интерефейс для статической нет. вот такая вот ситуевина, Коллега.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "LAN-2-LAN с агрегированием Remote VPN Clients"	+/–
	Сообщение от AlexLine (ok) on 25-Ноя-10, 00:01
	Проблема так и не побеждается... ((( Коллеги, посмотрите конфиг плз, мб вы найдете где факап.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору