forum.opennet.ru - "VPN сервер за Cisco1811" (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"VPN сервер за Cisco1811"

Форум Маршрутизаторы CISCO и др. оборудование. (Cisco маршрутизаторы)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"VPN сервер за Cisco1811"	+/–
Сообщение от Davor (ok) on 03-Май-11, 21:52
Вечер добрый! Проблема такая - есть циско1811, позади нее, в локалке, находится сервер VPN. Достучаться до него не получается. Хотя порт 1723 проброшен и гре разрешен. При попытке соединения процесс доходит до проверки пользователя\пароля и задумывается на пару минут, после чего выдаёт ошибку 806. С сервером проблем нет - локально раздаёт соединения. А вот через циску ни в какую. Конфиг кошки предоставляю Current configuration : 16358 bytes ! version 12.4 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname CISCO ! boot-start-marker boot-end-marker ! logging buffered 256000 warnings enable secret 5 $1$CmrU$IA2Odw4H.1/h3No5HpjsM1 ! aaa new-model ! ! ! aaa session-id common ! resource policy ! no ip source-route no ip gratuitous-arps ! ! ip cef ! ! no ip bootp server no ip domain lookup ip sla 1 icmp-echo 87.250.251.11 timeout 2000 threshold 40 frequency 15 ip sla schedule 1 life forever start-time now ! ! ! no spanning-tree vlan 1 username admin privilege 15 secret 5 $1$4ptu$/3Bv8RpiVTKqTCAtchJ80. ! ! track 11 rtr 1 reachability delay down 30 ! ! ! ! ! interface Tunnel1 ip address 192.168.4.1 255.255.255.252 ip mtu 1460 tunnel source FastEthernet0 tunnel destination Z.Z.Z.Z tunnel mode ipip tunnel checksum ! interface Tunnel2 ip address 192.168.5.1 255.255.255.252 ip mtu 1460 tunnel source FastEthernet1 tunnel destination Z.Z.Z.Z tunnel mode ipip tunnel checksum ! interface FastEthernet0 description LINK-TO-ISP1 ip address X.X.X.X 255.255.255.248 ip nat outside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet1 description LINK-to-ISP2 ip address Y.Y.Y.Y 255.255.255.248 ip nat outside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 ! interface FastEthernet5 ! interface FastEthernet6 ! interface FastEthernet7 ! interface FastEthernet8 ! interface FastEthernet9 ! interface Vlan1 ip address 192.168.111.10 255.255.255.0 ip nat inside ip virtual-reassembly ip route-cache flow ip tcp adjust-mss 1452 ! interface Async1 no ip address encapsulation slip ! ip route 0.0.0.0 0.0.0.0 X.X.X.X1 track 11 ip route 192.168.50.0 255.255.255.0 192.168.4.2 track 11 ip route 192.168.2.0 255.255.255.0 192.168.4.2 track 11 ip route 192.168.1.0 255.255.255.0 192.168.4.2 track 11 ip route 0.0.0.0 0.0.0.0 Y.Y.Y.Y1 50 ip route 87.250.251.11 255.255.255.255 X.X.X.X1 ip route 192.168.1.0 255.255.255.0 192.168.5.2 50 ip route 192.168.2.0 255.255.255.0 192.168.5.2 50 ip route 192.168.50.0 255.255.255.0 192.168.5.2 50 ! ! no ip http server no ip http secure-server ip nat inside source route-map ISP1 interface FastEthernet0 overload ip nat inside source route-map ISP2 interface FastEthernet1 overload ip nat inside source static tcp 192.168.111.178 1723 Y.Y.Y.Y 1723 route-map ISP2 extendable ip nat inside source static tcp 192.168.111.178 1723 X.X.X.X 1723 route-map ISP1 extendable ! access-list 88 permit 192.168.111.0 0.0.0.255 access-list dynamic-extended no cdp run ! ! ! route-map ISP1 permit 10 match ip address 88 match interface FastEthernet0 ! route-map ISP2 permit 10 match ip address 88 match interface FastEthernet1 ! end
Ответить \| Правка \| Cообщить модератору

Оглавление

VPN сервер за Cisco1811, merko, 08:50 , 04-Май-11, (1)

VPN сервер за Cisco1811, Корнилов, 09:37 , 04-Май-11, (3)

VPN сервер за Cisco1811, merko, 09:16 , 04-Май-11, (2)

Сообщения по теме [Сортировка по времени | RSS]

1. "VPN сервер за Cisco1811" +/–

Сообщение от merko (ok) on 04-Май-11, 08:50

возможно что-то с роут-мапами, по моему они там не нужны
у меня работает проброс VPN следующим образом:
ip nat inside source static tcp 172.25.1.1 1723 195.XX.XX.XX 1723 extendable

а маршрутизацию по источнику я сделал так:

route-map SLA permit 10
match ip address SLA1
set ip next-hop (на ISP1)
set interface Dialer1
!
route-map SLA permit 20
match ip address SLA2
set ip next-hop (на ISP2)
set interface FastEthernet0/1
!
ip access-list standard SLA1
permit (адреса ISP1)
ip access-list standard SLA2
permit (адреса ISP2)
!
ip local policy route-map SLA

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "VPN сервер за Cisco1811" +/–

Сообщение от Корнилов (ok) on 04-Май-11, 09:37

> возможно что-то с роут-мапами, по моему они там не нужны
> у меня работает проброс VPN следующим образом:
> ip nat inside source static tcp 172.25.1.1 1723 195.XX.XX.XX 1723 extendable
переписал проброс без роут-мапа - всё заработало. Спасибо огромное :)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "VPN сервер за Cisco1811" +/–

Сообщение от merko (ok) on 04-Май-11, 09:16

>[оверквотинг удален]
>   !
>   route-map ISP1 permit 10
>     match ip address 88
>     match interface FastEthernet0
>   !
>   route-map ISP2 permit 10
>     match ip address 88
>     match interface FastEthernet1
>   !
>   end
интересные правила у тебя получаются)) ты же ничего ими не разруливаешь...
сделай тогда так:
   route-map ISP1 permit 10
     match ip address 88
     match interface FastEthernet0
   !
   route-map ISP2 permit 10
     match ip address 99
     match interface FastEthernet1
access-list 88 permit (ip от ISP1)
access-list 99 permit (ip от ISP2)
и зачем кстати access-list dynamic-extended ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "VPN сервер за Cisco1811"	+/–
Сообщение от merko (ok) on 04-Май-11, 08:50
возможно что-то с роут-мапами, по моему они там не нужны у меня работает проброс VPN следующим образом: ip nat inside source static tcp 172.25.1.1 1723 195.XX.XX.XX 1723 extendable а маршрутизацию по источнику я сделал так: route-map SLA permit 10 match ip address SLA1 set ip next-hop (на ISP1) set interface Dialer1 ! route-map SLA permit 20 match ip address SLA2 set ip next-hop (на ISP2) set interface FastEthernet0/1 ! ip access-list standard SLA1 permit (адреса ISP1) ip access-list standard SLA2 permit (адреса ISP2) ! ip local policy route-map SLA
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "VPN сервер за Cisco1811"	+/–
	Сообщение от Корнилов (ok) on 04-Май-11, 09:37
	> возможно что-то с роут-мапами, по моему они там не нужны > у меня работает проброс VPN следующим образом: > ip nat inside source static tcp 172.25.1.1 1723 195.XX.XX.XX 1723 extendable переписал проброс без роут-мапа - всё заработало. Спасибо огромное :)
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

2. "VPN сервер за Cisco1811"	+/–
Сообщение от merko (ok) on 04-Май-11, 09:16
>[оверквотинг удален] > ! > route-map ISP1 permit 10 > match ip address 88 > match interface FastEthernet0 > ! > route-map ISP2 permit 10 > match ip address 88 > match interface FastEthernet1 > ! > end интересные правила у тебя получаются)) ты же ничего ими не разруливаешь... сделай тогда так: route-map ISP1 permit 10 match ip address 88 match interface FastEthernet0 ! route-map ISP2 permit 10 match ip address 99 match interface FastEthernet1 access-list 88 permit (ip от ISP1) access-list 99 permit (ip от ISP2) и зачем кстати access-list dynamic-extended ?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору