форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

"Хелп! Нет маршрутизации с локалкой -  VPN тунель cisco-client "	+/–
Сообщение от meb1us (ok) on 15-Сен-11, 17:11
Доброго дня. Прошу помощи - посмотрите свежим взглядом: Есть CiSCO 1841 ( IOS ver. 12.4(24)T5) Задача настроить удаленный доступ в офис. посредством cisco client-a (5-ой версии). Вроде делал неоднократно - все работало, а тут никак (клиент коннектится, но пинги с машинами в офисе не проходят) :( Вот кусок конфига: aaa new-model ! ! aaa authentication login userauthen local aaa authorization network groupauthor local ! ! aaa session-id common ip source-route [skip] crypto isakmp policy 3 encr 3des authentication pre-share group 2 ! crypto isakmp client configuration group vpnclient key XXXXXXXX dns 8.8.8.8 domain mcity pool ippool acl 103 include-local-lan netmask 255.255.255.0 ! crypto isakmp client configuration group vpnclien ! ! crypto ipsec transform-set myset esp-3des esp-md5-hmac ! crypto dynamic-map dynmap 10 set transform-set myset reverse-route qos pre-classify ! ! crypto map clientmap client authentication list userauthen crypto map clientmap isakmp authorization list groupauthor crypto map clientmap client configuration address respond crypto map clientmap 10 ipsec-isakmp dynamic dynmap [skip] interface FastEthernet0/0.10 encapsulation dot1Q 10 ip address 80.XXX.XXX.66 255.255.255.248 ip access-group 110 in ip nat outside ip virtual-reassembly no ip mroute-cache crypto map clientmap [skip] interface FastEthernet0/1 description Local Network ip address 192.168.0.1 255.255.255.0 ip access-group 101 in no ip redirects no ip unreachables no ip proxy-arp ip flow ingress ip nat inside ip virtual-reassembly duplex auto speed auto [skip] ip local pool ippool 192.168.50.1 192.168.50.10 no ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 80.XXX.XXX.65 [skip] ip nat pool MyNatPool 80.XXX.XXX.66 80.XXX.XXX.66 netmask 255.255.255.248 ip nat inside source route-map nonat pool MyNatPool overload [skip] access-list 103 permit ip 192.168.50.0 0.0.0.255 192.168.0.0 0.0.0.255 access-list 107 deny   ip 192.168.0.0 0.0.0.255 192.168.50.0 0.0.0.225 access-list 107 permit ip 192.168.0.0 0.0.0.255 any [skip] route-map nonat permit 10 match ip address 107 Единственный момент пытаюсь прорваться из под 7-ки (трейс в сторону локалки показывает что пакеты уходят не в тунель, а по хитрому маршруту из 20-ти хопов и потом теряется). Может нужно на машине с клиентом прописывать маршрутизацию?  Хотя раньше (на 515pix-e и 2800) я этого не делал ? Криптомап повесил не от хорошей жизни, думал что обратный трафик уходит через NAT, однако в логах не вижу, что-бы что-то отбивалось. Посоветуйте куда дальше копать? Заранее большое спасибо! WBR,
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Хелп! Нет маршрутизации с локалкой -  VPN тунель cisco-client "	+/–
Сообщение от meb1us (ok) on 16-Сен-11, 12:25
Вот еще какие мысли: странно что local ident по нулям или так должно быть? Или маршрутизация тут не причем, а просто тунель криво работает? потому как    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 Router101#sh cry isa sa IPv4 Crypto ISAKMP SA dst             src             state          conn-id status 80.XXX.XXX.66    178.176.XXX.193  QM_IDLE           1002 ACTIVE VPNclient IPv6 Crypto ISAKMP SA Router101#sh cry ips sa interface: FastEthernet0/0.10     Crypto map tag: mymap, local addr 80.XXX.XXX.66    protected vrf: (none)    local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)    remote ident (addr/mask/prot/port): (192.168.50.1/255.255.255.255/0/0)    current_peer 178.176.XXX.193 port 54476      PERMIT, flags={}     #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0     #pkts decaps: 207, #pkts decrypt: 207, #pkts verify: 207     #pkts compressed: 0, #pkts decompressed: 0     #pkts not compressed: 0, #pkts compr. failed: 0     #pkts not decompressed: 0, #pkts decompress failed: 0     #send errors 0, #recv errors 0      local crypto endpt.: 80.XXX.XXX.66, remote crypto endpt.: 178.176.XXX.193      path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0.10      current outbound spi: 0xD85E864E(3630073422)      PFS (Y/N): N, DH group: none      inbound esp sas:       spi: 0x78E03F81(2027962241)         transform: esp-3des esp-sha-hmac ,         in use settings ={Tunnel UDP-Encaps, }         conn id: 2001, flow_id: FPGA:1, sibling_flags 80000046, crypto map: mymap         sa timing: remaining key lifetime (k/sec): (4434746/3413)         IV size: 8 bytes         replay detection support: Y         Status: ACTIVE      inbound ah sas:      inbound pcp sas:      outbound esp sas:       spi: 0xD85E864E(3630073422)         transform: esp-3des esp-sha-hmac ,         in use settings ={Tunnel UDP-Encaps, }         conn id: 2002, flow_id: FPGA:2, sibling_flags 80000046, crypto map: mymap         sa timing: remaining key lifetime (k/sec): (4434777/3413)         IV size: 8 bytes         replay detection support: Y         Status: ACTIVE      outbound ah sas:      outbound pcp sas: Дебаг вот что вещает: .Sep 16 11:56:10: ISAKMP:(1002):purging node 1704405348 .Sep 16 11:56:11: %IP_VFR-4-FRAG_TABLE_OVERFLOW: FastEthernet0/1: the fragment table has reached its maximum threshold 16 .Sep 16 11:56:12: ISAKMP (1002): received packet from 178.176.XXX.193 dport 4500 sport 54476 Global (R) QM_IDLE .Sep 16 11:56:12: ISAKMP: set new node -1185914787 to QM_IDLE .Sep 16 11:56:12: ISAKMP:(1002): processing HASH payload. message ID = -1185914787 .Sep 16 11:56:12: ISAKMP:(1002): processing NOTIFY DPD/R_U_THERE protocol 1         spi 0, message ID = -1185914787, sa = 663A6834 .Sep 16 11:56:12: ISAKMP:(1002):deleting node -1185914787 error FALSE reason "Informational (in) state 1" .Sep 16 11:56:12: ISAKMP:(1002):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY .Sep 16 11:56:12: ISAKMP:(1002):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE .Sep 16 11:56:12: ISAKMP:(1002):DPD/R_U_THERE received from peer 178.176.XXX.193, sequence 0xC88A078F .Sep 16 11:56:12: ISAKMP: set new node 1681074263 to QM_IDLE .Sep 16 11:56:12: ISAKMP:(1002):Sending NOTIFY DPD/R_U_THERE_ACK protocol 1         spi 1702354424, message ID = 1681074263 .Sep 16 11:56:12: ISAKMP:(1002): seq. no 0xC88A078F .Sep 16 11:56:12: ISAKMP:(1002): sending packet to 178.176.XXX.193 my_port 4500 peer_port 54476 (R) QM_IDLE .Sep 16 11:56:12: ISAKMP:(1002):Sending an IKE IPv4 Packet. .Sep 16 11:56:12: ISAKMP:(1002):purging node 1681074263 .Sep 16 11:56:12: ISAKMP:(1002):Input = IKE_MESG_FROM_PEER, IKE_MESG_KEEP_ALIVE .Sep 16 11:56:12: ISAKMP:(1002):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE P.S. уже другую схему использовал из всем известного примера http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con... = такая же фигня. Или циска 1841 не поддерживает работу по данной схеме ? Спасибо за ответы. WBR,
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема