форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение		[ Отслеживать ]

"Cisco pptp server и маршрутизация"	+/–
Сообщение от An9el (ok) on 17-Июн-13, 02:26
Доброго времени суток. потребовалось развернуть pptp сервер на шлюзе. В наличии cisco 1921. найдя информацию в инете настроил. Клиент подключается получает адрес. Но не получает маршруты(пробовал в опциях и hex написание - 080a.0000.aca8.0b01) и не получает доступ к сети офиса. Пингует 172.16.11.1 Пингует 10.10.1.3 (это адрес циски в офисной сети) Но не пингует 10.10.1.21 (это собственно сервер ради доступа к которому все это и делается) Вот сам конфиг(решил выложить более полный конфиг, потому что считаю что проблема не в настройке pptp сервера) : version 15.1 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname gw ! boot-start-marker boot-end-marker ! ! enable secret 5 xxxxxxxxx enable password 7 xxxxxxxxxxxxx ! aaa new-model ! ! aaa authentication login default local ! aaa session-id common ! clock timezone Moscow 4 0 ! no ipv6 cef ip source-route ip cef ! ! ! ! ip dhcp pool PPTP-USER network 172.16.11.0 255.255.255.0 default-router 172.16.11.1 dns-server 10.10.1.1 10.10.1.4 option 249 ip 10.0.0.0 255.0.0.0 172.16.11.1 option 121 ip 10.0.0.0 255.0.0.0 172.16.11.1 ! ! no ip bootp server ip domain name gw ip name-server xx.xx.xx.1 ! multilink bundle-name authenticated ! vpdn enable ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin   protocol pptp   virtual-template 1 pptp tunnel echo 10 l2tp tunnel timeout no-session 15 ip pmtu ip mtu adjust ! crypto pki token default removal timeout 0 ! ! license udi pid CISCO1921/K9 sn FCZ1708C414 ! ! archive log config   logging enable   hidekeys username root privilege 15 password 7 xxxxxxx username ciscovpn password 7 0116150F421D1601 ! redundancy ! ! ! ! ip ssh authentication-retries 2 ip ssh version 2 ! track 1 ip sla 1 reachability ! track 2 ip sla 2 reachability ! class-map type inspect match-any cm_in_out match access-group name acl_proxy class-map type inspect match-any cm_out_in match access-group name acl_portforward ! ! policy-map type inspect pm_in_out class type inspect cm_in_out   inspect class class-default   drop policy-map type inspect pm_out_in class type inspect cm_out_in   inspect class class-default   drop ! zone security INSIDE description local lan trust zone zone security OUTSIDE description global non trust zone zone-pair security IN_OUT source INSIDE destination OUTSIDE service-policy type inspect pm_in_out zone-pair security OUT_IN source OUTSIDE destination INSIDE service-policy type inspect pm_out_in ! crypto keyring main_nnov   pre-shared-key address x.x.x.x key 6 xxxxxx ! crypto isakmp policy 10 encr aes hash md5 authentication pre-share group 2 crypto isakmp profile main_nnov_isakmp    keyring main_nnov    match identity address x.x.x.x 255.255.255.255 ! ! crypto ipsec transform-set EXAMPLE esp-aes esp-md5-hmac ! crypto ipsec profile main_nnov_ipsec set transform-set EXAMPLE set isakmp-profile main_nnov_isakmp ! ! interface Loopback1 description LO-PPTP ip address 172.16.11.1 255.255.255.0 ip flow ingress ip virtual-reassembly in zone-member security INSIDE ip ospf network point-to-point ! interface Tunnel21 ip address 192.168.123.5 255.255.255.252 ip mtu 1400 zone-member security INSIDE ip ospf cost 10 tunnel source GigabitEthernet0/0 tunnel destination x.x.x.x tunnel protection ipsec profile main_nnov_ipsec ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 description ====main==== ip address xx.xx.xx.xx 255.255.255.252 ip nat outside ip virtual-reassembly in zone-member security OUTSIDE duplex auto speed auto no mop enabled ! interface GigabitEthernet0/1 description ====Bee-line==== ip address yy.yyy.yy.yy6 255.255.255.252 ip nat outside ip virtual-reassembly in zone-member security OUTSIDE duplex auto speed auto no mop enabled ! interface GigabitEthernet0/1/0 no ip address ! ! interface Virtual-Template1 ip unnumbered Loopback1 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly in ip verify unicast reverse-path zone-member security INSIDE autodetect encapsulation ppp peer default ip address dhcp-pool PPTP-USER no keepalive ppp encrypt mppe 128 ppp authentication ms-chap-v2 ! interface Vlan1 description === LAN === ip address 10.10.1.3 255.0.0.0 ip nat inside ip virtual-reassembly in zone-member security INSIDE ip tcp adjust-mss 1350 ! router ospf 10 router-id 10.10.1.3 passive-interface GigabitEthernet0/0 passive-interface GigabitEthernet0/1 network 10.0.0.0 0.255.255.255 area 1 network 192.168.123.4 0.0.0.3 area 0 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip dns server ip nat inside source route-map rm_nat_p1 interface GigabitEthernet0/0 overload ip nat inside source route-map rm_nat_p2 interface GigabitEthernet0/1 overload ip route 0.0.0.0 0.0.0.0 xx.xx.xxx.x7 50 track 1 ip route 0.0.0.0 0.0.0.0 yy.yyy.yy.yy5 70 track 2 ! ip access-list standard SNMP_ACCESS_RO permit 10.10.1.5 ! ip access-list extended acl_nat deny   ip 10.0.0.0 0.255.255.255 172.16.11.0 0.0.0.255 permit ip 10.0.0.0 0.255.255.255 any ip access-list extended acl_portforward permit ip any host 192.168.1.2 ip access-list extended acl_proxy deny   ip 10.0.0.0 0.255.255.255 172.16.11.0 0.0.0.255 permit ip 10.0.0.0 0.255.255.255 any ip access-list extended acl_trust_in permit ip 192.168.1.0 0.0.0.255 any permit ip 10.0.0.0 0.255.255.255 any ip access-list extended acl_trust_out permit ip zzzzzz 0.0.0.7 any permit ip yy.yyy.yy.yy4 0.0.0.7 any permit ip host x.x.x.x any ! ip sla 1 icmp-echo xx.xx.xxx.x7 source-interface GigabitEthernet0/0 ip sla schedule 1 life forever start-time now ip sla 2 icmp-echo yy.yyy.yy.yy5 source-interface GigabitEthernet0/1 ip sla schedule 2 life forever start-time now ! no cdp run ! ! ! route-map rm_nat_p1 permit 1 match ip address acl_nat match interface GigabitEthernet0/0 ! route-map rm_nat_p2 permit 1 match ip address acl_nat match interface GigabitEthernet0/1 ! ! snmp-server community public RO SNMP_ACCESS_RO ! ! ! control-plane ! ! ! line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 ! scheduler allocate 20000 1000 end За ранее благодарен всем откликнувшимся!
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Cisco pptp server и маршрутизация"	+/–
Сообщение от crash (ok) on 17-Июн-13, 07:48
у клиента указано, чтобы ppptp соединение было маршрутом по-умолчанию?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Cisco pptp server и маршрутизация"	+/–
	Сообщение от An9el (ok) on 17-Июн-13, 08:31
	> у клиента указано, чтобы ppptp соединение было маршрутом по-умолчанию? Да указано: (c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены. C:\Users\Vital>route print =========================================================================== Список интерфейсов 47...........................esky.ru 11...e0 cb 4e 0a 8c 44 ......Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Contro ller   1...........................Software Loopback Interface 1 12...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP 10...00 00 00 00 00 00 00 e0 Туннельный адаптер Microsoft Teredo 14...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2 =========================================================================== IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика           0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.35   4245           0.0.0.0          0.0.0.0         On-link      172.16.11.11     21           0.0.0.0      255.192.0.0         On-link      172.16.11.11     21      0.63.255.255  255.255.255.255         On-link      172.16.11.11    276      81.95.134.98  255.255.255.255      192.168.1.1     192.168.1.35   4246         127.0.0.0        255.0.0.0         On-link         127.0.0.1   4531         127.0.0.1  255.255.255.255         On-link         127.0.0.1   4531   127.255.255.255  255.255.255.255         On-link         127.0.0.1   4531       169.254.0.0      255.255.0.0         On-link      192.168.1.35   4531   169.254.255.255  255.255.255.255         On-link      192.168.1.35   4501       172.16.11.0    255.255.255.0         On-link      172.16.11.11     21      172.16.11.11  255.255.255.255         On-link      172.16.11.11    276     172.16.11.255  255.255.255.255         On-link      172.16.11.11    276       192.168.1.0    255.255.255.0         On-link      192.168.1.35   4501      192.168.1.35  255.255.255.255         On-link      192.168.1.35   4501     192.168.1.255  255.255.255.255         On-link      192.168.1.35   4501         224.0.0.0        240.0.0.0         On-link         127.0.0.1   4531         224.0.0.0        240.0.0.0         On-link      192.168.1.35   4501         224.0.0.0        240.0.0.0         On-link      172.16.11.11     21   255.255.255.255  255.255.255.255         On-link         127.0.0.1   4531   255.255.255.255  255.255.255.255         On-link      192.168.1.35   4501   255.255.255.255  255.255.255.255         On-link      172.16.11.11    276 =========================================================================== Постоянные маршруты:   Отсутствует IPv6 таблица маршрута =========================================================================== Активные маршруты: Метрика   Сетевой адрес            Шлюз 10     58 ::/0                     On-link   1    306 ::1/128                  On-link 10     58 2001::/32                On-link 10    306 2001:0:9d38:6ab8:46d:38d6:53ef:f4f4/128                                     On-link 10    306 fe80::/64                On-link 10    306 fe80::46d:38d6:53ef:f4f4/128                                     On-link   1    306 ff00::/8                 On-link 10    306 ff00::/8                 On-link =========================================================================== Постоянные маршруты:   Отсутствует
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Cisco pptp server и маршрутизация"	+/–
	Сообщение от crash (ok) on 17-Июн-13, 09:19
	локальная сеть знает о маршруте к сети 172.16.11 ?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Cisco pptp server и маршрутизация"	+/–
	Сообщение от An9el (ok) on 17-Июн-13, 09:27
	> локальная сеть знает о маршруте к сети 172.16.11 ? Хосты сети 10.0.0.0/8 все отправляют на шлюз по умолчанию 10.10.1.3, а он же и является сервером pptp.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Cisco pptp server и маршрутизация"	+/–
	Сообщение от McS555 (ok) on 17-Июн-13, 10:08
	>> локальная сеть знает о маршруте к сети 172.16.11 ? > Хосты сети 10.0.0.0/8 все отправляют на шлюз по умолчанию 10.10.1.3, а он > же и является сервером pptp. У меня конечно по другому немного настроено, но не суть.... Сделай ping 10.10.1.21 so loo0 А перед этим выключи на время касперского (НУ И ВИНДОВЫЙ fw)
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Cisco pptp server и маршрутизация"	+/–
	Сообщение от An9el (ok) on 17-Июн-13, 10:19
	>>> локальная сеть знает о маршруте к сети 172.16.11 ? >> Хосты сети 10.0.0.0/8 все отправляют на шлюз по умолчанию 10.10.1.3, а он >> же и является сервером pptp. > У меня конечно по другому немного настроено, но не суть.... > Сделай ping 10.10.1.21 so loo0 > А перед этим выключи на время касперского (НУ И ВИНДОВЫЙ fw) Без проблем прошел пинг ping 10.10.1.21 sou lo1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.10.1.21, timeout is 2 seconds: Packet sent with a source address of 172.16.11.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Cisco pptp server и маршрутизация"	+/–
	Сообщение от McS555 (ok) on 17-Июн-13, 10:29
	>> А перед этим выключи на время касперского (НУ И ВИНДОВЫЙ fw) Выключил (или ничего и не было включено?)
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Cisco pptp server и маршрутизация"	+/–
	Сообщение от An9el (ok) on 17-Июн-13, 10:36
	>>> А перед этим выключи на время касперского (НУ И ВИНДОВЫЙ fw) > Выключил (или ничего и не было включено?) В домене групповая политика отключающая Брандмауэр. т.е. ничего не было включено.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Cisco pptp server и маршрутизация"	+/–
	Сообщение от McS555 (ok) on 17-Июн-13, 10:57
	>>>> А перед этим выключи на время касперского (НУ И ВИНДОВЫЙ fw) >> Выключил (или ничего и не было включено?) > В домене групповая политика отключающая Брандмауэр. т.е. ничего не было включено. Хм.... ну вроде с настройками нормально (Правда не вникал в zone security , может тоже временно отключишь) Если надо будет смогу скинуть как у меня настроено
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "Cisco pptp server и маршрутизация"	+/–
	Сообщение от An9el (ok) on 17-Июн-13, 11:14
	>>>>> А перед этим выключи на время касперского (НУ И ВИНДОВЫЙ fw) >>> Выключил (или ничего и не было включено?) >> В домене групповая политика отключающая Брандмауэр. т.е. ничего не было включено. > Хм.... ну вроде с настройками нормально (Правда не вникал в zone security > , может тоже временно отключишь) > Если надо будет смогу скинуть как у меня настроено Буду благодарен любому примеру реализации. К сожалению не знаю как быстро отключить zone security. А основной функционал не пострадает если Я его отключу? PS У меня же этот интерфейс присвоен к зоне INSIDE как и все остальные внутренние интерфейсы. Как это может повлиять?
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "Cisco pptp server и маршрутизация"	+/–
	Сообщение от McS555 (ok) on 17-Июн-13, 11:30
	>[оверквотинг удален] >>>> Выключил (или ничего и не было включено?) >>> В домене групповая политика отключающая Брандмауэр. т.е. ничего не было включено. >> Хм.... ну вроде с настройками нормально (Правда не вникал в zone security >> , может тоже временно отключишь) >> Если надо будет смогу скинуть как у меня настроено > Буду благодарен любому примеру реализации. > К сожалению не знаю как быстро отключить zone security. А основной функционал > не пострадает если Я его отключу? > PS У меня же этот интерфейс присвоен к зоне INSIDE как и > все остальные внутренние интерфейсы. Как это может повлиять? interface Loopback0 ip address 10.15.244.1 255.255.255.255 ! interface GigabitEthernet0/0.222 description -=[ wan ]=- encapsulation dot1Q 222 ip address yy.xx.xx.xx 255.255.255.252 ip flow ingress ip flow egress ip nat outside ip virtual-reassembly in ! interface GigabitEthernet0/1.56 description -=[ LAN ]=- encapsulation dot1Q 56 ip address 10.172.18.254 255.255.255.0 ip flow ingress ip flow egress ip virtual-reassembly in no cdp enable ! vpdn enable ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin   protocol pptp   virtual-template 1 ! ! interface Virtual-Template1 ip unnumbered Loopback0 ip flow ingress ip flow egress ip nat inside ip virtual-reassembly in peer default ip address pool PPTP_POOL no keepalive ppp encrypt mppe auto ppp authentication ms-chap-v2 ppp ipcp dns 10.192.110.1 ! ! ip local pool PPTP_POOL 10.192.110.55 10.192.110.56 ! ------------------------------------------------------------------------- C:\Users\me>tracert 10.172.18.24 Трассировка маршрута к WORKGROUP [10.172.18.24] с максимальным числом прыжков 30:   1   157 ms   158 ms   156 ms  10.15.244.1   2   157 ms   157 ms   157 ms  WORKGROUP [10.172.18.24] Трассировка завершена. ------------------------------------------------------------- рабочий конфиг
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "Cisco pptp server и маршрутизация"	+/–
	Сообщение от An9el (ok) on 17-Июн-13, 12:33
	>[оверквотинг удален] > C:\Users\me>tracert 10.172.18.24 > Трассировка маршрута к WORKGROUP [10.172.18.24] > с максимальным числом прыжков 30: >   1   157 ms   158 ms   >  156 ms  10.15.244.1 >   2   157 ms   157 ms   >  157 ms  WORKGROUP [10.172.18.24] > Трассировка завершена. > ------------------------------------------------------------- > рабочий конфиг Этот конфиг почти ничем не отличается от моего. Разница только в том что у меня локалка настроена через Vlan а не на определенном интерфейсе. Это может повлиять?
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	13. "Cisco pptp server и маршрутизация"	+/–
	Сообщение от McS555 (ok) on 17-Июн-13, 12:51
	>[оверквотинг удален] >>  156 ms  10.15.244.1 >>   2   157 ms   157 ms >>  157 ms  WORKGROUP [10.172.18.24] >> Трассировка завершена. >> ------------------------------------------------------------- >> рабочий конфиг > Этот конфиг почти ничем не отличается от моего. Разница только в том > что у меня локалка настроена через Vlan а не на определенном > интерфейсе. > Это может повлиять? нет. Я ж и говорю, что это рабочий (есть еще у меня на внешнем адресе а не на лупбеке). + секюрити зон (сними их и глянь) + #peer default ip address ?   dhcp       Use DHCP proxy client mechanism to allocate a peer IP address   dhcp-pool  Use local DHCP pools to allocate a peer IP address   pool       Use IP pool mechanism to allocate a peer IP address
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	14. "Cisco pptp server и маршрутизация"	+/–
	Сообщение от McS555 (ok) on 17-Июн-13, 15:25
	ну как?
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	15. "Cisco pptp server и маршрутизация"	+/–
	Сообщение от An9el (ok) on 17-Июн-13, 17:25
	> ну как? Еще до обращения на форум пулы пробовал разные. Ничего не поменялось. Зоны пока не отключал. Боюсь нарушить работу. Попробую вечером в не рабочее время.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	16. "Cisco pptp server и маршрутизация"	+/–
	Сообщение от An9el (ok) on 18-Июн-13, 00:05
	>> ну как? > Еще до обращения на форум пулы пробовал разные. > Ничего не поменялось. > Зоны пока не отключал. Боюсь нарушить работу. Попробую вечером в не рабочее > время. Ну чтож исключил Я интерфейс из зоны и ... потерял связь с офисом. Слава богу перед этим установил таймер на перезагрузку циски. В общем не вариант. или много что переписывать чего не хотелось бы, твак как за вечер -ночь не осилю, а больше офис без инета оставлять мне никто не позволит при том что на ней езе 6 каналов с другими офисами. :-( какие есть еще соображения?
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	17. "Cisco pptp server и маршрутизация"	+/–
	Сообщение от McS555 (ok) on 18-Июн-13, 13:56
	>[оверквотинг удален] >> Ничего не поменялось. >> Зоны пока не отключал. Боюсь нарушить работу. Попробую вечером в не рабочее >> время. > Ну чтож исключил Я интерфейс из зоны и ... потерял связь с > офисом. Слава богу перед этим установил таймер на перезагрузку циски. > В общем не вариант. или много что переписывать чего не хотелось бы, > твак как за вечер -ночь не осилю, а больше офис без > инета оставлять мне никто не позволит при том что на ней > езе 6 каналов с другими офисами. > :-( какие есть еще соображения? Вообщем, попробовал себе точно такие же настроить зоны безопасности. Однозначно "беда в них" 172.16.11.0 добавить в ip access-list extended acl_portforward permit ip 172.16.11.0 0.0.0.255 any ip access-list extended acl_proxy permit ip any 172.16.11.0 0.0.0.255 убрать deny   ip 10.0.0.0 0.255.255.255 172.16.11.0 0.0.0.255 policy-map type inspect pm_in_out class type inspect cm_in_out   pass + когда будешь менять policy-map , не забудь восстановить zone-pair security IN_OUT source INSIDE destination OUTSIDE service-policy type inspect pm_in_out
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема