The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Тунель IpSec"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Тунель IpSec"  
Сообщение от Kan (ok) on 09-Авг-05, 14:24 
Поднят тунель между двумя маршрутизаторами
Не идут типги через тунел все пакеты уходят в ошибку не подскажите где проблема, и на второй кошке есть интерфейс Virtual а первой нет.

Сообщение от первой кошки по команде

sh cry ipsec sa

Router#sh cry ipsec sa

interface: Tunnel0
    Crypto map tag: vpn, local addr. yyy.yyy.yyy.yyy

   protected vrf:
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/47/0)
   remote ident (addr/mask/prot/port): (xxx.xxx.xxx.xxx/255.255.255.255/47/0)
   current_peer: xxx.xxx.xxx.xxx:500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 63, #recv errors 0

     local crypto endpt.: yyy.yyy.yyy.yyy, remote crypto endpt.: xxx.xxx.xxx.xxx
     path mtu 1476, media mtu 1476
     current outbound spi: 0

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:


interface: Dialer0
    Crypto map tag: vpn, local addr. yyy.yyy.yyy.yyy

   protected vrf:
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/47/0)
   remote ident (addr/mask/prot/port): (xxx.xxx.xxx.xxx/255.255.255.255/47/0)
   current_peer: xxx.xxx.xxx.xxx:500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 63, #recv errors 0

     local crypto endpt.: yyy.yyy.yyy.yyy, remote crypto endpt.: xxx.xxx.xxx.xxx
     path mtu 1476, media mtu 1476
     current outbound spi: 0

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:

Router#

Сообщение от второй:
interface: Tunnel0
    Crypto map tag: vpn, local addr. xxx.xxx.xxx.xxx

   protected vrf:
   local  ident (addr/mask/prot/port): (xxx.xxx.xxx.xxx/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): (yyy.yyy.yyy.yyy/255.255.255.255/47/0)
   current_peer: yyy.yyy.yyy.yyy:500
     PERMIT, flags={origin_is_acl,ipsec_sa_request_sent}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 3, #recv errors 0

     local crypto endpt.: xxx.xxx.xxx.xxx, remote crypto endpt.: yyy.yyy.yyy.yyy
     path mtu 1476, media mtu 1476
     current outbound spi: 0

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:


interface: Dialer0
    Crypto map tag: vpn, local addr. xxx.xxx.xxx.xxx

   protected vrf:
   local  ident (addr/mask/prot/port): (xxx.xxx.xxx.xxx/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): (yyy.yyy.yyy.yyy/255.255.255.255/47/0)
   current_peer: yyy.yyy.yyy.yyy:500
     PERMIT, flags={origin_is_acl,ipsec_sa_request_sent}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 3, #recv errors 0

     local crypto endpt.: xxx.xxx.xxx.xxx, remote crypto endpt.: yyy.yyy.yyy.yyy
     path mtu 1476, media mtu 1476
     current outbound spi: 0

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:


interface: Virtual-Access3
    Crypto map tag: vpn, local addr. xxx.xxx.xxx.xxx

   protected vrf:
   local  ident (addr/mask/prot/port): (xxx.xxx.xxx.xxx/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): (yyy.yyy.yyy.yyy/255.255.255.255/47/0)
   current_peer: yyy.yyy.yyy.yyy:500
     PERMIT, flags={origin_is_acl,ipsec_sa_request_sent}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 3, #recv errors 0

     local crypto endpt.: xxx.xxx.xxx.xxx, remote crypto endpt.: yyy.yyy.yyy.yyy
     path mtu 1476, media mtu 1476
     current outbound spi: 0

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Тунель IpSec"  
Сообщение от Dimsan (ok) on 09-Авг-05, 17:11 
>Поднят тунель между двумя маршрутизаторами
>Не идут типги через тунел все пакеты уходят в ошибку не подскажите
>где проблема, и на второй кошке есть интерфейс Virtual а первой
>нет.
>
>

Конфиги покажи...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Тунель IpSec"  
Сообщение от Kan (ok) on 10-Авг-05, 15:52 
Тунель поднялся только не могу понять пинги идут, папки удаленных компов открываються, а терминал сервер не работает
вот конфиг:


crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key ------------- address xxx.xxx.xxx.xxx
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer xxx.xxx.xxx.xxx
set transform-set strong
match address 130
!
!
!
interface Tunnel0
ip address 192.168.250.2 255.255.255.0
ip access-group 199 in
ip access-group 199 out
tunnel source Dialer0
tunnel destination xxx.xxx.xxx.
crypto map vpn
!
!
!
!
access-list 130 permit gre host yyy.yyy.yyy.yyy host xxx.xxx.xxx.xxx

На другой сторе то-же самое с соответсвующей сменой адресов и маршрутов.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Тунель IpSec"  
Сообщение от toor99 email(ok) on 10-Авг-05, 16:08 
>Тунель поднялся только не могу понять пинги идут, папки удаленных компов открываються,
>а терминал сервер не работает
> вот конфиг:
>
>
>crypto isakmp policy 1
> hash md5
> authentication pre-share
>crypto isakmp key ------------- address xxx.xxx.xxx.xxx
>!
>!
>crypto ipsec transform-set strong esp-3des esp-md5-hmac
>!
>crypto map vpn 10 ipsec-isakmp
> set peer xxx.xxx.xxx.xxx
> set transform-set strong
> match address 130
>!
>!
>!
>interface Tunnel0
> ip address 192.168.250.2 255.255.255.0
> ip access-group 199 in
> ip access-group 199 out
> tunnel source Dialer0
> tunnel destination xxx.xxx.xxx.
> crypto map vpn
>!
>!
>!
>!
>access-list 130 permit gre host yyy.yyy.yyy.yyy host xxx.xxx.xxx.xxx
>
>
>
>На другой сторе то-же самое с соответсвующей сменой адресов и маршрутов.

По поводу терминал-сервера сказать ничего не могу (не вижу, почему бы ему не работать), а вот для чего вам GRE-туннель? IPSec в туннельном режиме работает ничем не хуже, если вам не требуется экзотика типа инкапсуляции IPv6, или мультикастов.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Тунель IpSec"  
Сообщение от Kan (ok) on 10-Авг-05, 16:36 
>По поводу терминал-сервера сказать ничего не могу (не вижу, почему бы ему
>не работать), а вот для чего вам GRE-туннель? IPSec в туннельном
>режиме работает ничем не хуже, если вам не требуется экзотика типа
>инкапсуляции IPv6, или мультикастов.

Я нашел примерный конфиг и им воспользывался по поскажите пример конфига без использвания GRE


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Тунель IpSec"  
Сообщение от toor99 email(ok) on 10-Авг-05, 17:25 
>>По поводу терминал-сервера сказать ничего не могу (не вижу, почему бы ему
>>не работать), а вот для чего вам GRE-туннель? IPSec в туннельном
>>режиме работает ничем не хуже, если вам не требуется экзотика типа
>>инкапсуляции IPv6, или мультикастов.
>
>Я нашел примерный конфиг и им воспользывался по поскажите пример конфига без
>использвания GRE

Конфиг будет ровно такой же, как у вас сейчас, за исключением трёх вещей. Во-первых, не будет интерфейса Tunnel X, во-вторых, в ACL 130 надо заменить "gre" на "ip", а адреса хостов yyy.yyy.yyy.yyy и xxx.xxx.xxx.xxx - на адреса ваших локальных сетей (локальной и удалённой, с правильными wildcard-масками). И в третьих, разумеется, криптомап нужно будет наложить на интерфейс, какой он у вас там, Dialer0.
На втором роутере, естественно, все это симметрично, включая ACL.

К слову сказать, IPSec у вас сейчас и так работает в режиме туннеля (туннель в туннеле, получается):
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
mode tunnel - это его режим по умолчанию. А если нужет транспортный режим, то надо в явном виде говорить mode transport.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Тунель IpSec"  
Сообщение от Kan (??) on 10-Авг-05, 18:53 
>Конфиг будет ровно такой же, как у вас сейчас, за исключением трёх
>вещей. Во-первых, не будет интерфейса Tunnel X, во-вторых, в ACL 130
>надо заменить "gre" на "ip", а адреса хостов yyy.yyy.yyy.yyy и xxx.xxx.xxx.xxx
>- на адреса ваших локальных сетей (локальной и удалённой, с правильными
>wildcard-масками). И в третьих, разумеется, криптомап нужно будет наложить на интерфейс,
>какой он у вас там, Dialer0.
>На втором роутере, естественно, все это симметрично, включая ACL.
>
>К слову сказать, IPSec у вас сейчас и так работает в режиме
>туннеля (туннель в туннеле, получается):
>!
>crypto ipsec transform-set strong esp-3des esp-md5-hmac
> mode tunnel - это его режим по умолчанию. А если нужет
>транспортный режим, то надо в явном виде говорить mode transpor

Большое спасибо за понятный ответ.
Тунель поднялся только поять не могу почему по нему пинги не идут там маршруты я так пинимаю писать не какие не нужно?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Тунель IpSec"  
Сообщение от toor99 email(ok) on 10-Авг-05, 23:01 
>Большое спасибо за понятный ответ.
>Тунель поднялся только поять не могу почему по нему пинги не идут
>там маршруты я так пинимаю писать не какие не нужно?

В данном случае - нет, не надо. А что значит "не идут"? откуда куда?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Тунель IpSec"  
Сообщение от Kan (??) on 12-Авг-05, 07:33 
Вобщем сетуация токая:
У меня даве подсети
одна 10,10,10,0 255,255,255,0
вторая 192,168,2,0 255,255,255,0
Я сделал такой конфиг:

crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key _______________ address yyy.yyy.yyy.yyy
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer yyy.yyy.yyy.yyy
set transform-set strong
match address 140
!
!
interface Dialer0
!
crypto map vpn
!
!
access-list 140 permit ip 192.168.2.0 0.0.0.255 10.10.10.0 0.0.0.255


С другой стороны то-же только, соответственно вместо yyy.yyy.yyy.yyy другой адрес и ACL
access-list 140 permit ip 10.10.10.0 0.0.0.255 192.168.2.0 0.0.0.255

Значит таблица маршрутизации осталось такой:
Как и была без тунеля.
Соответсвенно пинги с маршрутизатора до другого маршрутизатора не идут?

И как проверить поднялся ли тунель?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Тунель IpSec"  
Сообщение от toor99 email(ok) on 12-Авг-05, 11:19 
>Вобщем сетуация токая:
>У меня даве подсети
>одна 10,10,10,0 255,255,255,0
>вторая 192,168,2,0 255,255,255,0
>Я сделал такой конфиг:
>
>crypto isakmp policy 1
> hash md5
> authentication pre-share
>crypto isakmp key _______________ address yyy.yyy.yyy.yyy
>!
>!
>crypto ipsec transform-set strong esp-3des esp-md5-hmac
>!
>crypto map vpn 10 ipsec-isakmp
> set peer yyy.yyy.yyy.yyy
> set transform-set strong
> match address 140
>!
>!
>interface Dialer0
>!
>crypto map vpn
>!
>!
>access-list 140 permit ip 192.168.2.0 0.0.0.255 10.10.10.0 0.0.0.255
>
>
>С другой стороны то-же только, соответственно вместо yyy.yyy.yyy.yyy другой адрес и ACL
>
>access-list 140 permit ip 10.10.10.0 0.0.0.255 192.168.2.0 0.0.0.255
>
>Значит таблица маршрутизации осталось такой:
>Как и была без тунеля.
>Соответсвенно пинги с маршрутизатора до другого маршрутизатора не идут?
>
>И как проверить поднялся ли тунель?


1) До другого маршрутизатора, или из одной приватной сети в другую?
2)  Чтобы появились маршруты, поставить reverse-route в описание криптомапа. Но вообще-то, если оба роутера - шлюзы по умолчанию для обеих приватных сетей, должно работать и так.
3) Проверить - sh crypto isa sa det и sh crypto ipsec sa
4) Что за бляdская манера пошла - разделять октеты в IP-адресах и масках запятыми? Это теперь так модно, или что?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Тунель IpSec"  
Сообщение от Kan (??) on 12-Авг-05, 11:50 
>1) До другого маршрутизатора, или из одной приватной сети в другую?
>2)  Чтобы появились маршруты, поставить reverse-route в описание криптомапа. Но вообще-то,
>если оба роутера - шлюзы по умолчанию для обеих приватных сетей,
>должно работать и так.
>3) Проверить - sh crypto isa sa det и sh crypto ipsec
>sa
>4) Что за бляdская манера пошла - разделять октеты в IP-адресах и
>масках запятыми? Это теперь так модно, или что?


Сразу хочу извениться за дурацкое написание адресов.!!!
Привожу полный конфиг помогите разобраться тунель не понимаеться.!!!
С другой сторы то-же самое листы наоборот и дреса.


version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Router
!
enable secret_________
!
username Kan password ______________________________
clock timezone GMT 6
no aaa new-model
ip subnet-zero
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool CLIENT
   import all
   network 10.10.10.0 255.255.255.0
   dns-server ___________________________
   default-router 10.10.10.1
   lease 0 18
!
!
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key 0 123456 address xxx.xxx.xxx.xxx
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer xxx.xxx.xxx.xxx
set transform-set strong
match address 140
reverse-route
!
!
!
!
interface Ethernet0
ip address 10.10.10.1 255.255.255.0
ip nat inside
hold-queue 100 out
!
interface ATM0
no ip address
no ip mroute-cache
no atm ilmi-keepalive
pvc 0/33
  encapsulation aal5mux ppp dialer
  dialer pool-member 10
!
dsl operating-mode auto
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
interface Dialer0
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
encapsulation ppp
no ip mroute-cache
dialer pool 10
dialer-group 10
no cdp enable
ppp authentication pap callin
ppp pap sent-username ----------------- password --------------
crypto map vpn
!
ip nat inside source list 121 interface Dialer0 overload
ip nat inside source static tcp 10.10.10.2 3389 interface Dialer0 3389
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip http server
no ip http secure-server
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 any log
access-list 121 permit ip 10.10.10.0 0.0.0.255 any
access-list 140 permit ip 10.10.10.0 0.0.0.255 192.168.2.0 0.0.0.255
dialer-list 10 protocol ip permit
!
line con 0
exec-timeout 120 0
no modem enable
stopbits 1
line aux 0
line vty 0 4
access-class 101 in
exec-timeout 120 0
login local
length 0
!
scheduler max-task-time 5000
sntp server 194.186.254.22 version 2
sntp server 195.2.64.5 version 2
!
end

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Тунель IpSec"  
Сообщение от toor99 email(ok) on 12-Авг-05, 13:56 
ACL 121 переделайте:

access-list 121 deny ip 10.10.10.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 121 permit ip 10.10.10.0 0.0.0.255 any

чтобы пакеты из 10.10.10.0/24 в 192.168.2.0/24 не попадали в NAT.
На другой стороне - симметрично.

И смотрите дебаги, от установления сессии ISAKMP до установления туннеля, чтобы стало понятно, где затыкается.
term mon, если не на консоли
debug cry isa
debug cry ipse

И ещё, вот этот момент я не понял:
interface Dialer0
ip address negotiated
Разве у вас не статический IP на этом интерфейсе?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Тунель IpSec"  
Сообщение от Kan (??) on 12-Авг-05, 15:18 
>ACL 121 переделайте:
>
>access-list 121 deny ip 10.10.10.0 0.0.0.255 192.168.2.0 0.0.0.255
>access-list 121 permit ip 10.10.10.0 0.0.0.255 any
>
>чтобы пакеты из 10.10.10.0/24 в 192.168.2.0/24 не попадали в NAT.
>На другой стороне - симметрично.
>
>И смотрите дебаги, от установления сессии ISAKMP до установления туннеля, чтобы стало
>понятно, где затыкается.
>term mon, если не на консоли
>debug cry isa
>debug cry ipse
>
>И ещё, вот этот момент я не понял:
>interface Dialer0
>ip address negotiated
>Разве у вас не статический IP на этом интерфейсе?
Да не статический но я его знаю и он не меняеться.!


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Тунель IpSec"  
Сообщение от toor99 email(ok) on 12-Авг-05, 15:31 
>>ACL 121 переделайте:
>>
>>access-list 121 deny ip 10.10.10.0 0.0.0.255 192.168.2.0 0.0.0.255
>>access-list 121 permit ip 10.10.10.0 0.0.0.255 any
>>
>>чтобы пакеты из 10.10.10.0/24 в 192.168.2.0/24 не попадали в NAT.
>>На другой стороне - симметрично.
>>
>>И смотрите дебаги, от установления сессии ISAKMP до установления туннеля, чтобы стало
>>понятно, где затыкается.
>>term mon, если не на консоли
>>debug cry isa
>>debug cry ipse
>>
>>И ещё, вот этот момент я не понял:
>>interface Dialer0
>>ip address negotiated
>>Разве у вас не статический IP на этом интерфейсе?
>Да не статический но я его знаю и он не меняеться.!
Понятно. ACL поправьте, как я показал, и посмотрите дебаги. Должно работать.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Тунель IpSec"  
Сообщение от Kan (??) on 13-Авг-05, 11:45 
>Понятно. ACL поправьте, как я показал, и посмотрите дебаги. Должно работать.

Вобщем тунель работает, не работает только подключение к терминал серверу.
расположенному по адресу 192.168.2.5 на него идут пинги окрываеться сетевые папки происходит соединение терминала, а потом надпись соединение закрыто по таймауту.
С одной стороны Cisco 2651XM IOS:c2600-adventerprisek9-mz.123-4.XD.bin
с другой стороны Cisco 837 ADSL IOS: c837-k9o3y6-mz.123-2.XC2.bin

Вот я и думаю может какие проблемы с IOS на 837 может у кого нибудь сте иос с плюсом для данно ймашинки.

c837-k9o3sy6-mz.bin

Заранее благодарен жду ответ.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Тунель IpSec"  
Сообщение от toor99 email(ok) on 13-Авг-05, 15:22 
>>Понятно. ACL поправьте, как я показал, и посмотрите дебаги. Должно работать.
>
>Вобщем тунель работает, не работает только подключение к терминал серверу.
>расположенному по адресу 192.168.2.5 на него идут пинги окрываеться сетевые папки происходит
>соединение терминала, а потом надпись соединение закрыто по таймауту.
>С одной стороны Cisco 2651XM IOS:c2600-adventerprisek9-mz.123-4.XD.bin
>с другой стороны Cisco 837 ADSL IOS: c837-k9o3y6-mz.123-2.XC2.bin
>
>Вот я и думаю может какие проблемы с IOS на 837 может
>у кого нибудь сте иос с плюсом для данно ймашинки.
>
>c837-k9o3sy6-mz.bin
>
>Заранее благодарен жду ответ.

Да не при чём это тут. Странно всё это.

На самом терминал-сервере ничего такого нет? Файрволл, пакетный фильтр...

Возможно ещё, дело в размере MTU и в MTU Path Discovery. Оно вряд ли, т.к. у RDP пакеты небольшие. Но всё-таки проверьте и эту возможность.
Для простоты - попробуйте урезать MSS на внутренних интерфейсах обоих роутеров. Команда ip tcp adjust-mss (число) на интерфейсе.
Начните с 1452 и постепенно уменьшайте.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Тунель IpSec"  
Сообщение от Kan (??) on 15-Авг-05, 08:46 
>Для простоты - попробуйте урезать MSS на внутренних интерфейсах обоих роутеров. Команда
>ip tcp adjust-mss (число) на интерфейсе.
>Начните с 1452 и постепенно уменьшайте.

Попробывал не помогает ситуация та-же.!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Тунель IpSec"  
Сообщение от Kan (??) on 15-Авг-05, 10:41 
Ради проверки сделал все проще через интерфейс Tunnel без шиврования, и с ипользование маршрутизации и через нат проблема таже пинги идут, сетевые ресурсыоткрываються, а RDP не подключаеться. На сервере ничего нет никакий ограничении на подключение.

Вот кусок конфига

version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Router
!
enable secret 5 ---------------------------
!
username ---- password 7 ----------------------------
clock timezone GMT 6
no aaa new-model
ip subnet-zero
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool CLIENT
   import all
   network 10.10.10.0 255.255.255.0
   dns-server ------------------------
   default-router 10.10.10.1
   lease 0 18
!
!
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
crypto isakmp policy 1
authentication pre-share
crypto isakmp key 0 ltuhflfwbz address -----------------
!
!
crypto ipsec transform-set strong esp-des esp-sha-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer ---------------
set transform-set strong
match address 101
!
!
!
!
interface Tunnel0
bandwidth 56
ip address 192.168.250.2 255.255.255.0
ip mtu 1452
ip nat outside
no ip mroute-cache
tunnel source Dialer0
tunnel destination --------------------
!
interface Ethernet0
ip address 10.10.10.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
no ip mroute-cache
no cdp enable
hold-queue 100 out
!
interface ATM0
no ip address
no ip mroute-cache
no atm ilmi-keepalive
pvc 0/33
  encapsulation aal5mux ppp dialer
  dialer pool-member 10
!
dsl operating-mode auto
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
interface Dialer0
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
encapsulation ppp
no ip mroute-cache
dialer pool 10
dialer-group 10
no cdp enable
ppp authentication pap callin
ppp pap sent-username --------- password 7 -----------------
!
ip nat inside source list 101 interface Tunnel0 overload
ip nat inside source list 121 interface Dialer0 overload
ip nat inside source static tcp 10.10.10.2 3389 interface Dialer0 3389
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.2.0 255.255.255.0 Tunnel0
ip http server
no ip http secure-server
!
access-list 101 permit ip 10.10.10.0 0.0.0.255 192.168.2.0 0.0.0.255 log
access-list 120 permit ip 10.10.10.0 0.0.0.255 any log
access-list 120 permit ip host 212.154.216.169 any log
access-list 121 permit ip 10.10.10.0 0.0.0.255 any
dialer-list 10 protocol ip permit
no cdp run
!
line con 0
exec-timeout 120 0
no modem enable
stopbits 1
line aux 0
line vty 0 4
access-class 120 in
exec-timeout 120 0
login local
length 0
!
scheduler max-task-time 5000
sntp server 194.186.254.22 version 2
sntp server 195.2.64.5 version 2
!
end

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Тунель IpSec"  
Сообщение от toor99 email(ok) on 15-Авг-05, 10:48 
>>Для простоты - попробуйте урезать MSS на внутренних интерфейсах обоих роутеров. Команда
>>ip tcp adjust-mss (число) на интерфейсе.
>>Начните с 1452 и постепенно уменьшайте.
>
>Попробывал не помогает ситуация та-же.!

Ну тогда я сдаюсь.
Тем не менее, скорее что-то все-таки не так с вашим сервером, именно с ним.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Тунель IpSec"  
Сообщение от Kan (??) on 15-Авг-05, 11:12 
Смысл в том что на cisco 2651XM которая стоит в главном офисе сейчас поднят VPN сервер и пользователи из других филиалов подключаються на него и тоже идуп по RDP так вот у низ проблем никаких нет, просто сейчас я перевожу все офисы на тунели купил эти 837 cisco и вот сталкнулся с проблемой. В связи с этим я думаю проблем с сервером нет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Тунель IpSec"  
Сообщение от Kan (ok) on 15-Авг-05, 11:27 
>Ну тогда я сдаюсь.
>Тем не менее, скорее что-то все-таки не так с вашим сервером, именно
>с ним.

Смысл в том что сейчас на Cisco 2651XM которая стои в головном офисе, поднят VPN сервер и удаленные офисы ек ней конектяться и выодят по RDP на сервер, а сейчас в филиалах решил купить Cisco 837 и поднять тунели, что бы меньше забот. А вот и неполучаеться.

Может все таки у кого завалялся иос с плюсом для этой кошки а точнее с837-k9o3sy6.bin

toor99 спасибо Вам за помощь и участие.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Тунель IpSec"  
Сообщение от John email(??) on 30-Ноя-06, 13:12 
>>Ну тогда я сдаюсь.
>>Тем не менее, скорее что-то все-таки не так с вашим сервером, именно
>>с ним.
>
>Смысл в том что сейчас на Cisco 2651XM которая стои в головном
>офисе, поднят VPN сервер и удаленные офисы ек ней конектяться и
>выодят по RDP на сервер, а сейчас в филиалах решил купить
>Cisco 837 и поднять тунели, что бы меньше забот. А вот
>и неполучаеться.
>
>Может все таки у кого завалялся иос с плюсом для этой кошки
>а точнее с837-k9o3sy6.bin
>
>toor99 спасибо Вам за помощь и участие.

Я конечно дико извеняюсь, но чем дело закончилось? У меня похожая ситуация, и не чего сделать не могу. Ответте пожалуйста?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру