The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Не поднимается ВПН туннель Cisco 881G"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Cisco маршрутизаторы)
Изначальное сообщение [ Отслеживать ]

"Не поднимается ВПН туннель Cisco 881G"  +/
Сообщение от Zlock email(ok) on 17-Фев-15, 07:43 
Стоит задача пострить туннель между головным офисом и филиалом, использую Cisco 881G через сотового провайдера Билайн.

Главная циска настроена правильно, протестировал подняв туннель с другой циской на котором стоял статитический айпи адрес, работает.

На циске филиала где стоит симка Билайн, интернет поднимается и раздает всё нормально, вот только не пытается конектится к главной циске и не поднимается туннель.

Помогите пожалуйста (все айпи адреса в конфиге придуманные)


Вот конфига главной циски:


crypto isakmp policy 10
encr aes 256
hash md5
authentication pre-share
group 5
crypto isakmp key test&&* address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set auth_branch esp-aes 256 esp-md5-hmac
!
crypto dynamic-map DYNMAP 10
set transform-set auth_branch
match address acl_vpn
!
!
crypto map CMAP 65535 ipsec-isakmp dynamic DYNMAP
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address 85.113.25.114 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map CMAP
!
interface Vlan1
ip address 172.22.40.2 255.255.255.0
ip nat inside
ip virtual-reassembly
!
no ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip nat inside source list nating interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 85.113.25.113
!
ip access-list extended acl_vpn
permit ip 172.22.40.0 0.0.0.255 192.168.65.0 0.0.0.255

ip access-list extended nating
deny   ip 172.22.40.0 0.0.0.255 192.168.65.0 0.0.0.255

!
no cdp run

!
!
!
!
!
control-plane
!
!
line con 0
login authentication cons
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
transport input telnet ssh
!
scheduler max-task-time 5000
end


Конфиг Филиал:

crypto isakmp policy 10
encr aes 256
hash md5
authentication pre-share
group 5
crypto isakmp key test&&* address 85.113.25.114
!
!
crypto ipsec transform-set auth_branch esp-aes 256 esp-md5-hmac
mode tunnel
!
!
!
crypto map bta 20 ipsec-isakmp
set peer  85.113.25.114
set transform-set auth_branch
match address to-branch
!
!
!
!
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface FastEthernet4
no ip address
shutdown
duplex auto
speed auto
!
interface Cellular0
ip address negotiated
ip nat outside
ip virtual-reassembly in
encapsulation slip
dialer in-band
dialer idle-timeout 0
dialer string GSM
dialer-group 1
async mode interactive
crypto map bta
!
interface Vlan1
ip address 192.168.65.2 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
no ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source list NATACL interface Cellular0 overload
ip route 0.0.0.0 0.0.0.0 Cellular0
!
ip access-list extended NATACL
permit ip 192.168.65.0 0.0.0.255 any
ip access-list extended to-branch
permit ip 192.168.65.0 0.0.0.255 172.22.40.0 0.0.0.255
!
access-list 1 permit any
dialer-list 1 protocol ip list 1
no cdp run
!
!
!
!
control-plane
!
!
!
line con 0
login authentication cons
no modem enable
line aux 0
line 3
exec-timeout 0 0
script dialer GSM
modem InOut
no exec
rxspeed 21600000
txspeed 5760000
line vty 0 4
transport input all
!
!
end

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Не поднимается ВПН туннель Cisco 881G"  +/
Сообщение от Сергей email(??) on 17-Фев-15, 10:13 
>[оверквотинг удален]
>  script dialer GSM
>  modem InOut
>  no exec
>  rxspeed 21600000
>  txspeed 5760000
> line vty 0 4
>  transport input all
> !
> !
> end

Для начала создайте нормальный ACL. А то ваш трафик при попытке попасть в сеть 172.22.40.0 0.0.0.255 Натится.


Пример

access-list 103 deny   ip 192.168.65.0 0.0.0.255 172.22.40.0 0.0.0.255
access-list 103 permit ip 192.168.65.0 0.0.0.255 any

Затем прикрепите ваш акссес лист к NAT правилу

Пример

ip nat inside source list 103 interface Dialer0 overload


А также по хорошему сделайте вывод

show crypto ipsec sa


show crypto isakmp sa


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Не поднимается ВПН туннель Cisco 881G"  +/
Сообщение от Zlock email(ok) on 17-Фев-15, 12:57 
>[оверквотинг удален]
> в сеть 172.22.40.0 0.0.0.255 Натится.
> Пример
> access-list 103 deny   ip 192.168.65.0 0.0.0.255 172.22.40.0 0.0.0.255
> access-list 103 permit ip 192.168.65.0 0.0.0.255 any
> Затем прикрепите ваш акссес лист к NAT правилу
> Пример
> ip nat inside source list 103 interface Dialer0 overload
> А также по хорошему сделайте вывод
> show crypto ipsec sa
> show crypto isakmp sa

3g_test# sh crypto isakmp sa

IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status

IPv6 Crypto ISAKMP SA

3g_test#


не поднимается (

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Не поднимается ВПН туннель Cisco 881G"  +/
Сообщение от Zlock email(ok) on 17-Фев-15, 14:51 
>[оверквотинг удален]
>> show crypto isakmp sa
> 3g_test# sh crypto isakmp sa
> IPv4 Crypto ISAKMP SA
> dst            
>  src          
>    state        
>   conn-id status
> IPv6 Crypto ISAKMP SA
> 3g_test#
> не поднимается (

Всё заработал, спасибо большое )

Вот конфиг переделанный:

crypto isakmp policy 10
encr aes 256
hash md5
authentication pre-share
group 5
crypto isakmp key test&&* address 85.113.25.114
!
!
crypto ipsec transform-set auth_branch esp-aes 256 esp-md5-hmac
mode tunnel
!
!
!
crypto map bta 20 ipsec-isakmp
set peer 85.113.25.114
set transform-set auth_branch
match address to-branch
!
!
!
!
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface FastEthernet4
no ip address
shutdown
duplex auto
speed auto
!
interface Cellular0
ip address negotiated
ip nat outside
ip virtual-reassembly in
encapsulation slip
dialer in-band
dialer idle-timeout 0
dialer string GSM
dialer-group 1
async mode interactive
crypto map bta
!
interface Vlan1
ip address 192.168.65.2 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
no ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source list NATACL interface Cellular0 overload
ip route 0.0.0.0 0.0.0.0 Cellular0
!
ip access-list extended NATACL
deny   ip 192.168.65.0 0.0.0.255 172.22.40.0 0.0.0.255
permit tcp 192.168.65.0 0.0.0.255 any eq 443
permit tcp 192.168.65.0 0.0.0.255 any eq www
permit tcp 192.168.65.0 0.0.0.255 any eq domain
permit udp 192.168.65.0 0.0.0.255 any eq domain
ip access-list extended to-branch
permit ip 192.168.65.0 0.0.0.255 172.22.40.0 0.0.0.255
!
access-list 1 permit any
dialer-list 1 protocol ip list 1
no cdp run
!
!
!
!
control-plane
!
!
!
line con 0
login authentication cons
no modem enable
line aux 0
line 3
exec-timeout 0 0
script dialer GSM
modem InOut
no exec
rxspeed 21600000
txspeed 5760000
line vty 0 4
transport input all
!
!
end

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру