forum.opennet.ru - "Def GW для VPN тоннеля (cisco 871)" (10)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Def GW для VPN тоннеля (cisco 871)"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Def GW для VPN тоннеля (cisco 871)"		+/–
Сообщение от AlexLine (ok) on 27-Окт-09, 17:33
Доброго времени суток, Коллеги. Имею следующую проблему: Поднят Eazy VPN сервер на Cisco 871-k9. авторизация проходит, тоннель строится нормально, сплит работает. Сеть впн клиентов: 10.0.18.0/24 Сеть Интернал: 10.0.4.0/24 но для VPN клиента выдается не верный GW (а соответственно пакеты от впн клиента в интернал сеть не идут): (листинг с клиента) Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 On-link 10.23.77.208 51 10.0.0.0 255.0.0.0 On-link 10.0.18.22 306 10.0.18.0 255.255.255.0 10.0.0.1 10.0.18.22 100 10.0.18.22 255.255.255.255 On-link 10.0.18.22 306 хоста 10.0.0.1 не существует. откуда оно взяло этот гейт? Вот конфиг циски: Current configuration : 2677 bytes ! version 12.4 no service pad service timestamps debug datetime msec service timestamps log datetime localtime no service password-encryption ! hostname rtr01 ! boot-start-marker boot-end-marker ! enable password ****** ! aaa new-model ! ! aaa authentication login userlist local aaa authorization network vpn-clients local ! ! aaa session-id common clock timezone MSK 3 clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 2:00 ! ! dot11 syslog ip cef no ip dhcp use vrf connected ip dhcp excluded-address 10.0.16.1 10.0.16.50 ! ip dhcp pool WiFi network 10.0.16.0 255.255.255.0 default-router 10.0.16.1 dns-server 194.85.128.10 212.44.130.6 ! ! no ip domain lookup ip domain name un.loc ! ! ! username ****** password 0 ****** username ****** password 0 ****** ! ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp client configuration address-pool local dynpool crypto isakmp xauth timeout 60 ! crypto isakmp client configuration group vpn-clients key ********** pool dynpool acl 150 ! ! crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac ! crypto dynamic-map dynmap 1 set transform-set transform-1 reverse-route ! ! crypto map dynmap client authentication list userlist crypto map dynmap isakmp authorization list vpn-clients crypto map dynmap client configuration address respond crypto map dynmap 1 ipsec-isakmp dynamic dynmap ! ! archive log config hidekeys ! ! ! ! ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 switchport access vlan 2 ! interface FastEthernet3 switchport access vlan 2 ! interface FastEthernet4 description -=Internet=- ip address 213.33.102.* 255.255.255.252 ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable crypto map dynmap ! interface Vlan1 description -=Internal Network=- ip address 10.0.4.1 255.255.255.0 ip nat inside ip virtual-reassembly ! interface Vlan2 description -=WiFi=- ip address 10.0.16.1 255.255.255.0 ip nat inside ip virtual-reassembly ! ip local pool dynpool 10.0.18.20 10.0.18.40 ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 213.33.102.* ! no ip http server no ip http secure-server ip nat inside source list 1 interface FastEthernet4 overload ip nat inside source list 10 interface FastEthernet4 overload ! access-list 1 permit 10.0.4.0 0.0.0.255 access-list 10 permit 10.0.16.0 0.0.0.255 access-list 150 permit ip 10.0.18.0 0.0.0.255 any ! ! ! control-plane ! ! line con 0 no modem enable line aux 0 line vty 0 1 password ******** login authentication local_auth line vty 2 4 login authentication local_auth ! scheduler max-task-time 5000 end Коллеги, прошу помочь разобраться в этой ситуации.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Def GW для VPN тоннеля (cisco 871), Myxa, 21:06 , 27-Окт-09, (1)

Def GW для VPN тоннеля (cisco 871), AlexLine, 22:06 , 27-Окт-09, (2)

У меня так работает:, j_vw, 22:31 , 27-Окт-09, (3)

У меня так работает:, AlexLine, 23:11 , 27-Окт-09, (4)

У меня так работает:, j_vw, 23:24 , 27-Окт-09, (5)

Ты, кстати ЭТО поправил?, j_vw, 23:30 , 27-Окт-09, (6)
У меня так работает:, AlexLine, 00:26 , 28-Окт-09, (7)

Эта.... ;) , j_vw, 00:48 , 28-Окт-09, (8)

Рука дрогнула. ;) , j_vw, 00:56 , 28-Окт-09, (9)

Рука дрогнула. ;) , AlexLine, 01:59 , 28-Окт-09, (10)

Сообщения по теме [Сортировка по времени | RSS]

1. "Def GW для VPN тоннеля (cisco 871)" +/–

Сообщение от Myxa (??) on 27-Окт-09, 21:06

Попробуйте для начала добавить ip classless

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Def GW для VPN тоннеля (cisco 871)" +/–

Сообщение от AlexLine (ok) on 27-Окт-09, 22:06

>Попробуйте для начала добавить ip classless
Вы имеете в виду ip classes routing?
Кстати, промелькнула у меня мысля что пакеты от ВПН клиента во внутреннюю сеть не ходят не из за GW, а по проблеме с Ацес-Листами.
Коллеги, подскажите, можт какого ацл не хватает?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "У меня так работает:" +/–

Сообщение от j_vw on 27-Окт-09, 22:31

Сравнивай....

crypto isakmp profile VPNclient
   match identity group YYYYYY
   client authentication list vpn
   isakmp authorization list vpn
   client configuration address respond
ip local pool ippool 172.17.0.1 172.17.0.10
crypto isakmp client configuration group YYYYYY
key XXXXX
pool ippool
acl EasyVPN
include-local-lan
netmask 255.255.255.0
crypto dynamic-map dynmap 10
set transform-set Vasya
set isakmp-profile VPNclient
reverse-route
crypto map clientmap 10 ipsec-isakmp dynamic dynmap

ip access-list extended EasyVPN
permit ip 10.1.1.0 0.0.0.255 any
permit ip 10.228.0.0 0.0.0.255 any
Это сети, на которые передаются маршруты в клиентскую машину.
Ну, и в ACL ната запрещен маршрут в ippool

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "У меня так работает:" +/–

Сообщение от AlexLine (ok) on 27-Окт-09, 23:11

2 J_VW:
вот такая байда теперь в route print на клиенте:
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0         On-link      10.20.80.186     51
         10.0.0.0        255.0.0.0         On-link        10.0.18.25    306
         10.0.4.0    255.255.255.0         10.0.0.1       10.0.18.25    100
        10.0.16.0    255.255.255.0         10.0.0.1       10.0.18.25    100
Откуда берется это 10.0.0.1 ? :wall:

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "У меня так работает:" +/–

Сообщение от j_vw on 27-Окт-09, 23:24

>2 J_VW:
>вот такая байда теперь в route print на клиенте:
>Active Routes:
>Откуда берется это 10.0.0.1 ? :wall:
Это нормально.
Или,скажу так: У МЕНЯ так же....
10.228.0.0    255.255.255.0       172.17.0.1      172.17.0.5       1
На Кошке (sh ip ro)

     172.17.0.0/32 is subnetted, 1 subnets
S       172.17.0.5 [1/0] via "ip клиента"
Все ходит

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Ты, кстати ЭТО поправил?" +/–

Сообщение от j_vw on 27-Окт-09, 23:30

access-list 1 permit 10.0.4.0 0.0.0.255
access-list 10 permit 10.0.16.0 0.0.0.255
access-list 150 permit ip 10.0.18.0 0.0.0.255 any

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "У меня так работает:" +/–

Сообщение от AlexLine (ok) on 28-Окт-09, 00:26

>[оверквотинг удален]
>>вот такая байда теперь в route print на клиенте:
>>Active Routes:
>>Откуда берется это 10.0.0.1 ? :wall:
>
>Это нормально.
>
>Или,скажу так: У МЕНЯ так же....
>
> 10.228.0.0    255.255.255.0
>172.17.0.1      172.17.0.5
когда 172.17.0.5 - адрес впн клиента, а 172.17.0.1 - его GW - да, это нормально,
но когда 10.0.18.1 - адрес впн клиента, а 10.0.0.1 - его GW - это ИМХО не! нормально.
по поводу ACL:
Предложенный вами экстендед ацл - суть тоже что и мой 150тый.
но! я попробовал и так как у вас. фокус не удался, ничего не изменилось.
и все-таки проблема в GW ))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Эта.... ;) " +/–

Сообщение от j_vw on 28-Окт-09, 00:48

>
>когда 172.17.0.5 - адрес впн клиента, а 172.17.0.1 - его GW -
>да, это нормально,
>но когда 10.0.18.1 - адрес впн клиента, а 10.0.0.1 - его GW
>- это ИМХО не! нормально.
>
>по поводу ACL:
>Предложенный вами экстендед ацл - суть тоже что и мой 150тый.
Ни разу ;)
Он у вас ОБРАТНЫЙ
не 10.0.18.0 0.0.0.255 any
Надо:
10 permit 10.0.16.0 0.0.0.255 аnу
20 permit 10.0.4.0 0.0.0.255 any
Это ПЕРЕДАЮЩИЕСЯ клиенту маршруты!!!

По NAT, переделайте:
access-list 1 permit 10.0.4.0 0.0.0.255
access-list 10 permit 10.0.16.0 0.0.0.255
НА:
на access-list ex nat1
deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255
permit 10.0.4.0 0.0.0.255 any

на access-list ex nat10
deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255
access-list 10 permit ip 10.0.16.0 0.0.0.255 any

Ну, и ip nat iside, соответственно....

>но! я попробовал и так как у вас. фокус не удался, ничего
>не изменилось.
>и все-таки проблема в GW ))
Это есть?:
crypto isakmp client configuration group YYYYYY
netmask 255.255.255.0
Все, ладно, до сегодня... ;)
Опубликуйте, еще раз Нынешний конфиг....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Рука дрогнула. ;) " +/–

Сообщение от j_vw on 28-Окт-09, 00:56

>Ни разу ;)
>Он у вас ОБРАТНЫЙ
>не 10.0.18.0 0.0.0.255 any
>Надо:
>10 permit 10.0.16.0 0.0.0.255 аnу
>20 permit 10.0.4.0 0.0.0.255 any
permit ip 10.0.16.0 0.0.0.255 аnу
permit ip 10.0.4.0 0.0.0.255 any
>[оверквотинг удален]
>По NAT, переделайте:
>
>access-list 1 permit 10.0.4.0 0.0.0.255
>access-list 10 permit 10.0.16.0 0.0.0.255
>
>НА:
>
>на access-list ex nat1
>deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255
>permit 10.0.4.0 0.0.0.255 any
deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255
permit ip 10.0.4.0 0.0.0.255 any

>
>на access-list ex nat10
>deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255
>access-list 10 permit ip 10.0.16.0 0.0.0.255 any
deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255
permit ip 10.0.16.0 0.0.0.255 any

Можно, для начала, добавить в конце строчек log, чтобы видеть на экране (ter mon), куда пакеты попадают.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Рука дрогнула. ;) " +/–

Сообщение от AlexLine (ok) on 28-Окт-09, 01:59

>[оверквотинг удален]
>>НА:
>>на access-list ex nat1
>>deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255
>>permit 10.0.4.0 0.0.0.255 any
>deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255
>permit ip 10.0.4.0 0.0.0.255 any
>>
>>на access-list ex nat10
>deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255
>permit ip 10.0.16.0 0.0.0.255 any
Спасибо, добрый человек, заработало!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Def GW для VPN тоннеля (cisco 871)"		+/–
Сообщение от Myxa (??) on 27-Окт-09, 21:06
Попробуйте для начала добавить ip classless
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Def GW для VPN тоннеля (cisco 871)"		+/–
	Сообщение от AlexLine (ok) on 27-Окт-09, 22:06
	>Попробуйте для начала добавить ip classless Вы имеете в виду ip classes routing? Кстати, промелькнула у меня мысля что пакеты от ВПН клиента во внутреннюю сеть не ходят не из за GW, а по проблеме с Ацес-Листами. Коллеги, подскажите, можт какого ацл не хватает?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "У меня так работает:"		+/–
	Сообщение от j_vw on 27-Окт-09, 22:31
	Сравнивай.... crypto isakmp profile VPNclient match identity group YYYYYY client authentication list vpn isakmp authorization list vpn client configuration address respond ip local pool ippool 172.17.0.1 172.17.0.10 crypto isakmp client configuration group YYYYYY key XXXXX pool ippool acl EasyVPN include-local-lan netmask 255.255.255.0 crypto dynamic-map dynmap 10 set transform-set Vasya set isakmp-profile VPNclient reverse-route crypto map clientmap 10 ipsec-isakmp dynamic dynmap ip access-list extended EasyVPN permit ip 10.1.1.0 0.0.0.255 any permit ip 10.228.0.0 0.0.0.255 any Это сети, на которые передаются маршруты в клиентскую машину. Ну, и в ACL ната запрещен маршрут в ippool
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "У меня так работает:"		+/–
	Сообщение от AlexLine (ok) on 27-Окт-09, 23:11
	2 J_VW: вот такая байда теперь в route print на клиенте: Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 On-link 10.20.80.186 51 10.0.0.0 255.0.0.0 On-link 10.0.18.25 306 10.0.4.0 255.255.255.0 10.0.0.1 10.0.18.25 100 10.0.16.0 255.255.255.0 10.0.0.1 10.0.18.25 100 Откуда берется это 10.0.0.1 ? :wall:
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "У меня так работает:"		+/–
	Сообщение от j_vw on 27-Окт-09, 23:24
	>2 J_VW: >вот такая байда теперь в route print на клиенте: >Active Routes: >Откуда берется это 10.0.0.1 ? :wall: Это нормально. Или,скажу так: У МЕНЯ так же.... 10.228.0.0 255.255.255.0 172.17.0.1 172.17.0.5 1 На Кошке (sh ip ro) 172.17.0.0/32 is subnetted, 1 subnets S 172.17.0.5 [1/0] via "ip клиента" Все ходит
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Ты, кстати ЭТО поправил?"		+/–
	Сообщение от j_vw on 27-Окт-09, 23:30
	access-list 1 permit 10.0.4.0 0.0.0.255 access-list 10 permit 10.0.16.0 0.0.0.255 access-list 150 permit ip 10.0.18.0 0.0.0.255 any
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "У меня так работает:"		+/–
	Сообщение от AlexLine (ok) on 28-Окт-09, 00:26
	>[оверквотинг удален] >>вот такая байда теперь в route print на клиенте: >>Active Routes: >>Откуда берется это 10.0.0.1 ? :wall: > >Это нормально. > >Или,скажу так: У МЕНЯ так же.... > > 10.228.0.0 255.255.255.0 >172.17.0.1 172.17.0.5 когда 172.17.0.5 - адрес впн клиента, а 172.17.0.1 - его GW - да, это нормально, но когда 10.0.18.1 - адрес впн клиента, а 10.0.0.1 - его GW - это ИМХО не! нормально. по поводу ACL: Предложенный вами экстендед ацл - суть тоже что и мой 150тый. но! я попробовал и так как у вас. фокус не удался, ничего не изменилось. и все-таки проблема в GW ))
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Эта.... ;) "		+/–
	Сообщение от j_vw on 28-Окт-09, 00:48
	> >когда 172.17.0.5 - адрес впн клиента, а 172.17.0.1 - его GW - >да, это нормально, >но когда 10.0.18.1 - адрес впн клиента, а 10.0.0.1 - его GW >- это ИМХО не! нормально. > >по поводу ACL: >Предложенный вами экстендед ацл - суть тоже что и мой 150тый. Ни разу ;) Он у вас ОБРАТНЫЙ не 10.0.18.0 0.0.0.255 any Надо: 10 permit 10.0.16.0 0.0.0.255 аnу 20 permit 10.0.4.0 0.0.0.255 any Это ПЕРЕДАЮЩИЕСЯ клиенту маршруты!!! По NAT, переделайте: access-list 1 permit 10.0.4.0 0.0.0.255 access-list 10 permit 10.0.16.0 0.0.0.255 НА: на access-list ex nat1 deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255 permit 10.0.4.0 0.0.0.255 any на access-list ex nat10 deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255 access-list 10 permit ip 10.0.16.0 0.0.0.255 any Ну, и ip nat iside, соответственно.... >но! я попробовал и так как у вас. фокус не удался, ничего >не изменилось. >и все-таки проблема в GW )) Это есть?: crypto isakmp client configuration group YYYYYY netmask 255.255.255.0 Все, ладно, до сегодня... ;) Опубликуйте, еще раз Нынешний конфиг....
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Рука дрогнула. ;) "		+/–
	Сообщение от j_vw on 28-Окт-09, 00:56
	>Ни разу ;) >Он у вас ОБРАТНЫЙ >не 10.0.18.0 0.0.0.255 any >Надо: >10 permit 10.0.16.0 0.0.0.255 аnу >20 permit 10.0.4.0 0.0.0.255 any permit ip 10.0.16.0 0.0.0.255 аnу permit ip 10.0.4.0 0.0.0.255 any >[оверквотинг удален] >По NAT, переделайте: > >access-list 1 permit 10.0.4.0 0.0.0.255 >access-list 10 permit 10.0.16.0 0.0.0.255 > >НА: > >на access-list ex nat1 >deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255 >permit 10.0.4.0 0.0.0.255 any deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255 permit ip 10.0.4.0 0.0.0.255 any > >на access-list ex nat10 >deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255 >access-list 10 permit ip 10.0.16.0 0.0.0.255 any deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255 permit ip 10.0.16.0 0.0.0.255 any Можно, для начала, добавить в конце строчек log, чтобы видеть на экране (ter mon), куда пакеты попадают.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Рука дрогнула. ;) "		+/–
	Сообщение от AlexLine (ok) on 28-Окт-09, 01:59
	>[оверквотинг удален] >>НА: >>на access-list ex nat1 >>deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255 >>permit 10.0.4.0 0.0.0.255 any >deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255 >permit ip 10.0.4.0 0.0.0.255 any >> >>на access-list ex nat10 >deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255 >permit ip 10.0.16.0 0.0.0.255 any Спасибо, добрый человек, заработало!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору