Настройка VPN
Модераторы: Trinity admin`s, Free-lance moderator`s
Настройка VPN
Доброго времени суток!
Имеем циско 2801 со следующей конфой...
Current configuration : 3697 bytes
!
version 12.4
service nagle
service pad to-xot
service pad from-xot
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname Lipetsk_router
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings
enable password 7 XXXXXXXXXXXXXXXXXXXXXXXXXXXX
!
aaa new-model
aaa authentication login default local
aaa authentication login notest none
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
!
aaa session-id common
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip domain name yourdomain.com
!
multilink bundle-name authenticated
!
!
!
crypto pki trustpoint TP-self-signed-XXXXXXXXXX
subject-name cn=IOS-Self-Signed-Certificate-XXXXXXXXX
revocation-check none
rsakeypair TP-self-signed-xxxxxxxxxx
username pyrikov privilege 15 password 7 XXXXXXXXXXXXXXXXXXXX
archive
log config
hidekeys
!
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group 3000client
key XXXXXXXX
dns 192.168.80.202
wins 192.168.80.202
domain oblbank.ru
pool ippool
acl 108
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
!
!
!
!
!
interface FastEthernet0/0
description -=Glodal_Network=-
ip address 195.34.235.126 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex auto
speed 100
crypto map clientmap
!
interface FastEthernet0/1
description -=Local_Network=-
ip address 192.168.1.2 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed 100
!
interface FastEthernet0/1/0
!
interface FastEthernet0/1/1
!
interface FastEthernet0/1/2
!
interface FastEthernet0/1/3
!
interface FastEthernet0/3/0
no ip address
duplex auto
speed auto
!
interface Vlan1
!
ip local pool ippool 192.168.1.10 192.168.1.200
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 195.34.235.125
ip route 192.168.80.0 255.255.255.0 192.168.1.1
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip nat inside source static 192.168.1.1 195.34.235.126
!
access-list 108 permit ip 192.168.0.0 0.0.255.255 192.168.1.0 0.0.0.255
!
!
!
При попытке конекта на порт FastEthernet0/0 посредством Cisco VPN Client через интернет...
Клиент отвечает "remote peer is not longer responding"
В чём косяк?
Имеем циско 2801 со следующей конфой...
Current configuration : 3697 bytes
!
version 12.4
service nagle
service pad to-xot
service pad from-xot
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname Lipetsk_router
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings
enable password 7 XXXXXXXXXXXXXXXXXXXXXXXXXXXX
!
aaa new-model
aaa authentication login default local
aaa authentication login notest none
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
!
aaa session-id common
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip domain name yourdomain.com
!
multilink bundle-name authenticated
!
!
!
crypto pki trustpoint TP-self-signed-XXXXXXXXXX
subject-name cn=IOS-Self-Signed-Certificate-XXXXXXXXX
revocation-check none
rsakeypair TP-self-signed-xxxxxxxxxx
username pyrikov privilege 15 password 7 XXXXXXXXXXXXXXXXXXXX
archive
log config
hidekeys
!
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group 3000client
key XXXXXXXX
dns 192.168.80.202
wins 192.168.80.202
domain oblbank.ru
pool ippool
acl 108
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
!
!
!
!
!
interface FastEthernet0/0
description -=Glodal_Network=-
ip address 195.34.235.126 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex auto
speed 100
crypto map clientmap
!
interface FastEthernet0/1
description -=Local_Network=-
ip address 192.168.1.2 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed 100
!
interface FastEthernet0/1/0
!
interface FastEthernet0/1/1
!
interface FastEthernet0/1/2
!
interface FastEthernet0/1/3
!
interface FastEthernet0/3/0
no ip address
duplex auto
speed auto
!
interface Vlan1
!
ip local pool ippool 192.168.1.10 192.168.1.200
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 195.34.235.125
ip route 192.168.80.0 255.255.255.0 192.168.1.1
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip nat inside source static 192.168.1.1 195.34.235.126
!
access-list 108 permit ip 192.168.0.0 0.0.255.255 192.168.1.0 0.0.0.255
!
!
!
При попытке конекта на порт FastEthernet0/0 посредством Cisco VPN Client через интернет...
Клиент отвечает "remote peer is not longer responding"
В чём косяк?
Re: Настройка VPN
Для начала - не стоит выкладывать на всеобщее обозрение пароли, пусть и в зашифрованном виде. Ломаются на раз-два.alesha писал(а):Доброго времени суток!
Имеем циско 2801 со следующей конфой...
Current configuration : 3697 bytes
!
version 12.4
!
!
ip nat inside source static 192.168.1.1 195.34.235.126
!
access-list 108 permit ip 192.168.0.0 0.0.255.255 192.168.1.0 0.0.0.255
!
!
!
При попытке конекта на порт FastEthernet0/0 посредством Cisco VPN Client через интернет...
Клиент отвечает "remote peer is not longer responding"
В чём косяк?
По сути вопроса - посмотрите здесь.
Re: Настройка VPN
ну вот мой список доступаOleg2 писал(а):Для начала - не стоит выкладывать на всеобщее обозрение пароли, пусть и в зашифрованном виде. Ломаются на раз-два.alesha писал(а):Доброго времени суток!
Имеем циско 2801 со следующей конфой...
Current configuration : 3697 bytes
!
version 12.4
!
!
ip nat inside source static 192.168.1.1 195.34.235.126
!
access-list 108 permit ip 192.168.0.0 0.0.255.255 192.168.1.0 0.0.0.255
!
!
!
При попытке конекта на порт FastEthernet0/0 посредством Cisco VPN Client через интернет...
Клиент отвечает "remote peer is not longer responding"
В чём косяк?
По сути вопроса - посмотрите здесь.
ip access-list extended Internet
permit tcp any any gt 1023 established
permit tcp any any eq www
permit tcp any any eq ftp-data
permit tcp any eq domain any
permit udp any eq domain any
permit udp any any eq domain
permit tcp any any eq domain
permit tcp any any eq ftp
permit tcp any any eq pop3
permit tcp any any eq smtp
permit tcp any any eq 143
permit tcp any any eq 443
permit udp any any eq 443
permit tcp any any eq 465
permit tcp any any eq 995
permit tcp any any eq 993
permit icmp any any
permit tcp any any eq 22
permit udp any any eq isakmp
permit udp any any eq 10000
permit tcp any any eq 10000
permit tcp any any eq 500
permit udp any any eq 62515
permit tcp any any eq 62515
permit tcp any any eq 4500
permit udp any any eq non500-isakmp
deny ip any any log
!
вроде всё, что нужно открыто...
Re: Настройка VPN
Непонятно, куда и как привязан этот access list.alesha писал(а):ну вот мой список доступаOleg2 писал(а):Для начала - не стоит выкладывать на всеобщее обозрение пароли, пусть и в зашифрованном виде. Ломаются на раз-два.alesha писал(а):Доброго времени суток!
Имеем циско 2801 со следующей конфой...
Current configuration : 3697 bytes
!
version 12.4
!
!
ip nat inside source static 192.168.1.1 195.34.235.126
!
access-list 108 permit ip 192.168.0.0 0.0.255.255 192.168.1.0 0.0.0.255
!
!
!
При попытке конекта на порт FastEthernet0/0 посредством Cisco VPN Client через интернет...
Клиент отвечает "remote peer is not longer responding"
В чём косяк?
По сути вопроса - посмотрите здесь.
ip access-list extended Internet
Skipped......
deny ip any any log
!
вроде всё, что нужно открыто...
Re: Настройка VPN
Он привязан к FastEthernet0/0...Oleg2 писал(а):Непонятно, куда и как привязан этот access list.alesha писал(а):ну вот мой список доступаOleg2 писал(а): Для начала - не стоит выкладывать на всеобщее обозрение пароли, пусть и в зашифрованном виде. Ломаются на раз-два.
По сути вопроса - посмотрите здесь.
ip access-list extended Internet
Skipped......
deny ip any any log
!
вроде всё, что нужно открыто...
Может ли эта проблема быть из-за того, что эта циска является пограничным роутером(т.е.) она регулирет доступ в интернет и соответственно является шлюзом и на неё поднят НАТ? если да, то как решается данная проблема?
Re: Настройка VPN
А как он привязан? На in или out?alesha писал(а):
Он привязан к FastEthernet0/0...
Может ли эта проблема быть из-за того, что эта циска является пограничным роутером(т.е.) она регулирет доступ в интернет и соответственно является шлюзом и на неё поднят НАТ? если да, то как решается данная проблема?
Re: Настройка VPN
FastEthernt0/0 это ip nat outsideOleg2 писал(а):А как он привязан? На in или out?alesha писал(а):
Он привязан к FastEthernet0/0...
Может ли эта проблема быть из-за того, что эта циска является пограничным роутером(т.е.) она регулирет доступ в интернет и соответственно является шлюзом и на неё поднят НАТ? если да, то как решается данная проблема?
FastEthernt0/1 это ip nat inside
Re: Настройка VPN
Я спрашивал про привязку access list`а.alesha писал(а):FastEthernt0/0 это ip nat outsideOleg2 писал(а):А как он привязан? На in или out?alesha писал(а):
Он привязан к FastEthernet0/0...
Может ли эта проблема быть из-за того, что эта циска является пограничным роутером(т.е.) она регулирет доступ в интернет и соответственно является шлюзом и на неё поднят НАТ? если да, то как решается данная проблема?
FastEthernt0/1 это ip nat inside
http://www.cisco.com/en/US/products/sw/ ... urcedefine
Re: Настройка VPN
Я же написал... Он привязан к FastEthernet0/0... Или я что-то оптять не понял?Oleg2 писал(а):Я спрашивал про привязку access list`а.alesha писал(а):FastEthernt0/0 это ip nat outsideOleg2 писал(а): А как он привязан? На in или out?
FastEthernt0/1 это ip nat inside
http://www.cisco.com/en/US/products/sw/ ... urcedefine
Re: Настройка VPN
на вход или на выход?alesha писал(а):Я же написал... Он привязан к FastEthernet0/0...Oleg2 писал(а):Я спрашивал про привязку access list`а.alesha писал(а): FastEthernt0/0 это ip nat outside
FastEthernt0/1 это ip nat inside
http://www.cisco.com/en/US/products/sw/ ... urcedefine
ip access-group бла-бла-бла in
ip access-group бла-бла-бла out
Это же разные привязки!!!
Re: Настройка VPN
ip access-group бла-бла-бла inOleg2 писал(а):на вход или на выход?alesha писал(а):Я же написал... Он привязан к FastEthernet0/0...Oleg2 писал(а): Я спрашивал про привязку access list`а.
http://www.cisco.com/en/US/products/sw/ ... urcedefine
ip access-group бла-бла-бла in
ip access-group бла-бла-бла out
Это же разные привязки!!!
Re: Настройка VPN
Посмотрите здесь.alesha писал(а):Oleg2 писал(а):А как он привязан? На in или out?alesha писал(а):
Он привязан к FastEthernet0/0...
Может ли эта проблема быть из-за того, что эта циска является пограничным роутером(т.е.) она регулирет доступ в интернет и соответственно является шлюзом и на неё поднят НАТ? если да, то как решается данная проблема?
ip access-group бла-бла-бла in
По моему - это Ваш случай.
Re: Настройка VPN
А то, что это не через Интренет это нормально?Oleg2 писал(а):Посмотрите здесь.alesha писал(а):Oleg2 писал(а): А как он привязан? На in или out?
ip access-group бла-бла-бла in
По моему - это Ваш случай.
Настройка VPN
sh runand3008 писал(а):Таки предлагается СРАЗУ показывать весь конфиг, а не то, что понравится.
Building configuration...
Current configuration : 5478 bytes
!
version 12.4
service nagle
service pad to-xot
service pad from-xot
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname Lipetsk_router
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings
enable secret 5 $1$SA.E$aMXU4vIMK8JZfGtbMKNSI/
enable password 7 011F0F145E1F1504
aaa new-model
aaa authentication login userauthen group radius local
aaa authorization network groupauthor local
aaa session-id common
dot11 syslog
ip source-route
ip cef
ip domain name oblbank.ru
ip name-server 192.168.80.202
multilink bundle-name authenticated
crypto pki trustpoint TP-self-signed-3104593062
subject-name cn=IOS-Self-Signed-Certificate-3104593062
revocation-check none
rsakeypair TP-self-signed-3104593062
crypto pki trustpoint TP-self-signed-2906423707
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2906423707
revocation-check none
rsakeypair TP-self-signed-2906423707
archive
log config
hidekeys
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
crypto isakmp client configuration address-pool local ippool
crypto isakmp client configuration group 3000client
key cisco123
dns 192.168.80.202
domain cisco.com
pool ippool
acl 108
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto ipsec transform-set trans1 esp-des esp-md5-hmac
crypto dynamic-map dynmap 10
set transform-set trans1
crypto dynamic-map mcmainmap 1
reverse-route
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
crypto map intmap client configuration address initiate
crypto map intmap client configuration address respond
crypto map intmap 10 ipsec-isakmp dynamic dynmap
crypto map mcmain 65535 ipsec-isakmp dynamic mcmainmap
interface Loopback0
ip address 10.11.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
interface FastEthernet0/0
description -=Glodal_Network=-
ip address 195.34.235.126 255.255.255.252
ip access-group Internet in
ip nat outside
ip virtual-reassembly
duplex auto
speed 100
crypto map intmap
interface FastEthernet0/1
description -=Local_Network=-
ip address 192.168.1.2 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed 100
ip local pool ippool 192.168.100.1 192.168.100.200
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 195.34.235.125
ip route 192.168.80.0 255.255.255.0 192.168.1.1
ip http server
ip http secure-server
ip nat pool outsidepool 192.168.1.1 192.168.1.160 netmask 255.255.255.0
ip nat inside source route-map nonat pool outsidepool
ip nat inside source static 192.168.1.1 195.34.235.126
ip access-list extended Internet
permit tcp any any gt 1023 established
permit tcp any any eq www
permit tcp any any eq ftp-data
permit tcp any eq domain any
permit udp any eq domain any
permit udp any any eq domain
permit tcp any any eq domain
permit tcp any any eq ftp
permit tcp any any eq pop3
permit tcp any any eq smtp
permit tcp any any eq 143
permit tcp any any eq 443
permit udp any any eq 443
permit tcp any any eq 465
permit tcp any any eq 995
permit tcp any any eq 993
permit icmp any any
permit tcp any any eq 22
permit udp any any eq isakmp
permit udp any any eq 10000
permit tcp any any eq 10000
permit tcp any any eq 500
permit udp any any eq 62515
permit tcp any any eq 62515
permit tcp any any eq 4500
permit udp any any eq non500-isakmp
deny ip any any log
access-list 108 permit ip 192.168.100.0 0.0.0.255 any
route-map nonat permit 108
match ip address 101
radius-server host 192.168.80.202 auth-port 1645 acct-port 1646 key 7 01100F175804575D72
control-plane
banner login ^C
line con 0
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
transport input telnet ssh
line vty 5 15
access-class 23 in
privilege level 15
transport input telnet ssh
scheduler allocate 20000 1000
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 12 гостей