Настройка VPN

Модераторы: Trinity admin`s, Free-lance moderator`s

alesha
Advanced member
Сообщения: 117
Зарегистрирован: 10 ноя 2004, 16:25
Контактная информация:

Настройка VPN

Сообщение alesha » 23 дек 2008, 10:43

Доброго времени суток!
Имеем циско 2801 со следующей конфой...
Current configuration : 3697 bytes
!
version 12.4
service nagle
service pad to-xot
service pad from-xot
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname Lipetsk_router
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings
enable password 7 XXXXXXXXXXXXXXXXXXXXXXXXXXXX
!
aaa new-model
aaa authentication login default local
aaa authentication login notest none
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
!
aaa session-id common
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip domain name yourdomain.com
!
multilink bundle-name authenticated
!
!
!
crypto pki trustpoint TP-self-signed-XXXXXXXXXX
subject-name cn=IOS-Self-Signed-Certificate-XXXXXXXXX
revocation-check none
rsakeypair TP-self-signed-xxxxxxxxxx
username pyrikov privilege 15 password 7 XXXXXXXXXXXXXXXXXXXX
archive
log config
 hidekeys
!
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group 3000client
key XXXXXXXX
dns 192.168.80.202
wins 192.168.80.202
domain oblbank.ru
pool ippool
acl 108
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
!
!
!
!
!
interface FastEthernet0/0
description -=Glodal_Network=-
ip address 195.34.235.126 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex auto
speed 100
crypto map clientmap
!
interface FastEthernet0/1
description -=Local_Network=-
ip address 192.168.1.2 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed 100
!
interface FastEthernet0/1/0
!
interface FastEthernet0/1/1
!
interface FastEthernet0/1/2
!
interface FastEthernet0/1/3
!
interface FastEthernet0/3/0
no ip address
duplex auto
speed auto
!
interface Vlan1

!
ip local pool ippool 192.168.1.10 192.168.1.200
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 195.34.235.125
ip route 192.168.80.0 255.255.255.0 192.168.1.1
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip nat inside source static 192.168.1.1 195.34.235.126
!
access-list 108 permit ip 192.168.0.0 0.0.255.255 192.168.1.0 0.0.0.255
!
!
!



При попытке конекта на порт FastEthernet0/0 посредством Cisco VPN Client через интернет...
Клиент отвечает "remote peer is not longer responding"
В чём косяк?

Oleg2
Заслуженный сетевик
Сообщения: 494
Зарегистрирован: 15 окт 2004, 17:47
Откуда: Москва

Re: Настройка VPN

Сообщение Oleg2 » 26 дек 2008, 16:18

alesha писал(а):Доброго времени суток!
Имеем циско 2801 со следующей конфой...
Current configuration : 3697 bytes
!
version 12.4

!
!
ip nat inside source static 192.168.1.1 195.34.235.126
!
access-list 108 permit ip 192.168.0.0 0.0.255.255 192.168.1.0 0.0.0.255
!
!
!



При попытке конекта на порт FastEthernet0/0 посредством Cisco VPN Client через интернет...
Клиент отвечает "remote peer is not longer responding"
В чём косяк?
Для начала - не стоит выкладывать на всеобщее обозрение пароли, пусть и в зашифрованном виде. Ломаются на раз-два.

По сути вопроса - посмотрите здесь.

alesha
Advanced member
Сообщения: 117
Зарегистрирован: 10 ноя 2004, 16:25
Контактная информация:

Re: Настройка VPN

Сообщение alesha » 26 дек 2008, 16:34

Oleg2 писал(а):
alesha писал(а):Доброго времени суток!
Имеем циско 2801 со следующей конфой...
Current configuration : 3697 bytes
!
version 12.4

!
!
ip nat inside source static 192.168.1.1 195.34.235.126
!
access-list 108 permit ip 192.168.0.0 0.0.255.255 192.168.1.0 0.0.0.255
!
!
!



При попытке конекта на порт FastEthernet0/0 посредством Cisco VPN Client через интернет...
Клиент отвечает "remote peer is not longer responding"
В чём косяк?
Для начала - не стоит выкладывать на всеобщее обозрение пароли, пусть и в зашифрованном виде. Ломаются на раз-два.

По сути вопроса - посмотрите здесь.
ну вот мой список доступа
ip access-list extended Internet
permit tcp any any gt 1023 established
permit tcp any any eq www
permit tcp any any eq ftp-data
permit tcp any eq domain any
permit udp any eq domain any
permit udp any any eq domain
permit tcp any any eq domain
permit tcp any any eq ftp
permit tcp any any eq pop3
permit tcp any any eq smtp
permit tcp any any eq 143
permit tcp any any eq 443
permit udp any any eq 443
permit tcp any any eq 465
permit tcp any any eq 995
permit tcp any any eq 993
permit icmp any any
permit tcp any any eq 22
permit udp any any eq isakmp
permit udp any any eq 10000
permit tcp any any eq 10000
permit tcp any any eq 500
permit udp any any eq 62515
permit tcp any any eq 62515
permit tcp any any eq 4500
permit udp any any eq non500-isakmp
deny   ip any any log
!
вроде всё, что нужно открыто...

Oleg2
Заслуженный сетевик
Сообщения: 494
Зарегистрирован: 15 окт 2004, 17:47
Откуда: Москва

Re: Настройка VPN

Сообщение Oleg2 » 26 дек 2008, 16:44

alesha писал(а):
Oleg2 писал(а):
alesha писал(а):Доброго времени суток!
Имеем циско 2801 со следующей конфой...
Current configuration : 3697 bytes
!
version 12.4

!
!
ip nat inside source static 192.168.1.1 195.34.235.126
!
access-list 108 permit ip 192.168.0.0 0.0.255.255 192.168.1.0 0.0.0.255
!
!
!



При попытке конекта на порт FastEthernet0/0 посредством Cisco VPN Client через интернет...
Клиент отвечает "remote peer is not longer responding"
В чём косяк?
Для начала - не стоит выкладывать на всеобщее обозрение пароли, пусть и в зашифрованном виде. Ломаются на раз-два.

По сути вопроса - посмотрите здесь.
ну вот мой список доступа
ip access-list extended Internet

Skipped......

deny   ip any any log
!
вроде всё, что нужно открыто...
Непонятно, куда и как привязан этот access list.

alesha
Advanced member
Сообщения: 117
Зарегистрирован: 10 ноя 2004, 16:25
Контактная информация:

Re: Настройка VPN

Сообщение alesha » 26 дек 2008, 17:36

Oleg2 писал(а):
alesha писал(а):
Oleg2 писал(а): Для начала - не стоит выкладывать на всеобщее обозрение пароли, пусть и в зашифрованном виде. Ломаются на раз-два.

По сути вопроса - посмотрите здесь.
ну вот мой список доступа
ip access-list extended Internet

Skipped......

deny   ip any any log
!
вроде всё, что нужно открыто...
Непонятно, куда и как привязан этот access list.
Он привязан к FastEthernet0/0...
Может ли эта проблема быть из-за того, что эта циска является пограничным роутером(т.е.) она регулирет доступ в интернет и соответственно является шлюзом и на неё поднят НАТ? если да, то как решается данная проблема?

Oleg2
Заслуженный сетевик
Сообщения: 494
Зарегистрирован: 15 окт 2004, 17:47
Откуда: Москва

Re: Настройка VPN

Сообщение Oleg2 » 26 дек 2008, 17:38

alesha писал(а):
Он привязан к FastEthernet0/0...
Может ли эта проблема быть из-за того, что эта циска является пограничным роутером(т.е.) она регулирет доступ в интернет и соответственно является шлюзом и на неё поднят НАТ? если да, то как решается данная проблема?
А как он привязан? На in или out?

alesha
Advanced member
Сообщения: 117
Зарегистрирован: 10 ноя 2004, 16:25
Контактная информация:

Re: Настройка VPN

Сообщение alesha » 26 дек 2008, 17:40

Oleg2 писал(а):
alesha писал(а):
Он привязан к FastEthernet0/0...
Может ли эта проблема быть из-за того, что эта циска является пограничным роутером(т.е.) она регулирет доступ в интернет и соответственно является шлюзом и на неё поднят НАТ? если да, то как решается данная проблема?
А как он привязан? На in или out?
FastEthernt0/0 это ip nat outside
FastEthernt0/1 это ip nat inside

Oleg2
Заслуженный сетевик
Сообщения: 494
Зарегистрирован: 15 окт 2004, 17:47
Откуда: Москва

Re: Настройка VPN

Сообщение Oleg2 » 26 дек 2008, 17:48

alesha писал(а):
Oleg2 писал(а):
alesha писал(а):
Он привязан к FastEthernet0/0...
Может ли эта проблема быть из-за того, что эта циска является пограничным роутером(т.е.) она регулирет доступ в интернет и соответственно является шлюзом и на неё поднят НАТ? если да, то как решается данная проблема?
А как он привязан? На in или out?
FastEthernt0/0 это ip nat outside
FastEthernt0/1 это ip nat inside
Я спрашивал про привязку access list`а.
http://www.cisco.com/en/US/products/sw/ ... urcedefine

alesha
Advanced member
Сообщения: 117
Зарегистрирован: 10 ноя 2004, 16:25
Контактная информация:

Re: Настройка VPN

Сообщение alesha » 26 дек 2008, 18:00

Oleg2 писал(а):
alesha писал(а):
Oleg2 писал(а): А как он привязан? На in или out?
FastEthernt0/0 это ip nat outside
FastEthernt0/1 это ip nat inside
Я спрашивал про привязку access list`а.
http://www.cisco.com/en/US/products/sw/ ... urcedefine
Я же написал... Он привязан к FastEthernet0/0... Или я что-то оптять не понял?

Oleg2
Заслуженный сетевик
Сообщения: 494
Зарегистрирован: 15 окт 2004, 17:47
Откуда: Москва

Re: Настройка VPN

Сообщение Oleg2 » 26 дек 2008, 18:04

alesha писал(а):
Oleg2 писал(а):
alesha писал(а): FastEthernt0/0 это ip nat outside
FastEthernt0/1 это ip nat inside
Я спрашивал про привязку access list`а.
http://www.cisco.com/en/US/products/sw/ ... urcedefine
Я же написал... Он привязан к FastEthernet0/0...
на вход или на выход?
ip access-group бла-бла-бла in
ip access-group бла-бла-бла out
Это же разные привязки!!!

alesha
Advanced member
Сообщения: 117
Зарегистрирован: 10 ноя 2004, 16:25
Контактная информация:

Re: Настройка VPN

Сообщение alesha » 26 дек 2008, 18:13

Oleg2 писал(а):
alesha писал(а):
Oleg2 писал(а): Я спрашивал про привязку access list`а.
http://www.cisco.com/en/US/products/sw/ ... urcedefine
Я же написал... Он привязан к FastEthernet0/0...
на вход или на выход?
ip access-group бла-бла-бла in
ip access-group бла-бла-бла out
Это же разные привязки!!!
ip access-group бла-бла-бла in

Oleg2
Заслуженный сетевик
Сообщения: 494
Зарегистрирован: 15 окт 2004, 17:47
Откуда: Москва

Re: Настройка VPN

Сообщение Oleg2 » 26 дек 2008, 18:29

alesha писал(а):
Oleg2 писал(а):
alesha писал(а):
Он привязан к FastEthernet0/0...
Может ли эта проблема быть из-за того, что эта циска является пограничным роутером(т.е.) она регулирет доступ в интернет и соответственно является шлюзом и на неё поднят НАТ? если да, то как решается данная проблема?
А как он привязан? На in или out?

ip access-group бла-бла-бла in
Посмотрите здесь.
По моему - это Ваш случай.

alesha
Advanced member
Сообщения: 117
Зарегистрирован: 10 ноя 2004, 16:25
Контактная информация:

Re: Настройка VPN

Сообщение alesha » 26 дек 2008, 18:32

Oleg2 писал(а):
alesha писал(а):
Oleg2 писал(а): А как он привязан? На in или out?

ip access-group бла-бла-бла in
Посмотрите здесь.
По моему - это Ваш случай.
А то, что это не через Интренет это нормально?

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Сообщение and3008 » 26 дек 2008, 18:45

Таки предлагается СРАЗУ показывать весь конфиг, а не то, что понравится.

alesha
Advanced member
Сообщения: 117
Зарегистрирован: 10 ноя 2004, 16:25
Контактная информация:

Настройка VPN

Сообщение alesha » 26 дек 2008, 18:59

and3008 писал(а):Таки предлагается СРАЗУ показывать весь конфиг, а не то, что понравится.
sh run
Building configuration...

Current configuration : 5478 bytes
!
version 12.4
service nagle
service pad to-xot
service pad from-xot
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname Lipetsk_router
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings
enable secret 5 $1$SA.E$aMXU4vIMK8JZfGtbMKNSI/
enable password 7 011F0F145E1F1504
aaa new-model
aaa authentication login userauthen group radius local
aaa authorization network groupauthor local
aaa session-id common
dot11 syslog
ip source-route
ip cef
ip domain name oblbank.ru
ip name-server 192.168.80.202
multilink bundle-name authenticated

crypto pki trustpoint TP-self-signed-3104593062
subject-name cn=IOS-Self-Signed-Certificate-3104593062
revocation-check none
rsakeypair TP-self-signed-3104593062
crypto pki trustpoint TP-self-signed-2906423707
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2906423707                        
revocation-check none
rsakeypair TP-self-signed-2906423707
archive
log config
hidekeys
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
crypto isakmp client configuration address-pool local ippool
crypto isakmp client configuration group 3000client
key cisco123
dns 192.168.80.202
domain cisco.com
pool ippool
acl 108
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto ipsec transform-set trans1 esp-des esp-md5-hmac
crypto dynamic-map dynmap 10
set transform-set trans1
crypto dynamic-map mcmainmap 1
reverse-route
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
crypto map intmap client configuration address initiate
crypto map intmap client configuration address respond
crypto map intmap 10 ipsec-isakmp dynamic dynmap
crypto map mcmain 65535 ipsec-isakmp dynamic mcmainmap

interface Loopback0
ip address 10.11.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
interface FastEthernet0/0
description -=Glodal_Network=-
ip address 195.34.235.126 255.255.255.252
ip access-group Internet in
ip nat outside
ip virtual-reassembly
duplex auto
speed 100
crypto map intmap

interface FastEthernet0/1
description -=Local_Network=-
ip address 192.168.1.2 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed 100

ip local pool ippool 192.168.100.1 192.168.100.200
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 195.34.235.125
ip route 192.168.80.0 255.255.255.0 192.168.1.1
ip http server
ip http secure-server

ip nat pool outsidepool 192.168.1.1 192.168.1.160 netmask 255.255.255.0
ip nat inside source route-map nonat pool outsidepool
ip nat inside source static 192.168.1.1 195.34.235.126
ip access-list extended Internet
permit tcp any any gt 1023 established
permit tcp any any eq www
permit tcp any any eq ftp-data
permit tcp any eq domain any
permit udp any eq domain any
permit udp any any eq domain
permit tcp any any eq domain
permit tcp any any eq ftp
permit tcp any any eq pop3
permit tcp any any eq smtp
permit tcp any any eq 143
permit tcp any any eq 443
permit udp any any eq 443
permit tcp any any eq 465
permit tcp any any eq 995
permit tcp any any eq 993
permit icmp any any
permit tcp any any eq 22
permit udp any any eq isakmp
permit udp any any eq 10000
permit tcp any any eq 10000
permit tcp any any eq 500
permit udp any any eq 62515
permit tcp any any eq 62515
permit tcp any any eq 4500
permit udp any any eq non500-isakmp
deny   ip any any log

access-list 108 permit ip 192.168.100.0 0.0.0.255 any
route-map nonat permit 108
match ip address 101
radius-server host 192.168.80.202 auth-port 1645 acct-port 1646 key 7 01100F175804575D72

control-plane
banner login ^C

line con 0
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
transport input telnet ssh
line vty 5 15
access-class 23 in
privilege level 15
transport input telnet ssh
scheduler allocate 20000 1000

Закрыто

Вернуться в «Сети - Вопросы конфигурирования сети»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 12 гостей