Настройка VPN

Модераторы: Trinity admin`s, Free-lance moderator`s

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Re: Настройка VPN

Сообщение and3008 » 27 дек 2008, 23:34

На ACL Internet не разрешен протокол ESP. Он нужен для работы IPSec.

Надо добавить permit esp any any

Я еще не делю назад просил прислать sh techsupport на мою почту. Забил? Ну сам себе злой буратина.

alesha
Advanced member
Сообщения: 117
Зарегистрирован: 10 ноя 2004, 16:25
Контактная информация:

Re: Настройка VPN

Сообщение alesha » 28 дек 2008, 09:51

Я отсылал, всё, что ВЫ просили... В тот же день отослал...

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Re: Настройка VPN

Сообщение and3008 » 28 дек 2008, 13:10

Не получал. Честное слово.

В общем давай уж, правь ACL. Косяк понятен, а затяжка с временем решения из-за того, что ты сразу не дал целиковый конфиг.

alesha
Advanced member
Сообщения: 117
Зарегистрирован: 10 ноя 2004, 16:25
Контактная информация:

Re: Настройка VPN

Сообщение alesha » 28 дек 2008, 14:42

Неужели только в этом? Т.е. в том что я acl не дописал?
Мне один спец сказал, что из-за того, то это граничный маршрутизатор (т.е. является шлюзом в нет), то тут надо ещё свутч один поставить, только не сказал для чего... Типа т.к. у меня циске nat поднят из-за этолго вообще работать не будет... А если и будет, то после установки vpn-соединения интернет в организации упадёт...

А попробовать только завтра смогу... На работе...

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Re: Настройка VPN

Сообщение and3008 » 28 дек 2008, 16:49

У меня работает и ничего не падает. Надо понимать, как работает маршрутизатор, а не догадки строить.

Ты повесил на интерфейс, который глядит в Интернет, ACL. Он "стреляет" на все пакеты, которые приходят в маршрутизатор. В т.ч. и от IPSec-клиентов. Судя по настройкам роутера у тебя используется IPSec в режиме тунелирования и шифрования. Значит требуется протокол ESP. Смотрим ACL, видим, что ESP не разрешен, а значение по умолчанию у любого ACL в Циске: все, что не разрешено (permit)- запрещено (deny). Неявный deny any any стоит в каждом ACL на Циске, поэтому прописывать его ручками не обязательно.

Теперь про NAT. Надо понимать как работает NAT. Предлагаю домашнюю работу. Найти на сайте opennet.ru как на Циске работает NAT и ВНИМАТЕЛЬНО почитать. После этого на сайте Cisco найти доку, в которой описана последовательность обработки IP-пакета внутри маршрутизатора. Почесать после этого тыковку и понять, что писать ACL надо аккуратно. Понимая как они работают, как ходит трафик внутри роутера, как роутер трафик обрабатывает.

После этого перестанете верить во всякие небылицы и мало понятные советы.

На сайте Cisco подавляющее большинство конфигураций рабочие. По крйней мере там очень подробно разжевывается бизнес-задача, всегда нарисована схема, есть краткое пояснение к ней и пример рабочего конфига. В конфиге обычно выделены ключевые элементы, без которых работать не будет. Пишется это для людей, которые думают, а не для чайников, которым лишь бы copy-paste, да по-быстрее...

alesha
Advanced member
Сообщения: 117
Зарегистрирован: 10 ноя 2004, 16:25
Контактная информация:

Re: Настройка VPN

Сообщение alesha » 29 дек 2008, 08:36

Надо добавить permit esp any any...

К сожалению это не помогло... Результат тот же :(

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Re: Настройка VPN

Сообщение and3008 » 29 дек 2008, 09:21

Ну тогда:
term mon
debug crypto

И давай всю сюды.

alesha
Advanced member
Сообщения: 117
Зарегистрирован: 10 ноя 2004, 16:25
Контактная информация:

Re: Настройка VPN

Сообщение alesha » 29 дек 2008, 09:22

and3008 писал(а):Ну тогда:
term mon
debug crypto

И давай всю сюды.
Lipetsk_router#term mon
Lipetsk_router#debug crypto
% Incomplete command.

Lipetsk_router#

alesha
Advanced member
Сообщения: 117
Зарегистрирован: 10 ноя 2004, 16:25
Контактная информация:

Re: Настройка VPN

Сообщение alesha » 29 дек 2008, 09:32

Чё-то хрень какая-то... Ничего не вывел...

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Re: Настройка VPN

Сообщение and3008 » 29 дек 2008, 09:32

Погляде еще раз внимательней конфиг.

Приходит к тебе клиент. Циска по текущей логике должна выдать ему адрес из сети 192.168.1.0
Для этой же сети работает правило NAT. И как, простите, маршрутизатору, узнать что для такого клиента "натить", а что пропускать через IPSec?

Адреса клиентов, приходящих по IPSec назначь другие.

P.S. Если Циска ругается на неполную команду, то надо воспользоваться подсказкой. Для этого в конце неполной команды надо нажать ?

alesha
Advanced member
Сообщения: 117
Зарегистрирован: 10 ноя 2004, 16:25
Контактная информация:

Re: Настройка VPN

Сообщение alesha » 29 дек 2008, 09:39

Подправил... Теперь вот так...
Current configuration : 5455 bytes
!
version 12.4
service nagle
service pad to-xot
service pad from-xot
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname Lipetsk_router
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings
aaa new-model
!
!
aaa authentication login userauthen group radius local
aaa authorization network groupauthor local
!
!
aaa session-id common
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip domain name oblbank.ru
ip name-server 192.168.80.202
!
multilink bundle-name authenticated
!
!
!
crypto pki trustpoint TP-self-signed-3104593062
subject-name cn=IOS-Self-Signed-Certificate-3104593062
revocation-check none
rsakeypair TP-self-signed-3104593062
!
crypto pki trustpoint TP-self-signed-2906423707
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2906423707

revocation-check none
rsakeypair TP-self-signed-2906423707
!
!
!
!
username pyrikov privilege 15 password 7 050C0C1635405A02141C1500
username cisco password 7 05080F1C2243
archive
log config
hidekeys
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
crypto isakmp client configuration address-pool local ippool
!
crypto isakmp client configuration group 3000client
key cisco123
dns 192.168.80.202
domain cisco.com
pool ippool
acl 108
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto ipsec transform-set trans1 esp-des esp-md5-hmac
!
crypto dynamic-map dynmap 10
set transform-set trans1
!
crypto dynamic-map mcmainmap 1
reverse-route
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
crypto map intmap client configuration address initiate
crypto map intmap client configuration address respond
crypto map intmap 10 ipsec-isakmp dynamic dynmap
!
crypto map mcmain 65535 ipsec-isakmp dynamic mcmainmap
!
!
!
!
!
!
interface Loopback0
ip address 10.11.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/0
description -=Glodal_Network=-
ip address 195.34.235.126 255.255.255.252
ip access-group Internet in
ip nat outside
ip virtual-reassembly
duplex auto
speed 100
crypto map intmap
!
interface FastEthernet0/1
description -=Local_Network=-
ip address 192.168.1.2 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed 100
!
interface FastEthernet0/1/0
!
interface FastEthernet0/1/1
!
interface FastEthernet0/1/2
!
interface FastEthernet0/1/3
!
interface FastEthernet0/3/0
no ip address
duplex auto
speed auto
!
interface Vlan1
no ip address
!
ip local pool ippool 192.168.100.1 192.168.100.200
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 195.34.235.125
ip route 192.168.80.0 255.255.255.0 192.168.1.1
ip http server
ip http secure-server
!
!
ip nat inside source list 175 interface FastEthernet0/0 overload
ip nat inside source static 192.168.1.1 195.34.235.126
!
ip access-list extended Internet
permit tcp any any gt 1023 established
permit tcp any any eq www
permit tcp any any eq ftp-data
permit tcp any eq domain any
permit udp any eq domain any
permit udp any eq domain any
permit udp any any eq domain
permit tcp any any eq domain
permit tcp any any eq ftp
permit tcp any any eq pop3
permit tcp any any eq smtp
permit tcp any any eq 143
permit tcp any any eq 443
permit udp any any eq 443
permit tcp any any eq 465
permit tcp any any eq 995
permit tcp any any eq 993
permit icmp any any
permit tcp any any eq 22
permit udp any any eq isakmp
permit udp any any eq 10000
permit tcp any any eq 10000
permit tcp any any eq 500
permit udp any any eq 62515
permit tcp any any eq 62515
permit tcp any any eq 4500
permit udp any any eq non500-isakmp
permit esp any any
deny ip any any log

!
access-list 175 deny ip 192.168.1.0 0.0.0.255 192.168.80.0 0.0.0.255
access-list 175 permit ip 192.168.1.0 0.0.0.255 any
!
!
!
!
radius-server host 192.168.80.202 auth-port 1645 acct-port 1646 key 7 01100F1758
04575D72
!
control-plane
!
line con 0
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
transport input telnet ssh
line vty 5 15
access-class 23 in
privilege level 15
transport input telnet ssh
!
scheduler allocate 20000 1000
end


Но результат тот же... Что не так? осталось тока застрелиться... :(

alesha
Advanced member
Сообщения: 117
Зарегистрирован: 10 ноя 2004, 16:25
Контактная информация:

Re: Настройка VPN

Сообщение alesha » 29 дек 2008, 12:13

Законектится я законектился... Слава Богу!!!
Но теперь вот какая проблема...
При новом конекте... Каждый раз выделяется новый адрес клиенту... И я, каждый раз могу пинговать только один хост из приватной сети... Как лечить это дело?
Вот конфиг, по традиции...

Current configuration : 4313 bytes
!
version 12.4
service nagle
service pad to-xot
service pad from-xot
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname Lipetsk_router
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings

aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
aaa authorization network foo local
!
!
aaa session-id common
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip domain name oblbank.ru
ip name-server 192.168.80.202
!
multilink bundle-name authenticated
!
!
!
crypto pki trustpoint TP-self-signed-3104593062
subject-name cn=IOS-Self-Signed-Certificate-3104593062
revocation-check none
rsakeypair TP-self-signed-3104593062
!
crypto pki trustpoint TP-self-signed-2906423707
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2906423707

revocation-check none
rsakeypair TP-self-signed-2906423707
!
!
!
!
username pyrikov privilege 15 password 7 050C0C1635405A02141C1500
username cisco password 7 110A1016141D5A5E57
username client password 7 0835495D1D1A091E170518
archive
log config
hidekeys
!
!
crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp keepalive 40 5
crypto isakmp nat keepalive 20
!
crypto isakmp client configuration group cisco
key test1234
pool ippool
!
!
crypto ipsec transform-set test esp-3des esp-md5-hmac
crypto ipsec transform-set foo esp-3des esp-sha-hmac
!
crypto ipsec profile greprotect
!
!
crypto dynamic-map dynmap 1
set transform-set foo
match address 175
crypto dynamic-map dynmap 10
!
crypto dynamic-map mcmainmap 1
reverse-route
!
crypto map mcmain 65535 ipsec-isakmp dynamic mcmainmap
!
crypto map test client authentication list userauthen
crypto map test isakmp authorization list foo
crypto map test client configuration address respond
crypto map test 20 ipsec-isakmp dynamic dynmap
!
!
!
!
!
!
interface Loopback0
ip address 10.11.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/0
description -=Glodal_Network=-
ip address 195.34.235.126 255.255.255.252
ip access-group Internet in
ip nat outside
ip virtual-reassembly
duplex auto
speed 100
crypto map test
!
interface FastEthernet0/1
description -=Local_Network=-
ip address 192.168.1.2 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed 100
!
interface FastEthernet0/1/0
!
interface FastEthernet0/1/1
!
interface FastEthernet0/1/2
!
interface FastEthernet0/1/3
!
interface FastEthernet0/3/0
no ip address
duplex auto
speed auto
interface Vlan1
no ip address
!
ip local pool ippool 192.168.100.1 192.168.100.200
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 195.34.235.125
ip route 192.168.80.0 255.255.255.0 192.168.1.1
ip http server
ip http secure-server
!
!
ip nat inside source list 175 interface FastEthernet0/0 overload
!
ip access-list extended Internet
permit tcp any any gt 1023 established
permit tcp any any eq www
permit tcp any any eq ftp-data
permit tcp any eq domain any
permit udp any eq domain any
permit udp any any eq domain
permit tcp any any eq domain
permit tcp any any eq ftp
permit tcp any any eq pop3
permit tcp any any eq smtp
permit tcp any any eq 143
permit tcp any any eq 443
permit udp any any eq 443
permit tcp any any eq 465
permit tcp any any eq 995
permit tcp any any eq 993
permit icmp any any
permit tcp any any eq 22
permit udp any any eq isakmp
permit udp any any eq 10000
permit tcp any any eq 10000
permit tcp any any eq 500
permit udp any any eq 62515
permit tcp any any eq 62515
permit tcp any any eq 4500
permit udp any any eq non500-isakmp
permit esp any any
deny ip any any log
!
access-list 175 deny ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 175 permit ip 192.168.1.0 0.0.0.255 any
line con 0
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
transport input telnet ssh
line vty 5 15
access-class 23 in
privilege level 15
transport input telnet ssh
!
scheduler allocate 20000 1000
end

alesha
Advanced member
Сообщения: 117
Зарегистрирован: 10 ноя 2004, 16:25
Контактная информация:

Re: Настройка VPN

Сообщение alesha » 29 дек 2008, 12:27

alesha писал(а):Законектится я законектился... Слава Богу!!!
Но теперь вот какая проблема...
При новом конекте... Каждый раз выделяется новый адрес клиенту... И я, каждый раз могу пинговать только один хост из приватной сети... Как лечить это дело?
Вот конфиг, по традиции...

Current configuration : 4313 bytes
!
version 12.4
service nagle
service pad to-xot
service pad from-xot
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname Lipetsk_router
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings

aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
aaa authorization network foo local
!
!
aaa session-id common
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip domain name oblbank.ru
ip name-server 192.168.80.202
!
multilink bundle-name authenticated
!
!
!
crypto pki trustpoint TP-self-signed-3104593062
subject-name cn=IOS-Self-Signed-Certificate-3104593062
revocation-check none
rsakeypair TP-self-signed-3104593062
!
crypto pki trustpoint TP-self-signed-2906423707
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2906423707

revocation-check none
rsakeypair TP-self-signed-2906423707
!
!
!
!
username pyrikov privilege 15 password 7 050C0C1635405A02141C1500
username cisco password 7 110A1016141D5A5E57
username client password 7 0835495D1D1A091E170518
archive
log config
hidekeys
!
!
crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp keepalive 40 5
crypto isakmp nat keepalive 20
!
crypto isakmp client configuration group cisco
key test1234
pool ippool
!
!
crypto ipsec transform-set test esp-3des esp-md5-hmac
crypto ipsec transform-set foo esp-3des esp-sha-hmac
!
crypto ipsec profile greprotect
!
!
crypto dynamic-map dynmap 1
set transform-set foo
match address 175
crypto dynamic-map dynmap 10
!
crypto dynamic-map mcmainmap 1
reverse-route
!
crypto map mcmain 65535 ipsec-isakmp dynamic mcmainmap
!
crypto map test client authentication list userauthen
crypto map test isakmp authorization list foo
crypto map test client configuration address respond
crypto map test 20 ipsec-isakmp dynamic dynmap
!
!
!
!
!
!
interface Loopback0
ip address 10.11.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/0
description -=Glodal_Network=-
ip address 195.34.235.126 255.255.255.252
ip access-group Internet in
ip nat outside
ip virtual-reassembly
duplex auto
speed 100
crypto map test
!
interface FastEthernet0/1
description -=Local_Network=-
ip address 192.168.1.2 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed 100
!
interface FastEthernet0/1/0
!
interface FastEthernet0/1/1
!
interface FastEthernet0/1/2
!
interface FastEthernet0/1/3
!
interface FastEthernet0/3/0
no ip address
duplex auto
speed auto
interface Vlan1
no ip address
!
ip local pool ippool 192.168.100.1 192.168.100.200
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 195.34.235.125
ip route 192.168.80.0 255.255.255.0 192.168.1.1
ip http server
ip http secure-server
!
!
ip nat inside source list 175 interface FastEthernet0/0 overload
!
ip access-list extended Internet
permit tcp any any gt 1023 established
permit tcp any any eq www
permit tcp any any eq ftp-data
permit tcp any eq domain any
permit udp any eq domain any
permit udp any any eq domain
permit tcp any any eq domain
permit tcp any any eq ftp
permit tcp any any eq pop3
permit tcp any any eq smtp
permit tcp any any eq 143
permit tcp any any eq 443
permit udp any any eq 443
permit tcp any any eq 465
permit tcp any any eq 995
permit tcp any any eq 993
permit icmp any any
permit tcp any any eq 22
permit udp any any eq isakmp
permit udp any any eq 10000
permit tcp any any eq 10000
permit tcp any any eq 500
permit udp any any eq 62515
permit tcp any any eq 62515
permit tcp any any eq 4500
permit udp any any eq non500-isakmp
permit esp any any
deny ip any any log
!
access-list 175 deny ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 175 permit ip 192.168.1.0 0.0.0.255 any
line con 0
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
transport input telnet ssh
line vty 5 15
access-class 23 in
privilege level 15
transport input telnet ssh
!
scheduler allocate 20000 1000
end
В дополнениие забыл... Ещё при такой конфе обрубается доступ по 443 порту...

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Re: Настройка VPN

Сообщение and3008 » 29 дек 2008, 18:59

Не понял. Поясни конкретнее. Что именно не работает. Что пингуется и что нет.
С указанием IP клиента и IP что пингуешь.

alesha
Advanced member
Сообщения: 117
Зарегистрирован: 10 ноя 2004, 16:25
Контактная информация:

Re: Настройка VPN

Сообщение alesha » 30 дек 2008, 10:43

Ситуация такая...
Соединяюсь клиентом... Присваивается адрес 192.168.100.1
Отсоединяюсь, соединяюсь снова... Присваивается адрес 192.168.100.2 и т.д.
При этом мне нужны для работы хосты из сети 192.168.80.0 (маршрут есть)...

Делаю ping 192.168.80.202... Пинг идёт...
Делаю ping 192.168.80.219... Пинг не идёт...

Отсоединяю клиента... Снова соединяюсь...
Делаю ping 192.168.80.219... Пинг идёт...
Делаю ping 192.168.80.202... Пинг не идёт...

Закрыто

Вернуться в «Сети - Вопросы конфигурирования сети»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 9 гостей