Настройка VPN
Модераторы: Trinity admin`s, Free-lance moderator`s
Re: Настройка VPN
На ACL Internet не разрешен протокол ESP. Он нужен для работы IPSec.
Надо добавить permit esp any any
Я еще не делю назад просил прислать sh techsupport на мою почту. Забил? Ну сам себе злой буратина.
Надо добавить permit esp any any
Я еще не делю назад просил прислать sh techsupport на мою почту. Забил? Ну сам себе злой буратина.
Re: Настройка VPN
Я отсылал, всё, что ВЫ просили... В тот же день отослал...
Re: Настройка VPN
Не получал. Честное слово.
В общем давай уж, правь ACL. Косяк понятен, а затяжка с временем решения из-за того, что ты сразу не дал целиковый конфиг.
В общем давай уж, правь ACL. Косяк понятен, а затяжка с временем решения из-за того, что ты сразу не дал целиковый конфиг.
Re: Настройка VPN
Неужели только в этом? Т.е. в том что я acl не дописал?
Мне один спец сказал, что из-за того, то это граничный маршрутизатор (т.е. является шлюзом в нет), то тут надо ещё свутч один поставить, только не сказал для чего... Типа т.к. у меня циске nat поднят из-за этолго вообще работать не будет... А если и будет, то после установки vpn-соединения интернет в организации упадёт...
А попробовать только завтра смогу... На работе...
Мне один спец сказал, что из-за того, то это граничный маршрутизатор (т.е. является шлюзом в нет), то тут надо ещё свутч один поставить, только не сказал для чего... Типа т.к. у меня циске nat поднят из-за этолго вообще работать не будет... А если и будет, то после установки vpn-соединения интернет в организации упадёт...
А попробовать только завтра смогу... На работе...
Re: Настройка VPN
У меня работает и ничего не падает. Надо понимать, как работает маршрутизатор, а не догадки строить.
Ты повесил на интерфейс, который глядит в Интернет, ACL. Он "стреляет" на все пакеты, которые приходят в маршрутизатор. В т.ч. и от IPSec-клиентов. Судя по настройкам роутера у тебя используется IPSec в режиме тунелирования и шифрования. Значит требуется протокол ESP. Смотрим ACL, видим, что ESP не разрешен, а значение по умолчанию у любого ACL в Циске: все, что не разрешено (permit)- запрещено (deny). Неявный deny any any стоит в каждом ACL на Циске, поэтому прописывать его ручками не обязательно.
Теперь про NAT. Надо понимать как работает NAT. Предлагаю домашнюю работу. Найти на сайте opennet.ru как на Циске работает NAT и ВНИМАТЕЛЬНО почитать. После этого на сайте Cisco найти доку, в которой описана последовательность обработки IP-пакета внутри маршрутизатора. Почесать после этого тыковку и понять, что писать ACL надо аккуратно. Понимая как они работают, как ходит трафик внутри роутера, как роутер трафик обрабатывает.
После этого перестанете верить во всякие небылицы и мало понятные советы.
На сайте Cisco подавляющее большинство конфигураций рабочие. По крйней мере там очень подробно разжевывается бизнес-задача, всегда нарисована схема, есть краткое пояснение к ней и пример рабочего конфига. В конфиге обычно выделены ключевые элементы, без которых работать не будет. Пишется это для людей, которые думают, а не для чайников, которым лишь бы copy-paste, да по-быстрее...
Ты повесил на интерфейс, который глядит в Интернет, ACL. Он "стреляет" на все пакеты, которые приходят в маршрутизатор. В т.ч. и от IPSec-клиентов. Судя по настройкам роутера у тебя используется IPSec в режиме тунелирования и шифрования. Значит требуется протокол ESP. Смотрим ACL, видим, что ESP не разрешен, а значение по умолчанию у любого ACL в Циске: все, что не разрешено (permit)- запрещено (deny). Неявный deny any any стоит в каждом ACL на Циске, поэтому прописывать его ручками не обязательно.
Теперь про NAT. Надо понимать как работает NAT. Предлагаю домашнюю работу. Найти на сайте opennet.ru как на Циске работает NAT и ВНИМАТЕЛЬНО почитать. После этого на сайте Cisco найти доку, в которой описана последовательность обработки IP-пакета внутри маршрутизатора. Почесать после этого тыковку и понять, что писать ACL надо аккуратно. Понимая как они работают, как ходит трафик внутри роутера, как роутер трафик обрабатывает.
После этого перестанете верить во всякие небылицы и мало понятные советы.
На сайте Cisco подавляющее большинство конфигураций рабочие. По крйней мере там очень подробно разжевывается бизнес-задача, всегда нарисована схема, есть краткое пояснение к ней и пример рабочего конфига. В конфиге обычно выделены ключевые элементы, без которых работать не будет. Пишется это для людей, которые думают, а не для чайников, которым лишь бы copy-paste, да по-быстрее...
Re: Настройка VPN
Надо добавить permit esp any any...
К сожалению это не помогло... Результат тот же
К сожалению это не помогло... Результат тот же
Re: Настройка VPN
Ну тогда:
term mon
debug crypto
И давай всю сюды.
term mon
debug crypto
И давай всю сюды.
Re: Настройка VPN
Lipetsk_router#term monand3008 писал(а):Ну тогда:
term mon
debug crypto
И давай всю сюды.
Lipetsk_router#debug crypto
% Incomplete command.
Lipetsk_router#
Re: Настройка VPN
Чё-то хрень какая-то... Ничего не вывел...
Re: Настройка VPN
Погляде еще раз внимательней конфиг.
Приходит к тебе клиент. Циска по текущей логике должна выдать ему адрес из сети 192.168.1.0
Для этой же сети работает правило NAT. И как, простите, маршрутизатору, узнать что для такого клиента "натить", а что пропускать через IPSec?
Адреса клиентов, приходящих по IPSec назначь другие.
P.S. Если Циска ругается на неполную команду, то надо воспользоваться подсказкой. Для этого в конце неполной команды надо нажать ?
Приходит к тебе клиент. Циска по текущей логике должна выдать ему адрес из сети 192.168.1.0
Для этой же сети работает правило NAT. И как, простите, маршрутизатору, узнать что для такого клиента "натить", а что пропускать через IPSec?
Адреса клиентов, приходящих по IPSec назначь другие.
P.S. Если Циска ругается на неполную команду, то надо воспользоваться подсказкой. Для этого в конце неполной команды надо нажать ?
Re: Настройка VPN
Подправил... Теперь вот так...
Current configuration : 5455 bytes
!
version 12.4
service nagle
service pad to-xot
service pad from-xot
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname Lipetsk_router
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings
aaa new-model
!
!
aaa authentication login userauthen group radius local
aaa authorization network groupauthor local
!
!
aaa session-id common
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip domain name oblbank.ru
ip name-server 192.168.80.202
!
multilink bundle-name authenticated
!
!
!
crypto pki trustpoint TP-self-signed-3104593062
subject-name cn=IOS-Self-Signed-Certificate-3104593062
revocation-check none
rsakeypair TP-self-signed-3104593062
!
crypto pki trustpoint TP-self-signed-2906423707
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2906423707
revocation-check none
rsakeypair TP-self-signed-2906423707
!
!
!
!
username pyrikov privilege 15 password 7 050C0C1635405A02141C1500
username cisco password 7 05080F1C2243
archive
log config
hidekeys
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
crypto isakmp client configuration address-pool local ippool
!
crypto isakmp client configuration group 3000client
key cisco123
dns 192.168.80.202
domain cisco.com
pool ippool
acl 108
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto ipsec transform-set trans1 esp-des esp-md5-hmac
!
crypto dynamic-map dynmap 10
set transform-set trans1
!
crypto dynamic-map mcmainmap 1
reverse-route
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
crypto map intmap client configuration address initiate
crypto map intmap client configuration address respond
crypto map intmap 10 ipsec-isakmp dynamic dynmap
!
crypto map mcmain 65535 ipsec-isakmp dynamic mcmainmap
!
!
!
!
!
!
interface Loopback0
ip address 10.11.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/0
description -=Glodal_Network=-
ip address 195.34.235.126 255.255.255.252
ip access-group Internet in
ip nat outside
ip virtual-reassembly
duplex auto
speed 100
crypto map intmap
!
interface FastEthernet0/1
description -=Local_Network=-
ip address 192.168.1.2 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed 100
!
interface FastEthernet0/1/0
!
interface FastEthernet0/1/1
!
interface FastEthernet0/1/2
!
interface FastEthernet0/1/3
!
interface FastEthernet0/3/0
no ip address
duplex auto
speed auto
!
interface Vlan1
no ip address
!
ip local pool ippool 192.168.100.1 192.168.100.200
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 195.34.235.125
ip route 192.168.80.0 255.255.255.0 192.168.1.1
ip http server
ip http secure-server
!
!
ip nat inside source list 175 interface FastEthernet0/0 overload
ip nat inside source static 192.168.1.1 195.34.235.126
!
ip access-list extended Internet
permit tcp any any gt 1023 established
permit tcp any any eq www
permit tcp any any eq ftp-data
permit tcp any eq domain any
permit udp any eq domain any
permit udp any eq domain any
permit udp any any eq domain
permit tcp any any eq domain
permit tcp any any eq ftp
permit tcp any any eq pop3
permit tcp any any eq smtp
permit tcp any any eq 143
permit tcp any any eq 443
permit udp any any eq 443
permit tcp any any eq 465
permit tcp any any eq 995
permit tcp any any eq 993
permit icmp any any
permit tcp any any eq 22
permit udp any any eq isakmp
permit udp any any eq 10000
permit tcp any any eq 10000
permit tcp any any eq 500
permit udp any any eq 62515
permit tcp any any eq 62515
permit tcp any any eq 4500
permit udp any any eq non500-isakmp
permit esp any any
deny ip any any log
!
access-list 175 deny ip 192.168.1.0 0.0.0.255 192.168.80.0 0.0.0.255
access-list 175 permit ip 192.168.1.0 0.0.0.255 any
!
!
!
!
radius-server host 192.168.80.202 auth-port 1645 acct-port 1646 key 7 01100F1758
04575D72
!
control-plane
!
line con 0
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
transport input telnet ssh
line vty 5 15
access-class 23 in
privilege level 15
transport input telnet ssh
!
scheduler allocate 20000 1000
end
Но результат тот же... Что не так? осталось тока застрелиться...
Current configuration : 5455 bytes
!
version 12.4
service nagle
service pad to-xot
service pad from-xot
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname Lipetsk_router
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings
aaa new-model
!
!
aaa authentication login userauthen group radius local
aaa authorization network groupauthor local
!
!
aaa session-id common
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip domain name oblbank.ru
ip name-server 192.168.80.202
!
multilink bundle-name authenticated
!
!
!
crypto pki trustpoint TP-self-signed-3104593062
subject-name cn=IOS-Self-Signed-Certificate-3104593062
revocation-check none
rsakeypair TP-self-signed-3104593062
!
crypto pki trustpoint TP-self-signed-2906423707
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2906423707
revocation-check none
rsakeypair TP-self-signed-2906423707
!
!
!
!
username pyrikov privilege 15 password 7 050C0C1635405A02141C1500
username cisco password 7 05080F1C2243
archive
log config
hidekeys
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
crypto isakmp client configuration address-pool local ippool
!
crypto isakmp client configuration group 3000client
key cisco123
dns 192.168.80.202
domain cisco.com
pool ippool
acl 108
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto ipsec transform-set trans1 esp-des esp-md5-hmac
!
crypto dynamic-map dynmap 10
set transform-set trans1
!
crypto dynamic-map mcmainmap 1
reverse-route
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
crypto map intmap client configuration address initiate
crypto map intmap client configuration address respond
crypto map intmap 10 ipsec-isakmp dynamic dynmap
!
crypto map mcmain 65535 ipsec-isakmp dynamic mcmainmap
!
!
!
!
!
!
interface Loopback0
ip address 10.11.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/0
description -=Glodal_Network=-
ip address 195.34.235.126 255.255.255.252
ip access-group Internet in
ip nat outside
ip virtual-reassembly
duplex auto
speed 100
crypto map intmap
!
interface FastEthernet0/1
description -=Local_Network=-
ip address 192.168.1.2 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed 100
!
interface FastEthernet0/1/0
!
interface FastEthernet0/1/1
!
interface FastEthernet0/1/2
!
interface FastEthernet0/1/3
!
interface FastEthernet0/3/0
no ip address
duplex auto
speed auto
!
interface Vlan1
no ip address
!
ip local pool ippool 192.168.100.1 192.168.100.200
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 195.34.235.125
ip route 192.168.80.0 255.255.255.0 192.168.1.1
ip http server
ip http secure-server
!
!
ip nat inside source list 175 interface FastEthernet0/0 overload
ip nat inside source static 192.168.1.1 195.34.235.126
!
ip access-list extended Internet
permit tcp any any gt 1023 established
permit tcp any any eq www
permit tcp any any eq ftp-data
permit tcp any eq domain any
permit udp any eq domain any
permit udp any eq domain any
permit udp any any eq domain
permit tcp any any eq domain
permit tcp any any eq ftp
permit tcp any any eq pop3
permit tcp any any eq smtp
permit tcp any any eq 143
permit tcp any any eq 443
permit udp any any eq 443
permit tcp any any eq 465
permit tcp any any eq 995
permit tcp any any eq 993
permit icmp any any
permit tcp any any eq 22
permit udp any any eq isakmp
permit udp any any eq 10000
permit tcp any any eq 10000
permit tcp any any eq 500
permit udp any any eq 62515
permit tcp any any eq 62515
permit tcp any any eq 4500
permit udp any any eq non500-isakmp
permit esp any any
deny ip any any log
!
access-list 175 deny ip 192.168.1.0 0.0.0.255 192.168.80.0 0.0.0.255
access-list 175 permit ip 192.168.1.0 0.0.0.255 any
!
!
!
!
radius-server host 192.168.80.202 auth-port 1645 acct-port 1646 key 7 01100F1758
04575D72
!
control-plane
!
line con 0
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
transport input telnet ssh
line vty 5 15
access-class 23 in
privilege level 15
transport input telnet ssh
!
scheduler allocate 20000 1000
end
Но результат тот же... Что не так? осталось тока застрелиться...
Re: Настройка VPN
Законектится я законектился... Слава Богу!!!
Но теперь вот какая проблема...
При новом конекте... Каждый раз выделяется новый адрес клиенту... И я, каждый раз могу пинговать только один хост из приватной сети... Как лечить это дело?
Вот конфиг, по традиции...
Current configuration : 4313 bytes
!
version 12.4
service nagle
service pad to-xot
service pad from-xot
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname Lipetsk_router
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
aaa authorization network foo local
!
!
aaa session-id common
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip domain name oblbank.ru
ip name-server 192.168.80.202
!
multilink bundle-name authenticated
!
!
!
crypto pki trustpoint TP-self-signed-3104593062
subject-name cn=IOS-Self-Signed-Certificate-3104593062
revocation-check none
rsakeypair TP-self-signed-3104593062
!
crypto pki trustpoint TP-self-signed-2906423707
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2906423707
revocation-check none
rsakeypair TP-self-signed-2906423707
!
!
!
!
username pyrikov privilege 15 password 7 050C0C1635405A02141C1500
username cisco password 7 110A1016141D5A5E57
username client password 7 0835495D1D1A091E170518
archive
log config
hidekeys
!
!
crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp keepalive 40 5
crypto isakmp nat keepalive 20
!
crypto isakmp client configuration group cisco
key test1234
pool ippool
!
!
crypto ipsec transform-set test esp-3des esp-md5-hmac
crypto ipsec transform-set foo esp-3des esp-sha-hmac
!
crypto ipsec profile greprotect
!
!
crypto dynamic-map dynmap 1
set transform-set foo
match address 175
crypto dynamic-map dynmap 10
!
crypto dynamic-map mcmainmap 1
reverse-route
!
crypto map mcmain 65535 ipsec-isakmp dynamic mcmainmap
!
crypto map test client authentication list userauthen
crypto map test isakmp authorization list foo
crypto map test client configuration address respond
crypto map test 20 ipsec-isakmp dynamic dynmap
!
!
!
!
!
!
interface Loopback0
ip address 10.11.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/0
description -=Glodal_Network=-
ip address 195.34.235.126 255.255.255.252
ip access-group Internet in
ip nat outside
ip virtual-reassembly
duplex auto
speed 100
crypto map test
!
interface FastEthernet0/1
description -=Local_Network=-
ip address 192.168.1.2 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed 100
!
interface FastEthernet0/1/0
!
interface FastEthernet0/1/1
!
interface FastEthernet0/1/2
!
interface FastEthernet0/1/3
!
interface FastEthernet0/3/0
no ip address
duplex auto
speed auto
interface Vlan1
no ip address
!
ip local pool ippool 192.168.100.1 192.168.100.200
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 195.34.235.125
ip route 192.168.80.0 255.255.255.0 192.168.1.1
ip http server
ip http secure-server
!
!
ip nat inside source list 175 interface FastEthernet0/0 overload
!
ip access-list extended Internet
permit tcp any any gt 1023 established
permit tcp any any eq www
permit tcp any any eq ftp-data
permit tcp any eq domain any
permit udp any eq domain any
permit udp any any eq domain
permit tcp any any eq domain
permit tcp any any eq ftp
permit tcp any any eq pop3
permit tcp any any eq smtp
permit tcp any any eq 143
permit tcp any any eq 443
permit udp any any eq 443
permit tcp any any eq 465
permit tcp any any eq 995
permit tcp any any eq 993
permit icmp any any
permit tcp any any eq 22
permit udp any any eq isakmp
permit udp any any eq 10000
permit tcp any any eq 10000
permit tcp any any eq 500
permit udp any any eq 62515
permit tcp any any eq 62515
permit tcp any any eq 4500
permit udp any any eq non500-isakmp
permit esp any any
deny ip any any log
!
access-list 175 deny ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 175 permit ip 192.168.1.0 0.0.0.255 any
line con 0
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
transport input telnet ssh
line vty 5 15
access-class 23 in
privilege level 15
transport input telnet ssh
!
scheduler allocate 20000 1000
end
Но теперь вот какая проблема...
При новом конекте... Каждый раз выделяется новый адрес клиенту... И я, каждый раз могу пинговать только один хост из приватной сети... Как лечить это дело?
Вот конфиг, по традиции...
Current configuration : 4313 bytes
!
version 12.4
service nagle
service pad to-xot
service pad from-xot
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname Lipetsk_router
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
aaa authorization network foo local
!
!
aaa session-id common
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip domain name oblbank.ru
ip name-server 192.168.80.202
!
multilink bundle-name authenticated
!
!
!
crypto pki trustpoint TP-self-signed-3104593062
subject-name cn=IOS-Self-Signed-Certificate-3104593062
revocation-check none
rsakeypair TP-self-signed-3104593062
!
crypto pki trustpoint TP-self-signed-2906423707
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2906423707
revocation-check none
rsakeypair TP-self-signed-2906423707
!
!
!
!
username pyrikov privilege 15 password 7 050C0C1635405A02141C1500
username cisco password 7 110A1016141D5A5E57
username client password 7 0835495D1D1A091E170518
archive
log config
hidekeys
!
!
crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp keepalive 40 5
crypto isakmp nat keepalive 20
!
crypto isakmp client configuration group cisco
key test1234
pool ippool
!
!
crypto ipsec transform-set test esp-3des esp-md5-hmac
crypto ipsec transform-set foo esp-3des esp-sha-hmac
!
crypto ipsec profile greprotect
!
!
crypto dynamic-map dynmap 1
set transform-set foo
match address 175
crypto dynamic-map dynmap 10
!
crypto dynamic-map mcmainmap 1
reverse-route
!
crypto map mcmain 65535 ipsec-isakmp dynamic mcmainmap
!
crypto map test client authentication list userauthen
crypto map test isakmp authorization list foo
crypto map test client configuration address respond
crypto map test 20 ipsec-isakmp dynamic dynmap
!
!
!
!
!
!
interface Loopback0
ip address 10.11.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/0
description -=Glodal_Network=-
ip address 195.34.235.126 255.255.255.252
ip access-group Internet in
ip nat outside
ip virtual-reassembly
duplex auto
speed 100
crypto map test
!
interface FastEthernet0/1
description -=Local_Network=-
ip address 192.168.1.2 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed 100
!
interface FastEthernet0/1/0
!
interface FastEthernet0/1/1
!
interface FastEthernet0/1/2
!
interface FastEthernet0/1/3
!
interface FastEthernet0/3/0
no ip address
duplex auto
speed auto
interface Vlan1
no ip address
!
ip local pool ippool 192.168.100.1 192.168.100.200
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 195.34.235.125
ip route 192.168.80.0 255.255.255.0 192.168.1.1
ip http server
ip http secure-server
!
!
ip nat inside source list 175 interface FastEthernet0/0 overload
!
ip access-list extended Internet
permit tcp any any gt 1023 established
permit tcp any any eq www
permit tcp any any eq ftp-data
permit tcp any eq domain any
permit udp any eq domain any
permit udp any any eq domain
permit tcp any any eq domain
permit tcp any any eq ftp
permit tcp any any eq pop3
permit tcp any any eq smtp
permit tcp any any eq 143
permit tcp any any eq 443
permit udp any any eq 443
permit tcp any any eq 465
permit tcp any any eq 995
permit tcp any any eq 993
permit icmp any any
permit tcp any any eq 22
permit udp any any eq isakmp
permit udp any any eq 10000
permit tcp any any eq 10000
permit tcp any any eq 500
permit udp any any eq 62515
permit tcp any any eq 62515
permit tcp any any eq 4500
permit udp any any eq non500-isakmp
permit esp any any
deny ip any any log
!
access-list 175 deny ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 175 permit ip 192.168.1.0 0.0.0.255 any
line con 0
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
transport input telnet ssh
line vty 5 15
access-class 23 in
privilege level 15
transport input telnet ssh
!
scheduler allocate 20000 1000
end
Re: Настройка VPN
В дополнениие забыл... Ещё при такой конфе обрубается доступ по 443 порту...alesha писал(а):Законектится я законектился... Слава Богу!!!
Но теперь вот какая проблема...
При новом конекте... Каждый раз выделяется новый адрес клиенту... И я, каждый раз могу пинговать только один хост из приватной сети... Как лечить это дело?
Вот конфиг, по традиции...
Current configuration : 4313 bytes
!
version 12.4
service nagle
service pad to-xot
service pad from-xot
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname Lipetsk_router
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
aaa authorization network foo local
!
!
aaa session-id common
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip domain name oblbank.ru
ip name-server 192.168.80.202
!
multilink bundle-name authenticated
!
!
!
crypto pki trustpoint TP-self-signed-3104593062
subject-name cn=IOS-Self-Signed-Certificate-3104593062
revocation-check none
rsakeypair TP-self-signed-3104593062
!
crypto pki trustpoint TP-self-signed-2906423707
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2906423707
revocation-check none
rsakeypair TP-self-signed-2906423707
!
!
!
!
username pyrikov privilege 15 password 7 050C0C1635405A02141C1500
username cisco password 7 110A1016141D5A5E57
username client password 7 0835495D1D1A091E170518
archive
log config
hidekeys
!
!
crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp keepalive 40 5
crypto isakmp nat keepalive 20
!
crypto isakmp client configuration group cisco
key test1234
pool ippool
!
!
crypto ipsec transform-set test esp-3des esp-md5-hmac
crypto ipsec transform-set foo esp-3des esp-sha-hmac
!
crypto ipsec profile greprotect
!
!
crypto dynamic-map dynmap 1
set transform-set foo
match address 175
crypto dynamic-map dynmap 10
!
crypto dynamic-map mcmainmap 1
reverse-route
!
crypto map mcmain 65535 ipsec-isakmp dynamic mcmainmap
!
crypto map test client authentication list userauthen
crypto map test isakmp authorization list foo
crypto map test client configuration address respond
crypto map test 20 ipsec-isakmp dynamic dynmap
!
!
!
!
!
!
interface Loopback0
ip address 10.11.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/0
description -=Glodal_Network=-
ip address 195.34.235.126 255.255.255.252
ip access-group Internet in
ip nat outside
ip virtual-reassembly
duplex auto
speed 100
crypto map test
!
interface FastEthernet0/1
description -=Local_Network=-
ip address 192.168.1.2 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed 100
!
interface FastEthernet0/1/0
!
interface FastEthernet0/1/1
!
interface FastEthernet0/1/2
!
interface FastEthernet0/1/3
!
interface FastEthernet0/3/0
no ip address
duplex auto
speed auto
interface Vlan1
no ip address
!
ip local pool ippool 192.168.100.1 192.168.100.200
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 195.34.235.125
ip route 192.168.80.0 255.255.255.0 192.168.1.1
ip http server
ip http secure-server
!
!
ip nat inside source list 175 interface FastEthernet0/0 overload
!
ip access-list extended Internet
permit tcp any any gt 1023 established
permit tcp any any eq www
permit tcp any any eq ftp-data
permit tcp any eq domain any
permit udp any eq domain any
permit udp any any eq domain
permit tcp any any eq domain
permit tcp any any eq ftp
permit tcp any any eq pop3
permit tcp any any eq smtp
permit tcp any any eq 143
permit tcp any any eq 443
permit udp any any eq 443
permit tcp any any eq 465
permit tcp any any eq 995
permit tcp any any eq 993
permit icmp any any
permit tcp any any eq 22
permit udp any any eq isakmp
permit udp any any eq 10000
permit tcp any any eq 10000
permit tcp any any eq 500
permit udp any any eq 62515
permit tcp any any eq 62515
permit tcp any any eq 4500
permit udp any any eq non500-isakmp
permit esp any any
deny ip any any log
!
access-list 175 deny ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 175 permit ip 192.168.1.0 0.0.0.255 any
line con 0
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
transport input telnet ssh
line vty 5 15
access-class 23 in
privilege level 15
transport input telnet ssh
!
scheduler allocate 20000 1000
end
Re: Настройка VPN
Не понял. Поясни конкретнее. Что именно не работает. Что пингуется и что нет.
С указанием IP клиента и IP что пингуешь.
С указанием IP клиента и IP что пингуешь.
Re: Настройка VPN
Ситуация такая...
Соединяюсь клиентом... Присваивается адрес 192.168.100.1
Отсоединяюсь, соединяюсь снова... Присваивается адрес 192.168.100.2 и т.д.
При этом мне нужны для работы хосты из сети 192.168.80.0 (маршрут есть)...
Делаю ping 192.168.80.202... Пинг идёт...
Делаю ping 192.168.80.219... Пинг не идёт...
Отсоединяю клиента... Снова соединяюсь...
Делаю ping 192.168.80.219... Пинг идёт...
Делаю ping 192.168.80.202... Пинг не идёт...
Соединяюсь клиентом... Присваивается адрес 192.168.100.1
Отсоединяюсь, соединяюсь снова... Присваивается адрес 192.168.100.2 и т.д.
При этом мне нужны для работы хосты из сети 192.168.80.0 (маршрут есть)...
Делаю ping 192.168.80.202... Пинг идёт...
Делаю ping 192.168.80.219... Пинг не идёт...
Отсоединяю клиента... Снова соединяюсь...
Делаю ping 192.168.80.219... Пинг идёт...
Делаю ping 192.168.80.202... Пинг не идёт...
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 4 гостя