URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16196
[ Назад ]

Исходное сообщение
"vpn-client"
Отправлено bmonk , 06-Май-08 09:15

ЗАСТРЕЛЮСЬ!!! если кто-нибудь не поможет
настроил впн-клиента, подключил, а эта собака не видит сеть за циской, причем из локалки клиент пингуется, я уже не говорю о циске
прогонял тест в SDM он говорит что проблема в маршрутах, а где именно?!?
помогите люди добрые.

Содержание

vpn-client,parad, 09:43 , 06-Май-08
vpn-client,Алексей, 10:48 , 06-Май-08
vpn-client,CrAzOiD, 11:14 , 06-Май-08
vpn-client,bmonk, 11:47 , 06-Май-08
- vpn-client,CrAzOiD, 13:10 , 06-Май-08
  - vpn-client,bmonk, 13:27 , 06-Май-08
  - vpn-client,bmonk, 14:56 , 06-Май-08
    - vpn-client,CrAzOiD, 15:05 , 06-Май-08
      - vpn-client,bmonk, 15:32 , 06-Май-08
      - vpn-client,bmonk, 15:48 , 06-Май-08
      - vpn-client,bmonk, 15:46 , 07-Май-08
vpn-client,bmonk, 14:06 , 08-Май-08

Сообщения в этом обсуждении

"vpn-client"
Отправлено parad , 06-Май-08 09:43

ну дык, сети в маршрутах нет вот он и не знает как до нее достучаться. попробуй руками прописать маршрут на ту сеть.

"vpn-client"
Отправлено Алексей , 06-Май-08 10:48

>ЗАСТРЕЛЮСЬ!!! если кто-нибудь не поможет
>настроил впн-клиента, подключил, а эта собака не видит сеть за циской, причем
>из локалки клиент пингуется, я уже не говорю о циске
>прогонял тест в SDM он говорит что проблема в маршрутах, а где
>именно?!?
>помогите люди добрые.
вообще-то было бы неплохо для начала увидеть конфигурацию...

"vpn-client"
Отправлено CrAzOiD , 06-Май-08 11:14

>ЗАСТРЕЛЮСЬ!!! если кто-нибудь не поможет
>настроил впн-клиента, подключил, а эта собака не видит сеть за циской, причем
>из локалки клиент пингуется, я уже не говорю о циске
>прогонял тест в SDM он говорит что проблема в маршрутах, а где
>именно?!?
>помогите люди добрые.
с такой формулировкой вопроса проще застрелиться :)
Показывайте что настроили.

"vpn-client"
Отправлено bmonk , 06-Май-08 11:47

настраивал не я
конфиг 12 страниц мне кажется что проще показывать блоками вот что я настроил касательно впн сервера
aaa new-model
!
!
aaa authentication login default local
aaa authentication login userauthen local
aaa authorization exec default local
aaa authorization network groupauthor local
!
aaa session-id common
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 480
crypto isakmp key _tunnel address x.x.x.x no-xauth
crypto isakmp key _tunnel address x.x.x.y no-xauth
crypto isakmp key _tunnel address x.x.x.w no-xauth
crypto isakmp key _tunnel address x.x.x.z no-xauth
crypto isakmp invalid-spi-recovery
!
!раньше вместо этих 4 строчек было crypto isakmp key _tunnel address 0.0.0.0
!
crypto isakmp client configuration group vpnclient
key cisco123
pool ippool
save-password
include-local-lan
!
!
crypto ipsec transform-set vpn1 esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set vpn1
reverse-route
!
!
crypto map mymap client authentication list userauthen
crypto map mymap isakmp authorization list groupauthor
crypto map mymap client configuration address respond
crypto map mymap 10 ipsec-isakmp
set peer x.x.x.y
set transform-set vpn1
match address 140
crypto map mymap 20 ipsec-isakmp
description IPSEC_RENET_BALAKOVO
set peer x.x.x.x
set transform-set vpn1
match address 150
crypto map mymap 30 ipsec-isakmp
description IPSEC_COMSTAR_BALAKOVO
set peer x.x.x.w
set transform-set vpn1
match address 160
crypto map mymap 40 ipsec-isakmp
description IPSEC_RENET_BALASHOV
set peer x.x.x.z
set transform-set vpn1
match address 170
crypto map mymap 50 ipsec-isakmp dynamic dynmap

!вот настройка внешнего интерфейса
interface FastEthernet0
encapsulation dot1Q 863
ip address a.a.a.a 255.255.255.252
ip access-group Firewall in
ip flow ingress
ip nat outside
ip virtual-reassembly
ip policy route-map Polic
no snmp trap link-status
no cdp enable
crypto map mymap
что еще скинуть?
спасибо за ответы

"vpn-client"
Отправлено CrAzOiD , 06-Май-08 13:10

crypto isakmp client configuration group vpnclient
key cisco123
pool ippool
save-password
include-local-lan
Вот тут вот добавьте
acl 108
и опишите этот ACL
access-list 108 permit ip 172.16.0.0 0.0.255.255 192.168.5.0 0.0.0.255 (как пример)
где 172.16.0.0 - это локальная сеть, а
192.168.5.0 - сеть адресов выдаваемая VPN клиентам
итого на клиенте пропишется маршрут в сеть 172.16.0.0

"vpn-client"
Отправлено bmonk , 06-Май-08 13:27

>[оверквотинг удален]
>include-local-lan
>
>Вот тут вот добавьте
>acl 108
>
>и опишите этот ACL
>access-list 108 permit ip 172.16.0.0 0.0.255.255 192.168.5.0 0.0.0.255 (как пример)
>где 172.16.0.0 - это локальная сеть, а
>192.168.5.0 - сеть адресов выдаваемая VPN клиентам
>итого на клиенте пропишется маршрут в сеть 172.16.0.0
спасибо за ответ
я вроде бы уже так пробовал, но попробую еще раз предварительно откачусь к начальной конфигурации

"vpn-client"
Отправлено bmonk , 06-Май-08 14:56

еще не пробовал, но заранее хочу уточнить один вопрос
вот эти параметры в настройках интерфейса не могу повлиять на работу клиента
ip access-group Firewall in
ip policy route-map Polic
заранее спасибо за ответ

"vpn-client"
Отправлено CrAzOiD , 06-Май-08 15:05

>еще не пробовал, но заранее хочу уточнить один вопрос
>вот эти параметры в настройках интерфейса не могу повлиять на работу клиента
>
>ip access-group Firewall in
>ip policy route-map Polic
>
>заранее спасибо за ответ
если клиент прицепился, то уже нет

"vpn-client"
Отправлено bmonk , 06-Май-08 15:32

не пашет все равно не идут пинги от клиента в сеть
и почемуто уже я и клиента не могу пропинговать
а вчера я на клиента даже телнетом заходил

"vpn-client"
Отправлено bmonk , 06-Май-08 15:48

interface Vlan5
description LocalNet
ip address 192.168.130.1 255.255.255.0
no ip redirects
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly
ip policy route-map LocalPolicy
no ip mroute-cache
no snmp trap link-status

ip access-list extended LocalPolicy
deny   ip 192.168.130.0 0.0.0.255 192.168.130.0 0.0.0.255
deny   ip 192.168.130.0 0.0.0.255 192.168.133.0 0.0.0.255
deny   ip 192.168.130.0 0.0.0.255 192.168.135.0 0.0.0.255
deny   ip 192.168.130.0 0.0.0.255 192.168.136.0 0.0.0.255
deny   ip 192.168.130.0 0.0.0.255 192.168.253.0 0.0.0.7
deny   ip 192.168.130.0 0.0.0.255 192.168.131.0 0.0.0.255
deny   ip 192.168.130.0 0.0.0.255 192.168.132.0 0.0.0.255
deny   ip any 192.168.130.0 0.0.0.255
permit ip 192.168.130.0 0.0.0.255 any
напомню что клиентам раздаются адреса 192.168.129.2-196.168.129.5
может в этом проблема?

"vpn-client"
Отправлено bmonk , 07-Май-08 15:46

>>еще не пробовал, но заранее хочу уточнить один вопрос
>>вот эти параметры в настройках интерфейса не могу повлиять на работу клиента
>>
>>ip access-group Firewall in
>>ip policy route-map Polic
>>
>>заранее спасибо за ответ
>
>если клиент прицепился, то уже нет
делаю трассировку с клиента, пакеты доходят до внешнего интерфейса циски а потом затухают.

"vpn-client"
Отправлено bmonk , 08-Май-08 14:06

>ЗАСТРЕЛЮСЬ!!! если кто-нибудь не поможет
>настроил впн-клиента, подключил, а эта собака не видит сеть за циской, причем
>из локалки клиент пингуется, я уже не говорю о циске
>прогонял тест в SDM он говорит что проблема в маршрутах, а где
>именно?!?
>помогите люди добрые.
НЕДОЖДЕТЕСЬ, кошки буду жить и вас мучать!!

тема закрыта