forum.opennet.ru - "EasyVPN HELP!" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"EasyVPN HELP!"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"EasyVPN HELP!"
Сообщение от БРЕДОР (ok) on 20-Июн-08, 11:10
Всем здравствуйте! Возникла проблема с подключением клиентов к EasyVPN Server(построенной на базе Cisco 871). Если быть более точным, клиент подключается к серверу, ему выдется ip из локальной сети 192.168.0.0/24, до терминальных серверов пинги успешно проходят, но попытки подключиться на внутренний сервер по RDP или просто зайти на шаринг не проходят. Sh crypto isakmp sa и ipsec sa показывают что соединение активно, количество enc пакетов растет. Пробывал из нескольких сетей подключаться, на компьютерах firewall-ы отключены. Заранее спасибо! Вот конфиг рутера: gw.xxx.xxx(config)#do sh run Building configuration... Current configuration : 5671 bytes ! version 12.4 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname gw.xxxx.xxxxx ! boot-start-marker boot-end-marker ! logging buffered 52000 debugging ! aaa new-model ! ! aaa authentication login default local aaa authentication login vpn_xauth local aaa authorization exec default local aaa authorization network vpn_group local ! aaa session-id common ! resource policy ! ip subnet-zero ip cef ! ! no ip domain lookup ip domain name yourdomain.com ip accounting-list 22.22.22.22 0.0.0.0 ! ! crypto pki trustpoint TP-self-signed-374045344 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-374045344 revocation-check none rsakeypair TP-self-signed-374045344 ! ! crypto pki certificate chain TP-self-signed-374045344 certificate self-signed 01 30820258 308201C1 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 33373430 34353334 34301E17 0D303230 33303130 30343832 315A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F 532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3337 34303435 33343430 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100 A663E85E 69820589 B6D037C9 2505E4B1 C114CB3D 71FC17C9 4532F7D1 51F4C7A8 DB472E6B AAC67B82 F4F8F437 EE039721 08028393 880CD646 B8BAD339 9C99A725 DFD534CF 94422781 A8B1A84D 52CBF374 1CF04950 1E33DF24 E04874C6 9104FE87 44F1B6E9 DABE8DE5 8CF55688 F5A19B1E 0867FA91 81CE4573 9EA53DD6 3108D897 02030100 01A38181 307F300F 0603551D 130101FF 04053003 0101FF30 2C060355 1D110425 30238221 67772E6F 66666963 652E6465 6B6F7465 6B732E79 6F757264 6F6D6169 6E2E636F 6D301F06 03551D23 04183016 8014A6F7 DF94EBD2 C4C015E1 956CD03B 4C9C1B22 476D301D 0603551D 0E041604 14A6F7DF 94EBD2C4 C015E195 6CD03B4C 9C1B2247 6D300D06 092A8648 86F70D01 01040500 03818100 27AF5203 1AC86328 A3996B89 2CF8A37A 1F4A922F 822F078E B2A198E9 7614CC71 3E86C684 1E47F865 D985828E FAC94468 1324C65B B133B60E F7096666 8AC8242E 4957C6A7 ADF579E2 79AD2615 018EDCAD 0C98D207 C629DAE8 6FFD87DF A844153D A1D6070B 29770D09 759C423E E61AA157 E601FD2A 884A2B0F C00316A6 7BA326A8 quit username root privilege 15 secret 5 $1$hFX6$ckjtleU2k3VpEpiK.pJ79/ username grishkoA privilege 15 secret 5 $1$yuad$FTn0fQqCLbNh4yyv0ekWv0 username remoteaccess privilege 15 password 0 Balashihauser ! ! ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 ! crypto isakmp policy 2 encr 3des authentication pre-share group 2 crypto isakmp key 1234567890 address 33.333.333.333 crypto isakmp key Qwsx123@34##DwkAnC09090 address 44.44.44.44 ! crypto isakmp client configuration group remoteaccess key KJHlkhj@124Llfsdf@@@&(^$# pool RemoteAcessPOOL acl 102 ! ! crypto ipsec transform-set T1 esp-3des esp-sha-hmac crypto ipsec transform-set T2 esp-3des esp-sha-hmac crypto ipsec transform-set FOR_EASYVPN esp-3des esp-sha-hmac ! crypto ipsec profile P1 set transform-set T1 ! crypto ipsec profile P2 set transform-set T2 ! ! crypto dynamic-map DYNMAP 1 set transform-set FOR_EASYVPN reverse-route ! ! crypto map CMAP client authentication list vpn_xauth crypto map CMAP isakmp authorization list vpn_group crypto map CMAP client configuration address respond crypto map CMAP 65535 ipsec-isakmp dynamic DYNMAP ! ! ! interface Tunnel0 description Tunnel To Balashiha Office ip address 172.17.17.3 255.255.255.0 tunnel source FastEthernet4 tunnel destination 33.333.333.333 tunnel mode ipsec ipv4 tunnel protection ipsec profile P1 ! interface Tunnel1 description Tunnel To Frezer Office ip address 172.17.18.3 255.255.255.0 tunnel source FastEthernet4 tunnel destination 44.44.44.44 tunnel mode ipsec ipv4 tunnel protection ipsec profile P2 ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 description WAN Interface ip address 22.22.22.22 255.255.255.0 ip accounting output-packets ip nat outside ip virtual-reassembly duplex auto speed auto crypto map CMAP ! interface Vlan1 description LAN Interface ip address 192.168.0.101 255.255.255.0 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 ! ip local pool RemoteAcessPOOL 192.168.0.32 192.168.0.37 ip classless ip route 0.0.0.0 0.0.0.0 777.777.777.777 ip route 10.0.2.0 255.255.255.0 Tunnel0 ip route 192.168.1.0 255.255.255.0 Tunnel1 ! ip http server ip http authentication local ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload ip nat inside source static tcp 192.168.0.102 3389 22.22.22.22 7772 extendable ip nat inside source static tcp 192.168.0.77 3389 22.22.22.22 7773 extendable ip nat inside source static tcp 192.168.0.100 3389 22.22.22.22 7777 route-map SDM_RMAP_1 extendable ! access-list 1 remark SDM_ACL Category=2 access-list 1 permit 192.168.0.0 0.0.0.255 access-list 100 remark SDM_ACL Category=4 access-list 100 remark IPSec Rule access-list 100 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 101 remark SDM_ACL Category=2 access-list 101 remark IPSec Rule access-list 101 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 101 permit ip 192.168.0.0 0.0.0.255 any access-list 102 permit ip 192.168.0.0 0.0.0.255 any no cdp run route-map SDM_RMAP_1 permit 1 match ip address 101 ! ! control-plane ! ! line con 0 no modem enable line aux 0 line vty 0 4 privilege level 15 transport input telnet ssh ! scheduler max-task-time 5000 end
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

EasyVPN HELP!, SergTel, 14:36 , 20-Июн-08, (1)

EasyVPN HELP!, БРЕДОР, 16:39 , 20-Июн-08, (2)
EasyVPN HELP!, БРЕДОР, 16:41 , 20-Июн-08, (3)

EasyVPN HELP!, БРЕДОР, 16:55 , 20-Июн-08, (4)

EasyVPN HELP!, bmonk, 09:13 , 23-Июн-08, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "EasyVPN HELP!"

Сообщение от SergTel (??) on 20-Июн-08, 14:36

>[оверквотинг удален]
> speed auto
> crypto map CMAP
>!
>interface Vlan1
> description LAN Interface
> ip address 192.168.0.101 255.255.255.0
> ip nat inside
> ip virtual-reassembly
> ip tcp adjust-mss 1452
>!
А ip tcp adjust-mss 1452 на VLAN1 поставил?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "EasyVPN HELP!"

Сообщение от БРЕДОР (??) on 20-Июн-08, 16:39

>[оверквотинг удален]
>>!
>>interface Vlan1
>> description LAN Interface
>> ip address 192.168.0.101 255.255.255.0
>> ip nat inside
>> ip virtual-reassembly
>> ip tcp adjust-mss 1452
>>!
>
>А ip tcp adjust-mss 1452 на VLAN1 поставил?
нет не ставил

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "EasyVPN HELP!"

Сообщение от БРЕДОР (ok) on 20-Июн-08, 16:41

>[оверквотинг удален]
>>!
>>interface Vlan1
>> description LAN Interface
>> ip address 192.168.0.101 255.255.255.0
>> ip nat inside
>> ip virtual-reassembly
>> ip tcp adjust-mss 1452
>>!
>
>А ip tcp adjust-mss 1452 на VLAN1 поставил?
нет, не ставил

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "EasyVPN HELP!"

Сообщение от БРЕДОР (ok) on 20-Июн-08, 16:55

Может я ошибся и м\необходимо написать не так:
crypto dynamic-map DYNMAP 1
set transform-set FOR_EASYVPN
reverse-route
!
!
crypto map CMAP client authentication list vpn_xauth
crypto map CMAP isakmp authorization list vpn_group
crypto map CMAP client configuration address respond
crypto map CMAP 65535 ipsec-isakmp dynamic DYNMAP
!

а так:
crypto map dynmap isakmp authorization list hw-client-groupname
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "EasyVPN HELP!"

Сообщение от bmonk (??) on 23-Июн-08, 09:13

>[оверквотинг удален]
>crypto map CMAP client configuration address respond
>crypto map CMAP 65535 ipsec-isakmp dynamic DYNMAP
>!
>
>
>а так:
>
>crypto map dynmap isakmp authorization list hw-client-groupname
>crypto map dynmap client configuration address respond
>crypto map dynmap 1 ipsec-isakmp dynamic dynmap
ИМХО первый вариант правильней
мне кажеться что клиентов лучше вывести в другую подсеть и переписатть 102 ацл

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "EasyVPN HELP!"
Сообщение от SergTel (??) on 20-Июн-08, 14:36
>[оверквотинг удален] > speed auto > crypto map CMAP >! >interface Vlan1 > description LAN Interface > ip address 192.168.0.101 255.255.255.0 > ip nat inside > ip virtual-reassembly > ip tcp adjust-mss 1452 >! А ip tcp adjust-mss 1452 на VLAN1 поставил?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "EasyVPN HELP!"
	Сообщение от БРЕДОР (??) on 20-Июн-08, 16:39
	>[оверквотинг удален] >>! >>interface Vlan1 >> description LAN Interface >> ip address 192.168.0.101 255.255.255.0 >> ip nat inside >> ip virtual-reassembly >> ip tcp adjust-mss 1452 >>! > >А ip tcp adjust-mss 1452 на VLAN1 поставил? нет не ставил
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "EasyVPN HELP!"
	Сообщение от БРЕДОР (ok) on 20-Июн-08, 16:41
	>[оверквотинг удален] >>! >>interface Vlan1 >> description LAN Interface >> ip address 192.168.0.101 255.255.255.0 >> ip nat inside >> ip virtual-reassembly >> ip tcp adjust-mss 1452 >>! > >А ip tcp adjust-mss 1452 на VLAN1 поставил? нет, не ставил
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

4. "EasyVPN HELP!"
Сообщение от БРЕДОР (ok) on 20-Июн-08, 16:55
Может я ошибся и м\необходимо написать не так: crypto dynamic-map DYNMAP 1 set transform-set FOR_EASYVPN reverse-route ! ! crypto map CMAP client authentication list vpn_xauth crypto map CMAP isakmp authorization list vpn_group crypto map CMAP client configuration address respond crypto map CMAP 65535 ipsec-isakmp dynamic DYNMAP ! а так: crypto map dynmap isakmp authorization list hw-client-groupname crypto map dynmap client configuration address respond crypto map dynmap 1 ipsec-isakmp dynamic dynmap
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "EasyVPN HELP!"
	Сообщение от bmonk (??) on 23-Июн-08, 09:13
	>[оверквотинг удален] >crypto map CMAP client configuration address respond >crypto map CMAP 65535 ipsec-isakmp dynamic DYNMAP >! > > >а так: > >crypto map dynmap isakmp authorization list hw-client-groupname >crypto map dynmap client configuration address respond >crypto map dynmap 1 ipsec-isakmp dynamic dynmap ИМХО первый вариант правильней мне кажеться что клиентов лучше вывести в другую подсеть и переписатть 102 ацл
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]