URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1209
[ Назад ]

Исходное сообщение
"Cisco не могу подключиться к VPN"

Отправлено star117 , 31-Янв-14 11:18 
Доброго времени суток, господа!
Есть Cisco-3825, настроено 3 субинтерфейса к ISP и один в локальную сеть. Раньше использовал статическую маршрутизацию, теперь настраиваю через route-map.
Настроен VPN PPTP. Раньше подключение к нему проблем не вызывало.
Проблема в том, что раньше nmap -sT <адрес роутера> с другой машины показывал открытым порт 1723. Теперь nmap сообщаем что "хост скорее выключен", то есть открытых портов нет.
Соответственно и подключится клиентом к нему не могу.

Вопрос: может существует какая-то особенность при переходе на route-map которую я не учёл?
Если нужен конфиг - предоставлю.

Прошу помощи!


Содержание

Сообщения в этом обсуждении
"Cisco не могу подключиться к VPN"
Отправлено Merridius , 31-Янв-14 11:36 
>[оверквотинг удален]
> Раньше использовал статическую маршрутизацию, теперь настраиваю через route-map.
> Настроен VPN PPTP. Раньше подключение к нему проблем не вызывало.
> Проблема в том, что раньше nmap -sT <адрес роутера> с другой машины
> показывал открытым порт 1723. Теперь nmap сообщаем что "хост скорее выключен",
> то есть открытых портов нет.
> Соответственно и подключится клиентом к нему не могу.
> Вопрос: может существует какая-то особенность при переходе на route-map которую я не
> учёл?
> Если нужен конфиг - предоставлю.
> Прошу помощи!

Конфиг в студию, желательно старый и новый.


"Cisco не могу подключиться к VPN"
Отправлено star117 , 31-Янв-14 12:35 
Вот конфиг с небольшими пробелами:
Current configuration : 5334 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec localtime
service pISP1sword-encryption
!
hostname main-gw
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
no logging buffered
no logging monitor
!
aaa new-model
!
!
aaa group server radius My
server-private 10.11.12.11 auth-port 1812 acct-port 1813 key 7 051D2B240C696A3D3C0E
!
aaa authentication login default local
aaa authentication ppp default group My
aaa authorization exec default local
aaa authorization network pptp group My
!
!
aaa session-id common
clock timezone NOVST 7
!
dot11 syslog
ip cef
!
!
!
!
ip domain name xxxx.rr
ip name-server 8.8.8.8
ip name-server 8.8.4.4
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
vpdn enable
!
vpdn-group My_VPN
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
session-limit 10
ip pmtu
ip mtu adjust
!
!
voice-card 0
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
username XXX privilege 15 secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
archive
log config
  hidekeys
!
!
!
!
!
ip ssh version 2
!
!
!
!
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
media-type rj45
!
...
!
interface GigabitEthernet0/0.77
description ISP3
encapsulation dot1Q 77
ip address 4.4.4.147 255.255.255.0
ip nat outside
ip virtual-reassembly
ip policy route-map NOVO_MAP_IN
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/1.1
description LAN
encapsulation dot1Q 1 native
ip address 10.11.12.2 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map My_OUT
!
interface Virtual-Template1
ip unnumbered GigabitEthernet0/0.77
ip nat inside
ip virtual-reassembly
peer default ip address pool VPN_POOL
ppp encrypt mppe 128 required
ppp authentication ms-chap-v2
ppp authorization pptp
ppp chap refuse
ppp pap refuse
ppp ipcp dns 10.11.12.11
!
ip local policy route-map LOCAL_MAP
ip local pool VPN_POOL 10.11.12.253 10.11.12.254
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source list LAN_INET_OUT interface GigabitEthernet0/0.77 overload
...
ip access-list extended LAN_IN
permit ip any 10.11.12.0 0.0.0.255
ip access-list extended LAN_INET_OUT
permit ip 10.11.12.0 0.0.0.255 any
permit icmp any host 4.4.4.147
permit icmp host 4.4.4.147 any
ip access-list extended NOVO_IN
permit icmp any host 4.4.4.147
permit icmp host 4.4.4.147 any
permit tcp any host 4.4.4.147 eq 1723
permit tcp host 4.4.4.147 eq 1723 any
...
!
logging 10.11.12.127
no cdp run
!
!
!
!
...
!
route-map My_OUT permit 30
match ip address LAN_IN
set interface GigabitEthernet0/1.1
!
route-map My_OUT permit 40
match ip address LAN_INET_OUT
set ip default next-hop 4.4.4.1
!
route-map NOVO_MAP_IN permit 20
match ip address NOVO_IN
!
route-map LOCAL_MAP permit 10
match ip address LAN_IN
set interface GigabitEthernet0/1.1
!
...
!
route-map LOCAL_MAP permit 30
match ip address NOVO_IN
set ip default next-hop 4.4.4.1
!
...


"Cisco не могу подключиться к VPN"
Отправлено lumenous , 31-Янв-14 15:49 
>[оверквотинг удален]
>  match ip address LAN_IN
>  set interface GigabitEthernet0/1.1
> !
> ...
> !
> route-map LOCAL_MAP permit 30
>  match ip address NOVO_IN
>  set ip default next-hop 4.4.4.1
> !
> ...

А зачем этот роутмап на интерфейсе если он матчит но ничего не делает?
route-map NOVO_MAP_IN permit 20
match ip address NOVO_IN
!


"Cisco не могу подключиться к VPN"
Отправлено star117 , 31-Янв-14 19:07 
>[оверквотинг удален]
>> route-map LOCAL_MAP permit 30
>>  match ip address NOVO_IN
>>  set ip default next-hop 4.4.4.1
>> !
>> ...
> А зачем этот роутмап на интерфейсе если он матчит но ничего не
> делает?
> route-map NOVO_MAP_IN permit 20
> match ip address NOVO_IN
> !

Это от недостатка знаний - увидел в чужом конфиге, думал что так делать надо.


"Cisco не могу подключиться к VPN"
Отправлено star117 , 31-Янв-14 19:08 
>[оверквотинг удален]
>> Настроен VPN PPTP. Раньше подключение к нему проблем не вызывало.
>> Проблема в том, что раньше nmap -sT <адрес роутера> с другой машины
>> показывал открытым порт 1723. Теперь nmap сообщаем что "хост скорее выключен",
>> то есть открытых портов нет.
>> Соответственно и подключится клиентом к нему не могу.
>> Вопрос: может существует какая-то особенность при переходе на route-map которую я не
>> учёл?
>> Если нужен конфиг - предоставлю.
>> Прошу помощи!
> Конфиг в студию, желательно старый и новый.

Старого конфига уже нет, есть только новый.