The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"VPN клиент за NAT"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"VPN клиент за NAT"  
Сообщение от Dmitriy (??) on 23-Мрт-07, 16:49 
Замучился уже. Может кто все же скажет, как заставить работать Cisco VPN client который находиться за произвольным NAT. Cisco 2801 IOS 12.3 11(XL). Клиент 4.8.02.0010
Если клиент не за НАТом, то все работает прекрасно. Как только выносишь за НАТ, перестает работать. Все настройки клиента перепробовал - ничего не помогает.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "VPN клиент за NAT"  
Сообщение от sable email(??) on 24-Мрт-07, 00:00 
IPSec NAT Transparency
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122newft/122t/122t13/ftipsnat.htm
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "VPN клиент за NAT"  
Сообщение от Dmitriy (??) on 26-Мрт-07, 16:18 
>IPSec NAT Transparency
>http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122newft/122t/122t13/ftipsnat.htm

Это все читал. Все так и сделано. Но все равно канал из-за НАТа встает, а пакеты
в канале неходят. Ткните носом в конфиге - что не так.

!This is the running config of the router: XXX.XXX.XXX.XXX
!----------------------------------------------------------------------------
!version 12.3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname XXX
!
boot-start-marker
boot system flash
boot system flash c2801-advipservicesk9-mz.123-11.XL.bin
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 52000 debugging
enable secret 5 $1$EJZl$PWVMLbR5UOxO4HgXI2Pm91
enable password 7 011E09105419090320
!
username root privilege 15 view root secret 5 $1$b6I9$6RZUZbZ9Y.E63FCEkw2lT/
username vpnuser secret 5 $1$X1Gl$wJnXiRVTWDU92eeKfJwPt/
clock timezone Moscow 3
clock summer-time Moscow date Mar 30 2003 2:00 Oct 26 2003 3:00
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
aaa new-model
!
!
aaa authentication login default local
aaa authentication login sdm_vpn_xauth_ml_3 local
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authorization exec default local
aaa authorization network sdm_vpn_group_ml_3 local
aaa authorization network sdm_vpn_group_ml_1 local
aaa session-id common
ip subnet-zero
no ip source-route
ip cef
!
!
ip tcp path-mtu-discovery
!
!
no ip bootp server
ip domain name vmpcorp.ru
ip name-server XXX.XXX.XXX.XXX
ip name-server XXX.XXX.XXX.XXX
ip inspect name sdm_ins_in_100 http urlfilter
ip ips po max-events 100
ip urlfilter allow-mode on
ip urlfilter exclusive-domain deny mail.google.com
ip urlfilter exclusive-domain deny .gmail.ru
ip urlfilter exclusive-domain deny win.mail.ru
ip urlfilter exclusive-domain deny mail.yandex.ru
ip urlfilter exclusive-domain deny mail.rambler.ru
no ftp-server write-enable
!
voice-card 0
!
!
!
voice service voip
sip
  min-se  120
!
!
voice class codec 2
codec preference 1 g729r8
codec preference 2 g711alaw
codec preference 3 g711ulaw
codec preference 4 g723r53
codec preference 5 g723r63
codec preference 6 g723ar53
codec preference 7 g723ar63
codec preference 8 g729br8
!
!
!
voice class h323 1
  h245 caps mode restricted
!
!
!
!
!
!
!
!
!
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp policy 2
encr 3des
authentication pre-share
group 2
crypto isakmp key motorola address 217.171.2.174 no-xauth
crypto isakmp key motorola address 212.57.117.82 no-xauth
crypto isakmp key motorola address 81.13.16.246 no-xauth
crypto isakmp key motorola address 212.14.166.166 no-xauth
crypto isakmp keepalive 20 5
crypto isakmp nat keepalive 20
crypto isakmp client configuration address-pool local SDM_POOL_1
crypto isakmp xauth timeout 15

!
crypto isakmp client configuration group remote_vpn_users
key motorola
dns 192.168.10.5
pool SDM_POOL_1
acl 105
save-password
include-local-lan
!
crypto ipsec security-association lifetime seconds 28800
!
crypto ipsec transform-set VMP_VPN esp-3des
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto dynamic-map SDM_DYNMAP_1 65535
set transform-set ESP-3DES-SHA
reverse-route
!
!
crypto map DL-VMP-VPN client authentication list sdm_vpn_xauth_ml_1
crypto map DL-VMP-VPN isakmp authorization list sdm_vpn_group_ml_1
crypto map DL-VMP-VPN client configuration address initiate
crypto map DL-VMP-VPN client configuration address respond
crypto map DL-VMP-VPN 9 ipsec-isakmp
description Market - KitajGorod
set peer XXX.XXX.XXX.XXX
set transform-set VMP_VPN
set pfs group2
match address 103
crypto map DL-VMP-VPN 10 ipsec-isakmp
description Racing - Aviamotornaja
set peer XXX.XXX.XXX.XXX
set transform-set VMP_VPN
set pfs group2
match address 101
crypto map DL-VMP-VPN 11 ipsec-isakmp
description Stosk
set peer XXX.XXX.XXX.XXX
set transform-set VMP_VPN
set pfs group2
match address 102
crypto map DL-VMP-VPN 12 ipsec-isakmp
description Arkhangelsk
set peer XXX.XXX.XXX.XXX
set transform-set VMP_VPN
set pfs group2
match address 106
crypto map DL-VMP-VPN 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
!
!
!
!
interface Null0
no ip unreachables
!
interface FastEthernet0/0
description $FW_INSIDE$$ETH-SW-LAUNCH$$INTF-INFO-FE 0$$ETH-LAN$
ip addressXXX.XXX.XXX.XXX
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip route-cache flow
speed auto
full-duplex
no cdp enable
no mop enabled
crypto map DL-VMP-VPN
!
interface FastEthernet0/1
description $FW_OUTSIDE$$ETH-LAN$
ip address 192.168.10.6 255.255.255.0
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1350
duplex auto
speed auto
no cdp enable
no mop enabled
!
router eigrp 10
redistribute static metric 1000 1000 255 1 1500
network XXX.XXX.XXX.XXX
network 192.168.10.0
auto-summary
!
ip local pool SDM_POOL_1 192.168.5.1 192.168.5.10
ip classless
ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX permanent
!
!
ip http server
ip http authentication local
ip http secure-server
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet0/0 overload
ip nat inside source static tcp 192.168.10.7 3389 XXX.XXX.XXX.XXX 3389 route-map SDM_RMAP_5 extendable
!
ip access-list extended NAT_All
remark *
remark SDM_ACL Category=2
deny   icmp 192.168.10.0 0.0.0.255 192.168.52.0 0.0.0.255
deny   ip 192.168.10.0 0.0.0.255 192.168.52.0 0.0.0.255
deny   ip host 192.168.10.7 any
deny   icmp 192.168.10.0 0.0.0.255 192.168.60.0 0.0.0.255
deny   ip 192.168.10.0 0.0.0.255 192.168.60.0 0.0.0.255
deny   icmp 192.168.10.0 0.0.0.255 192.168.51.0 0.0.0.255
deny   ip 192.168.10.0 0.0.0.255 192.168.51.0 0.0.0.255
deny   icmp 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255
deny   ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255
deny   ip 192.168.10.0 0.0.0.255 192.168.5.0 0.0.0.255
deny   icmp 192.168.10.0 0.0.0.255 192.168.5.0 0.0.0.255
remark NAT_network_to_all
permit ip 192.168.10.0 0.0.0.255 any
!
access-list 100 remark SDM_ACL Category=2
access-list 100 deny   ip host 192.168.10.7 host 192.168.5.10
access-list 100 deny   ip host 192.168.10.7 host 192.168.5.9
access-list 100 deny   ip host 192.168.10.7 host 192.168.5.8
access-list 100 deny   ip host 192.168.10.7 host 192.168.5.7
access-list 100 deny   ip host 192.168.10.7 host 192.168.5.6
access-list 100 deny   ip host 192.168.10.7 host 192.168.5.5
access-list 100 deny   ip host 192.168.10.7 host 192.168.5.4
access-list 100 deny   ip host 192.168.10.7 host 192.168.5.3
access-list 100 deny   ip host 192.168.10.7 host 192.168.5.2
access-list 100 deny   ip host 192.168.10.7 host 192.168.5.1
access-list 100 permit ip host 192.168.10.7 any
access-list 101 remark Racing - Aviamotornaja
access-list 101 remark SDM_ACL Category=20
access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255
access-list 101 permit icmp 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255
access-list 101 deny   ip any any
access-list 102 remark Stock
access-list 102 remark SDM_ACL Category=4
access-list 102 permit ip 192.168.10.0 0.0.0.255 192.168.51.0 0.0.0.255
access-list 102 permit icmp 192.168.10.0 0.0.0.255 192.168.51.0 0.0.0.255
access-list 102 deny   ip any any
access-list 103 remark Market - KitajGorod
access-list 103 remark SDM_ACL Category=4
access-list 103 permit ip 192.168.10.0 0.0.0.255 192.168.60.0 0.0.0.255
access-list 103 permit icmp 192.168.10.0 0.0.0.255 192.168.60.0 0.0.0.255
access-list 103 deny   ip any any
access-list 105 remark VPN
access-list 105 remark SDM_ACL Category=4
access-list 105 permit ip 192.168.10.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 105 permit icmp 192.168.10.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 105 deny   ip any any
access-list 106 remark Arkhangelsk
access-list 106 remark SDM_ACL Category=4
access-list 106 permit ip 192.168.10.0 0.0.0.255 192.168.52.0 0.0.0.255
access-list 106 permit icmp 192.168.10.0 0.0.0.255 192.168.52.0 0.0.0.255
access-list 106 deny   ip any any
no cdp run
!
route-map SDM_RMAP_4 permit 1
match ip address NAT_All
!
route-map SDM_RMAP_5 permit 1
match ip address 100
!
route-map SDM_RMAP_1 permit 1
match ip address NAT_All
!
route-map SDM_RMAP_2 permit 1
match ip address NAT_All
!
route-map SDM_RMAP_3 permit 1
match ip address NAT_All
!
!
!
!
control-plane
!
!
!
voice-port 0/0/0
supervisory disconnect dualtone mid-call
input gain 11
output attenuation -5
no comfort-noise
cptone KR
connection plar opx 1398
!
voice-port 0/0/1
supervisory disconnect dualtone mid-call
no battery-reversal
disc_pi_off
input gain 11
output attenuation -5
no comfort-noise
cptone KR
timeouts call-disconnect 1
timeouts wait-release 1
timing guard-out 500
connection plar opx 301
station-id number 301
!
voice-port 0/0/2
supervisory disconnect dualtone mid-call
input gain 11
output attenuation -5
no comfort-noise
cptone KR
connection plar opx 306
!
voice-port 0/0/3
supervisory disconnect dualtone mid-call
no battery-reversal
disc_pi_off
input gain 11
output attenuation -5
no comfort-noise
cptone KR
timeouts call-disconnect 1
timeouts wait-release 1
timing guard-out 500
connection plar opx 223
station-id number 223
!
!
!
!
dial-peer voice 1 voip
huntstop
destination-pattern 1398
voice-class codec 2
session target ipv4:XXX.XXX.XXX.XXX
ip qos dscp cs5 media
!
dial-peer voice 2 voip
huntstop
destination-pattern 301
voice-class codec 2
session protocol sipv2
session target ipv4:XXX.XXX.XXX.XXX
dtmf-relay rtp-nte
ip qos dscp cs5 media
no vad
!
dial-peer voice 10 pots
destination-pattern .T
port 0/0/0
!
dial-peer voice 11 pots
destination-pattern .T
port 0/0/1
!
dial-peer voice 3 voip
huntstop
destination-pattern 306
voice-class codec 2
session target ipv4:XXX.XXX.XXX.XXX
ip qos dscp cs5 media
!
dial-peer voice 12 pots
destination-pattern .T
port 0/0/2
!
dial-peer voice 4 voip
huntstop
destination-pattern 223
voice-class codec 2
session protocol sipv2
session target sip-server
dtmf-relay rtp-nte
ip qos dscp cs5 media
no vad
!
dial-peer voice 13 pots
destination-pattern .T
port 0/0/3
!
gateway
timer receive-rtp 1200
!
sip-ua
retry invite 10
retry response 5
retry cancel 5
timers trying 1000
timers connect 1000
timers disconnect 1000
sip-server ipv4:XXX.XXX.XXX.XXX
!
!
^C
!
line con 0
transport output telnet
line aux 0
transport output telnet
line vty 0 4
password 7 110416111800040005
transport input telnet ssh
line vty 5 15
password 7 151F04180B38242829
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp clock-period 17179894
ntp update-calendar
ntp server 194.149.67.130
ntp server 145.238.110.68
end


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "VPN клиент за NAT"  
Сообщение от Dmitriy (??) on 27-Мрт-07, 19:02 
Видимо вопрос поставил в тупик ...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "VPN клиент за NAT"  
Сообщение от sable email(ok) on 27-Мрт-07, 21:00 
Да тут никто никому ничем не обязан, если разобраться.
ИОС поменять попробуй, попробуй отладку включить и посмотреть что там происходит - ходят ли на роутер пакеты вообще от клиента и далее по обстоятельствам.  Действуй, чего смысла выкладывать конфиг и чуда ждать, что за тебя кто-то решит вопрос? На беглый взгляд все в нем вроде верно.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "VPN клиент за NAT"  
Сообщение от Val email(??) on 28-Мрт-07, 14:29 
>Видимо вопрос поставил в тупик ...


http://www.cisco.com/en/US/products/ps6120/products_tech_note09186a00807e0aca.shtml

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "VPN клиент за NAT"  
Сообщение от sable email(ok) on 10-Апр-07, 21:16 
Работает вот так с любой стороны (inside, outside) и из-под ната тоже (звездочки заменить по смыслу):
...
crypto isakmp policy 10
***
!
crypto isakmp policy 20
***
crypto isakmp keepalive *** periodic
!
crypto isakmp client configuration group isakmp-group-1
key ***
dns *** ***
domain ***
pool ***
acl ***
save-password
crypto isakmp profile isakmp-profile-1
   match identity group isakmp-group-1
   client authentication list ***
   isakmp authorization list ***
   client configuration address respond
   client configuration group isakmp-group-1
   keepalive *** retry ***
   virtual-template 2
!
!        
crypto ipsec transform-set transform-set-1 ***
crypto ipsec transform-set transform-set-2 ***
!
crypto ipsec profile ipsec-profile-1
set transform-set transform-set-2 transform-set-1
set isakmp-profile isakmp-profile-1
!
...
interface Loopback25
ip address *** ***
no ip proxy-arp
ip nat inside
ip virtual-reassembly
!
...
interface Virtual-Template2 type tunnel
ip unnumbered Loopback25
no ip proxy-arp
ip nat inside
ip virtual-reassembly
tunnel mode ipsec ipv4
tunnel protection ipsec profile ipsec-profile-1
!
...

Вот на этом:
Cisco IOS Software, 2800 Software (C2800NM-ADVIPSERVICESK9-M), Version 12.4(12), RELEASE SOFTWARE (fc1)

Здесь:
Cisco 2821 (revision 53.51) with 249856K/12288K bytes of memory.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "VPN клиент за NAT"  
Сообщение от Pavel email(??) on 06-Апр-07, 15:06 
честно скаж лень конфиг весь смотреть было 8)...попробуйте добавить комнаду
isakmp nat-traversal 20

по идееможет помочь

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "VPN клиент за NAT"  
Сообщение от sable email(??) on 06-Апр-07, 17:39 
>честно скаж лень конфиг весь смотреть было 8)...попробуйте добавить комнаду
>isakmp nat-traversal 20

Куда он тебе ее добавит? Это же не пикс, а 2801 с иосом.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "VPN клиент за NAT"  
Сообщение от Pavel (??) on 07-Апр-07, 18:54 
Что за фамильярности? А автору приношу извинения - был невнимателен.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "VPN клиент за NAT"  
Сообщение от sable email(??) on 07-Апр-07, 23:47 
>Что за фамильярности? А автору приношу извинения - был невнимателен.

Даже более того - команда есть подобная и в иосе, но смысл она имеет только тогда, когда сессия уже сложилась. А сама по себе описываемой проблемы она не решит.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "VPN клиент за NAT"  
Сообщение от Изгой (??) on 09-Апр-07, 10:08 
>>Что за фамильярности? А автору приношу извинения - был невнимателен.
>
>Даже более того - команда есть подобная и в иосе, но смысл
>она имеет только тогда, когда сессия уже сложилась. А сама по
>себе описываемой проблемы она не решит.

Вот странно , давно я делал сейчас могу неточнг сказать , но если у вас клиент за Патом ,
то в чём проблема туннель устанавливаеться клиентом до первого гетевея , он получает адресс , а потом его можно натить сколько угодно дальше же он не шифруеться и не идентифицируеться  то есть получаеться клиент - гетевей -получили адреса тут уже далеше пойдёт обычный траф -- далее можно уже поднимать второй туннуль между кошкой и кошкой к примеру , если жу клиент одращаеться через роутер ваш к примеру на другой гетевей другой кошки это уже другой случай ..
Так какой же случай у вас ?? что то немогу понять

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "VPN клиент за NAT"  
Сообщение от Dmitriy (??) on 09-Апр-07, 16:53 
>>>Что за фамильярности? А автору приношу извинения - был невнимателен.
>>
>>Даже более того - команда есть подобная и в иосе, но смысл
>>она имеет только тогда, когда сессия уже сложилась. А сама по
>>себе описываемой проблемы она не решит.
>
>Вот странно , давно я делал сейчас могу неточнг сказать , но
>если у вас клиент за Патом ,
>то в чём проблема туннель устанавливаеться клиентом до первого гетевея , он
>получает адресс , а потом его можно натить сколько угодно дальше
>же он не шифруеться и не идентифицируеться  то есть получаеться
>клиент - гетевей -получили адреса тут уже далеше пойдёт обычный траф
>-- далее можно уже поднимать второй туннуль между кошкой и кошкой
>к примеру , если жу клиент одращаеться через роутер ваш к
>примеру на другой гетевей другой кошки это уже другой случай ..
>
>Так какой же случай у вас ?? что то немогу понять

Еще раз о проблеме - клиент находиться за произвольным натом, может находиться за моим,
может находиться за чужим, о котором я ничего не знаю. Как показали изыскания с помощью debug, происходит ошибка при расшифровке ipsec пакета на циске от клиента. Ошибка что-то
типа mac verefication failed. Чуть позже покажу весь дебуг.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "VPN клиент за NAT"  
Сообщение от Dmitriy (??) on 09-Апр-07, 19:30 
>>>Что за фамильярности? А автору приношу извинения - был невнимателен.
>>
>>Даже более того - команда есть подобная и в иосе, но смысл
>>она имеет только тогда, когда сессия уже сложилась. А сама по
>>себе описываемой проблемы она не решит.
>
>Вот странно , давно я делал сейчас могу неточнг сказать , но
>если у вас клиент за Патом ,
>то в чём проблема туннель устанавливаеться клиентом до первого гетевея , он
>получает адресс , а потом его можно натить сколько угодно дальше
>же он не шифруеться и не идентифицируеться  то есть получаеться
>клиент - гетевей -получили адреса тут уже далеше пойдёт обычный траф
>-- далее можно уже поднимать второй туннуль между кошкой и кошкой
>к примеру , если жу клиент одращаеться через роутер ваш к
>примеру на другой гетевей другой кошки это уже другой случай ..
>
>Так какой же случай у вас ?? что то немогу понять


Log Buffer (4096 bytes):
18.66.56,
    local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
    remote_proxy= 192.168.5.10/255.255.255.255/0/0 (type=1),
    protocol= ESP, transform= esp-3des esp-sha-hmac  (Tunnel-UDP),
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x400
002175: Apr  9 18:21:35.896 Moscow: IPSEC(validate_proposal_request): proposal part #2,
  (key eng. msg.) INBOUND local= x.x.x.x, remote= 217.118.66.56,
    local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
    remote_proxy= 192.168.5.10/255.255.255.255/0/0 (type=1),
    protocol= PCP, transform= comp-lzs  (Tunnel-UDP),
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x400
002176: Apr  9 18:21:35.896 Moscow: IPSEC(validate_transform_proposal): transform proposal not supported for identity:
    {esp-3des esp-sha-hmac comp-lzs }
002177: Apr  9 18:21:35.896 Moscow: IPSEC(validate_proposal_request): proposal part #1,
  (key eng. msg.) INBOUND local= x.x.x.x, remote= 217.118.66.56,
    local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
--More--             remote_proxy= 192.168.5.10/255.255.255.255/0/0 (type=1),
    protocol= ESP, transform= esp-3des esp-md5-hmac  (Tunnel-UDP),
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x400
002178: Apr  9 18:21:35.896 Moscow: IPSEC(validate_transform_proposal): transform proposal not supported for identity:
    {esp-3des esp-md5-hmac }
002179: Apr  9 18:21:35.896 Moscow: IPSEC(validate_proposal_request): proposal part #1,
  (key eng. msg.) INBOUND local= x.x.x.x, remote= 217.118.66.56,
    local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
    remote_proxy= 192.168.5.10/255.255.255.255/0/0 (type=1),
    protocol= ESP, transform= esp-3des esp-sha-hmac  (Tunnel-UDP),
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x400
002180: Apr  9 18:21:35.900 Moscow: IPSEC(key_engine): got a queue event with 1 kei messages
002181: Apr  9 18:21:35.900 Moscow: IPSEC(spi_response): getting spi 3389206550 for SA
    from x.x.x.x to 217.118.66.56 for prot 3
002182: Apr  9 18:21:35.904 Moscow: IPSEC(key_engine): got a queue event with 2 kei messages
002183: Apr  9 18:21:35.904 Moscow: IPSEC(initialize_sas): ,
--More--           (key eng. msg.) INBOUND local= x.x.x.x, remote= 217.118.66.56,
    local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
    remote_proxy= 192.168.5.10/0.0.0.0/0/0 (type=1),
    protocol= ESP, transform= esp-3des esp-sha-hmac  (Tunnel-UDP),
    lifedur= 2147483s and 0kb,
    spi= 0xCA033016(3389206550), conn_id= 0, keysize= 0, flags= 0x400
002184: Apr  9 18:21:35.904 Moscow: IPSEC(initialize_sas): ,
  (key eng. msg.) OUTBOUND local= x.x.x.x, remote= 217.118.66.56,
    local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
    remote_proxy= 192.168.5.10/0.0.0.0/0/0 (type=1),
    protocol= ESP, transform= esp-3des esp-sha-hmac  (Tunnel-UDP),
    lifedur= 2147483s and 0kb,
    spi= 0xC5867503(3313923331), conn_id= 0, keysize= 0, flags= 0x408
002185: Apr  9 18:21:35.904 Moscow: IPSEC(rte_mgr): VPN Route Added 192.168.5.10 255.255.255.255 via 217.118.66.56 in IP DEFAULT TABLE
002186: Apr  9 18:21:35.904 Moscow: IPSec: Flow_switching Allocated flow for sibling 800000FE
002187: Apr  9 18:21:35.904 Moscow: IPSEC(policy_db_add_ident): src 0.0.0.0, dest 192.168.5.10, dest_port 0

002188: Apr  9 18:21:35.904 Moscow: IPSEC(create_sa): sa created,
  (sa) sa_dest= x.x.x.x, sa_proto= 50,
    sa_spi= 0xCA033016(3389206550),
--More--             sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 4003
002189: Apr  9 18:21:35.904 Moscow: IPSEC(create_sa): sa created,
  (sa) sa_dest= 217.118.66.56, sa_proto= 50,
    sa_spi= 0xC5867503(3313923331),
    sa_trans= esp-3des esp-sha-hmac , sa_conn_id= 4014
002190: Apr  9 18:21:36.644 Moscow: IPSEC(key_engine): got a queue event with 1 kei messages
002191: Apr  9 18:21:36.644 Moscow: IPSEC(key_engine_enable_outbound): rec'd enable notify from ISAKMP
002192: Apr  9 18:21:36.644 Moscow: IPSEC(key_engine_enable_outbound): enable SA with spi 3313923331/50
002193: Apr  9 18:21:38.176 Moscow: %CRYPTO-4-RECVD_PKT_MAC_ERR: decrypt: mac verify failed for connection id=3

Вот такая вот петрушка получается
Здесь х.х.х.х - адрес циски.
217.118.66.56 - адрес ната провайдера.
VPN канал установился, но при доставке пакета через тунель циска не может сделать
декрипт. Какого ей надо?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "VPN клиент за NAT"  
Сообщение от sable email(ok) on 09-Апр-07, 20:59 
А покажи вывод "show ip route" в момент, когда vpn канал up.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "VPN клиент за NAT"  
Сообщение от Dmitriy (??) on 10-Апр-07, 18:56 
>А покажи вывод "show ip route" в момент, когда vpn канал up.
>


show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is x.x.x.x to network 0.0.0.0

     85.0.0.0/28 is subnetted, 1 subnets
C       x.x.x.x is directly connected, FastEthernet0/0
C    192.168.10.0/24 is directly connected, FastEthernet0/1
     192.168.5.0/32 is subnetted, 1 subnets
S       192.168.5.2 [1/0] via 217.118.66.22
S*   0.0.0.0/0 [1/0] via x.x.x.x

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "VPN клиент за NAT"  
Сообщение от Dmitriy (??) on 21-Апр-07, 16:48 
>Замучился уже. Может кто все же скажет, как заставить работать Cisco VPN
>client который находиться за произвольным NAT. Cisco 2801 IOS 12.3 11(XL).
>Клиент 4.8.02.0010
>Если клиент не за НАТом, то все работает прекрасно. Как только выносишь
>за НАТ, перестает работать. Все настройки клиента перепробовал - ничего не
>помогает.


Короче замудохался. Взял вторую такуюже нулевую циску, прописал интерфейсы
и eazyvpn, больше ни чего не заводил. Результат тот же.
Осталось только ios попробовать поменять. Поделитесь кто нибудь
c2800nm-advipservicesk9-mz.123-11.T или c2800nm-adventerprisek9-mz.123-11.T
можно так же c2800nm-advipservicesk9-mz.123-14.T или c2800nm-adventerprisek9-mz.123-14.T
Заранее спасибо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "VPN клиент за NAT"  
Сообщение от Dmitriy (??) on 21-Апр-07, 16:50 
>>Замучился уже. Может кто все же скажет, как заставить работать Cisco VPN
>>client который находиться за произвольным NAT. Cisco 2801 IOS 12.3 11(XL).
>>Клиент 4.8.02.0010
>>Если клиент не за НАТом, то все работает прекрасно. Как только выносишь
>>за НАТ, перестает работать. Все настройки клиента перепробовал - ничего не
>>помогает.
>
>
>Короче замудохался. Взял вторую такуюже нулевую циску, прописал интерфейсы
>и eazyvpn, больше ни чего не заводил. Результат тот же.
>Осталось только ios попробовать поменять. Поделитесь кто нибудь
>c2800nm-advipservicesk9-mz.123-11.T или c2800nm-adventerprisek9-mz.123-11.T
>можно так же c2800nm-advipservicesk9-mz.123-14.T или c2800nm-adventerprisek9-mz.123-14.T
>Заранее спасибо.


Пардонте ошибся, нужно
c2801-advipservicesk9-mz.123-11.T или c2801-adventerprisek9-mz.123-11.T
можно так же c2801-advipservicesk9-mz.123-14.T или c2801-adventerprisek9-mz.123-14.T

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "VPN клиент за NAT"  
Сообщение от sable email(ok) on 21-Апр-07, 20:53 
Посмотри ответ №15. Это рабочий пример.
https://www.opennet.ru/openforum/vsluhforumID6/13146.html#15
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "VPN клиент за NAT"  
Сообщение от Dmitriy (??) on 22-Апр-07, 16:40 
>Посмотри ответ №15. Это рабочий пример.
>https://www.opennet.ru/openforum/vsluhforumID6/13146.html#15

Спасибо за дельный совет. Но к сожалению на IOS 12.3 такое не прокатит, а поставить 12.4
нет возможности по причине наличия всего 128М памяти, да и голосовые сервисы они там слегка поломали.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "VPN клиент за NAT"  
Сообщение от Изгой (??) on 24-Апр-07, 08:28 
>>Посмотри ответ №15. Это рабочий пример.
>>https://www.opennet.ru/openforum/vsluhforumID6/13146.html#15
>
>Спасибо за дельный совет. Но к сожалению на IOS 12.3 такое не
>прокатит, а поставить 12.4
>нет возможности по причине наличия всего 128М памяти, да и голосовые сервисы
>они там слегка поломали.

Знаете чтоб я всё таки сделал , посмотрел бы ещё раз клиент , насколько я помню cisco vpn client поддерживает nat - t  ибо было бы глупо со стороны cisco делать клиент который неробит из под ната , представте себе ситуацию что клиент проходит nat(PAT) не на вашем маршрутизаторе и что вы будете каждому провайдеру звонить и просить чтоб он маршрутизатор настроил как вам надо ?? ТО есть изначально если клиент использует nat -t и заворачивает пакеты в udp чтоб пройти PAT маршрутизатор и к примеру соединиться с вашим маршрутизатором , но если ему надо пройти и ваш пат , на какойто адресс то надо пробросить этот порт туда куда он обращаеться , и при этом не зарубить акцесс листами трафик , а порты обращения в данном случае посмотрите сами , какие используеться в данном случае . Я думаю проблема не в вашем иосе , поставте снифер в конце концов посмотрите что делает клиент , какие порты назначения использует проанализируйте , я думаю если начать с самого начала и разложить все по полкам всё у вас получиться.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "VPN клиент за NAT"  
Сообщение от Dmitriy (??) on 24-Апр-07, 15:17 
>Замучился уже. Может кто все же скажет, как заставить работать Cisco VPN
>client который находиться за произвольным NAT. Cisco 2801 IOS 12.3 11(XL).
>Клиент 4.8.02.0010
>Если клиент не за НАТом, то все работает прекрасно. Как только выносишь
>за НАТ, перестает работать. Все настройки клиента перепробовал - ничего не
>помогает.

Все, проблема решилась заменой ИОС до 12.3.14Т. Так что имейте ввиду, что по крайней мере
в данной версии ИОС, не корректно работают динамические криптомапы.
Всем спасибо за участие в решение проблемы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру