The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"easy vpn server & pptp server"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"easy vpn server & pptp server"  +/
Сообщение от klin email(ok) on 14-Май-09, 16:00 
Есть cisco 2811 понял на ней easy vpn server, на PC поставил cisco vpn client, подключение происходит клиент получает ip из нужного пула но хосты в локальной сети почему то не видны(не проходит ping), в чем может быть проблема подскажите уважаемые..

crypto isakmp policy 500
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration address-pool local pool1
!
crypto isakmp client configuration group ezvpn
key ciscocisco
pool pool1
save-password
netmask 255.255.255.0
!
!
crypto ipsec transform-set ts_ezvpn esp-aes esp-sha-hmac
!
crypto dynamic-map dm_map 1
description --Mobile remote access
set transform-set ts_ezvpn
reverse-route
!
!
!
crypto map cm_EZVPN client authentication list ezvpn
crypto map cm_EZVPN isakmp authorization list ezvpn
crypto map cm_EZVPN client configuration address respond
crypto map cm_EZVPN 500 ipsec-isakmp dynamic dm_map


в принципе такая же ситуация когда попытался поднять pptp сервер, подключение происходит клиент авторизируется но LAN на видна

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "easy vpn server & pptp server"  +/
Сообщение от CrAzOiD (ok) on 14-Май-09, 16:12 
>[оверквотинг удален]
>!
>!
>crypto map cm_EZVPN client authentication list ezvpn
>crypto map cm_EZVPN isakmp authorization list ezvpn
>crypto map cm_EZVPN client configuration address respond
>crypto map cm_EZVPN 500 ipsec-isakmp dynamic dm_map
>
>
>в принципе такая же ситуация когда попытался поднять pptp сервер, подключение происходит
>клиент авторизируется но LAN на видна

Какие адреса в локальной сети и какие адреса выдаются пулом? Случайно не из одной подсети?
Если нет, покажите sh ip route с маршрутизатора до и после VPN подключения.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "easy vpn server & pptp server"  +/
Сообщение от CrAzOiD (ok) on 14-Май-09, 16:13 
И, кстати, при чем тут pptp?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "easy vpn server & pptp server"  +/
Сообщение от klin email(ok) on 14-Май-09, 16:29 
>И, кстати, при чем тут pptp?

C одной подсети, pptp не причем просто когда у меня не получилось easy vpn, я попробовал с pptp но эфект такой же.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "easy vpn server & pptp server"  +/
Сообщение от CrAzOiD (ok) on 14-Май-09, 16:41 
>>И, кстати, при чем тут pptp?
>
>C одной подсети, pptp не причем просто когда у меня не получилось
>easy vpn, я попробовал с pptp но эфект такой же.

Потому что одна подсеть. Для компьютера в локальной сети пришедший пакет считается локальным. И ответ будет локальным. Ему нет смысла отсылать что-то через маршрутизатор.
В этом и есть косяк. Выделяйте под VPN отдельную подсеть.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "easy vpn server & pptp server"  +/
Сообщение от klin email(ok) on 14-Май-09, 16:57 
>>>И, кстати, при чем тут pptp?
>>
>>C одной подсети, pptp не причем просто когда у меня не получилось
>>easy vpn, я попробовал с pptp но эфект такой же.
>
>Потому что одна подсеть. Для компьютера в локальной сети пришедший пакет считается
>локальным. И ответ будет локальным. Ему нет смысла отсылать что-то через
>маршрутизатор.
>В этом и есть косяк. Выделяйте под VPN отдельную подсеть.

Пробовал и разные подсети, при этом на удаленом компьютере прописывал маршрут, все равно не работало. Кстати еще на маршрутизаторе есть NAT это может влиять?  

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "easy vpn server & pptp server"  +/
Сообщение от CrAzOiD (ok) on 14-Май-09, 17:31 

>равно не работало. Кстати еще на маршрутизаторе есть NAT это может
>влиять?

Конечно. Надо исключить подсеть VPN из NAT

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "easy vpn server & pptp server"  +/
Сообщение от klin email(ok) on 14-Май-09, 17:49 
>
>>равно не работало. Кстати еще на маршрутизаторе есть NAT это может
>>влиять?
>
>Конечно. Надо исключить подсеть VPN из NAT

Дело в том что сервера в локальной сети находятся за NAT, и VPN в принципе нужен для того что б удаленные пользователи могли попасть на эти сервера, как быть в такой ситуации??

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "easy vpn server & pptp server"  +/
Сообщение от klin email(ok) on 14-Май-09, 18:00 
>>
>>>равно не работало. Кстати еще на маршрутизаторе есть NAT это может
>>>влиять?
>>
>>Конечно. Надо исключить подсеть VPN из NAT
>
>Дело в том что сервера в локальной сети находятся за NAT, и
>VPN в принципе нужен для того что б удаленные пользователи могли
>попасть на эти сервера, как быть в такой ситуации??

Еще как-то странно допустим 1.1.1.1 это IP WAN интерфейса который смотрит в сторону провайдера на который соoбствено я и подымаю VPN , 10.10.10.0/24 LAN сеть, так вот при соединении когда я получаю IP и  пытаюсь что то пропинговать из LAN ответ  (Reply from), идет от адреса 1.1.1.1

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "easy vpn server & pptp server"  +/
Сообщение от CrAzOiD (ok) on 14-Май-09, 18:40 
>[оверквотинг удален]
>>
>>Дело в том что сервера в локальной сети находятся за NAT, и
>>VPN в принципе нужен для того что б удаленные пользователи могли
>>попасть на эти сервера, как быть в такой ситуации??
>
>Еще как-то странно допустим 1.1.1.1 это IP WAN интерфейса который смотрит в
>сторону провайдера на который соoбствено я и подымаю VPN , 10.10.10.0/24
>LAN сеть, так вот при соединении когда я получаю IP и
> пытаюсь что то пропинговать из LAN ответ  (Reply from),
>идет от адреса 1.1.1.1

Конфиг и схему покажите.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "easy vpn server & pptp server"  +/
Сообщение от klin email(ok) on 14-Май-09, 19:07 
>[оверквотинг удален]
>>>VPN в принципе нужен для того что б удаленные пользователи могли
>>>попасть на эти сервера, как быть в такой ситуации??
>>
>>Еще как-то странно допустим 1.1.1.1 это IP WAN интерфейса который смотрит в
>>сторону провайдера на который соoбствено я и подымаю VPN , 10.10.10.0/24
>>LAN сеть, так вот при соединении когда я получаю IP и
>> пытаюсь что то пропинговать из LAN ответ  (Reply from),
>>идет от адреса 1.1.1.1
>
>Конфиг и схему покажите.

А схема сообственно любой юзер с инета мог подключится VPN-ом в корп сеть и работать

crypto isakmp policy 500
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration address-pool local pool1
!
crypto isakmp client configuration group ezvpn
key ciscocisco
pool pool1
acl 100
save-password
netmask 255.255.255.0
!
!
crypto ipsec transform-set ts_ezvpn esp-3des esp-sha-hmac
!
crypto dynamic-map dm_map 1
description --Mobile remote access
set transform-set ts_ezvpn
reverse-route
!
!
!
crypto map cm_EZVPN client authentication list ezvpn
crypto map cm_EZVPN isakmp authorization list ezvpn
crypto map cm_EZVPN client configuration address respond
crypto map cm_EZVPN 500 ipsec-isakmp dynamic dm_map
!
!
!
!
!
track 123 ip sla 10 reachability
!
track 124 ip sla 20 reachability
!
!
!
!
!
interface FastEthernet0/1
description PPPoE over ISP 1
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface FastEthernet0/0/0
description LAN L2
switchport access vlan 2
!
interface FastEthernet0/0/1
description ISP 2 L2
switchport access vlan 30
!
interface FastEthernet0/0/2
shutdown
!
interface FastEthernet0/0/3
shutdown
!
interface Vlan1
no ip address
ip virtual-reassembly
shutdown
!
interface Vlan2
description LAN L3
ip address 10.10.10.2 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map tracking
!
interface Vlan30
description ISP 2 L3
ip address ISP2 MY 255.255.255.252
ip nat outside
ip virtual-reassembly
crypto map cm_EZVPN
!
interface Dialer1
mtu 1492
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp authentication pap callin
ppp pap sent-username
!
ip local pool pool1 10.10.10.8
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ISP 2 GW 10
ip route 0.0.0.0 0.0.0.0 ISP 1 GW 20
ip http server
!
!
ip nat inside source route-map ISP 1 interface Dialer1 overload
ip nat inside source route-map ISP 2 interface Vlan30 overload
!
access-list 1 permit 10.10.10.0 0.0.0.255
access-list 10 permit 10.10.10.3
access-list 10 permit 10.10.10.23
access-list 100 permit  10.10.10.0 0.0.0.255 any

dialer-list 1 protocol ip permit
!
!
!
!
route-map tracking permit 10
match ip address 10
set ip next-hop verify-availability ISP 1 10 track 124
set ip next-hop verify-availability ISP 2 20 track 123
!
route-map tracking permit 20
match ip address 1
set ip next-hop verify-availability ISP 2 10 track 123
set ip next-hop verify-availability ISP 1 20 track 124
!
route-map ISP 1 permit 10
match ip address 1
match interface Dialer1
!
route-map ISP 2 permit 10
match ip address 1
match interface Vlan30

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "easy vpn server & pptp server"  +/
Сообщение от CrAzOiD (ok) on 14-Май-09, 20:51 
1. Вы таки опять используете адреса локальной сети для VPN.
Не будет так работать. Я обьяснял почему.

2.
>access-list 100 permit  10.10.10.0 0.0.0.255 any

У вас неправильно описан этот ACL для split-route
Надо наоборот:
access-list 100 permit 10.10.10.0 0.0.0.255 х.х.х.х 0.0.0.255
где х.х.х.х подсеть для VPN

А вообще попробуйте посмотреть route print на вашей машине.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "easy vpn server & pptp server"  +/
Сообщение от klin email(ok) on 15-Май-09, 10:46 
>[оверквотинг удален]
>
>2.
>>access-list 100 permit  10.10.10.0 0.0.0.255 any
>
>У вас неправильно описан этот ACL для split-route
>Надо наоборот:
>access-list 100 permit 10.10.10.0 0.0.0.255 х.х.х.х 0.0.0.255
>где х.х.х.х подсеть для VPN
>
>А вообще попробуйте посмотреть route print на вашей машине.

Изменил и адреса и acl,посмотрел route print маршрут есть, но ситуация не меняется, и вот это нормально --- допустим 1.1.1.1 это IP WAN интерфейса который смотрит в сторону провайдера на который соoбствено я и подымаю VPN , 10.10.10.0/24 LAN сеть, так вот при соединении когда я получаю IP и  пытаюсь что то пропинговать из LAN ответ  (Reply from), идет от адреса 1.1.1.1, такое чувство что не строится тунель

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "easy vpn server & pptp server"  +/
Сообщение от сашка on 14-Май-09, 16:40 
>[оверквотинг удален]
>!
>!
>crypto map cm_EZVPN client authentication list ezvpn
>crypto map cm_EZVPN isakmp authorization list ezvpn
>crypto map cm_EZVPN client configuration address respond
>crypto map cm_EZVPN 500 ipsec-isakmp dynamic dm_map
>
>
>в принципе такая же ситуация когда попытался поднять pptp сервер, подключение происходит
>клиент авторизируется но LAN на видна

А чего не соответствие алгоритмов шифрования ?
crypto isakmp policy 500
> encr 3des

crypto ipsec transform-set ts_ezvpn esp-aes esp-sha-hmac

определитесь уже aes или 3des

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "easy vpn server & pptp server"  +/
Сообщение от klin email(ok) on 14-Май-09, 16:44 
>[оверквотинг удален]
>>в принципе такая же ситуация когда попытался поднять pptp сервер, подключение происходит
>>клиент авторизируется но LAN на видна
>
>А чего не соответствие алгоритмов шифрования ?
>crypto isakmp policy 500
>> encr 3des
>
>crypto ipsec transform-set ts_ezvpn esp-aes esp-sha-hmac
>
>определитесь уже aes или 3des

изменил на crypto ipsec transform-set ts_ezvpn esp-3des esp-sha-hmac, но ничего не изменилось

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру