 подключение EasyVPN IPSEC,  ll75, 23-Ноя-09, 13:52 [смотреть все]подключение с помощью CiscoVPN-клиента получается но дальше не пускает....такое впечатление, что как и при PPTP VPN нужно на компе в локальной сети, к которому подключаемся прописывать явно статический маршрут.Но вообще-то было впечатление от EasyVPN, что после подключения клиентом сразу можно просмотреть локальную сеть, т.к. в настройках циски присутствовали параметры:
dns .......
domain .....
в
crypto isakmp client configuration group sgroup
Как на самом деле можно без прописывания статического маршрута обойтись? Кусок конфига: !
aaa new-model
!
!
aaa authentication login default local
aaa authentication login uzerlizt local
aaa authorization exec default local
aaa authorization network sgroup local
aaa session-id common
.....................
.....................
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group 3klient
key 123
dns 192.168.1.xx
domain my_domain
pool ukpool
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
!
crypto dynamic-map dynmap 1
set transform-set myset
!
!
crypto map clientmap client authentication list uzerlizt
crypto map clientmap isakmp authorization list sgroup
crypto map clientmap client configuration address respond
crypto map clientmap 1 ipsec-isakmp dynamic dynmap
!
!
!
!
!
!
interface FastEthernet0
description $ETH-LAN$
ip address 81.90.xxx.7 255.255.255.128
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip tcp adjust-mss 1412
duplex auto
speed auto
!
interface FastEthernet1
description $ETH-WAN$
no ip address
ip access-group Inbound in
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface FastEthernet9
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-FE 2$$ES_LAN$
ip address 192.168.1.13 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Async1
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
encapsulation slip
!
interface Async5
no ip address
encapsulation ppp
dialer in-band
dialer pool-member 2
async mode dedicated
no fair-queue
!
interface Dialer3
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username my_username password 7 1332454A1F0D343228
crypto map clientmap
!
....................
....................
ip local pool ukpool 192.168.1.204 192.168.1.206
.....................
..................... |
- подключение EasyVPN IPSEC, Stell, 14:33 , 23-Ноя-09 (1)
Выдавайте VPN клиентам адреса из сети отличной от LAN (192.168.1.0/24)
- подключение EasyVPN IPSEC, ll75, 14:42 , 23-Ноя-09 (2)
>Выдавайте VPN клиентам адреса из сети отличной от LAN (192.168.1.0/24) попробовал-теперь вот так
C:\Users>ipconfig Настройка протокола IP для Windows
Ethernet adapter Подключение по локальной сети 4:
DNS-суффикс подключения . . . . . : my_domain
Локальный IPv6-адрес канала . . . : fe80::ed64:88f3:7e95:8af2%15
IPv4-адрес. . . . . . . . . . . . : 192.168.2.204
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : Ethernet adapter Подключение по локальной сети: DNS-суффикс подключения . . . . . :
Локальный IPv6-адрес канала . . . : fe80::1552:87b7:7732:8220%8
IPv4-адрес. . . . . . . . . . . . : 81.90.xxx.7
Маска подсети . . . . . . . . . . : 255.255.255.128
Основной шлюз. . . . . . . . . : 81.90.xxx.1 Туннельный адаптер Подключение по локальной сети* 9: DNS-суффикс подключения . . . . . : my_domain
Локальный IPv6-адрес канала . . . : fe80::5efe:192.168.2.204%24
Основной шлюз. . . . . . . . . : инет при этом работает - Split Tunneling работает...
но пингуется только инт-с Vlan1, машины из LAN не пингуются ....
- подключение EasyVPN IPSEC, Stell, 14:44 , 23-Ноя-09 (3)
На этих машинах стоит дефолтным маршрутом 192.168.1.13 ?
- подключение EasyVPN IPSEC, ll75, 14:50 , 23-Ноя-09 (4)
>На этих машинах стоит дефолтным маршрутом 192.168.1.13 ? нет, стоит по дефолту на них маршрут 192.168.1.1
- подключение EasyVPN IPSEC, Stell, 14:51 , 23-Ноя-09 (5)
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-FE 2$$ES_LAN$
ip address 192.168.1.13 255.255.255.0А на интерфейсе роутера у вас 192.168.1.13
Дефолтный маршрут должен смотреть на интерфейс роутера, поправьте.
- подключение EasyVPN IPSEC, ll75, 14:58 , 23-Ноя-09 (6)
>А на интерфейсе роутера у вас 192.168.1.13
>Дефолтный маршрут должен смотреть на интерфейс роутера, поправьте. т.е. по-любому на машинах в LAN должен стоять шлюз - 192.168.1.13?
а вот, чтобы получить доступ к всей сети - прийдётся перебивать на каждой машине шлюз?
и ещё поправил новый шлюз 192.168.1.13 на ё машине из локалки-она стала пинговаться от vpn-клиента по адресу, но по имени не хочет, хотя я указывал в конфиге и адрес днс-севера и домен: crypto isakmp client configuration group 3klient
key my_key
dns 192.168.1.xx
domain my_domain
pool ukpool
!
В чём может быть трабл?
- подключение EasyVPN IPSEC, Stell, 15:08 , 23-Ноя-09 (7)
Если у вас на всех машинах шлюз 192.168.1.1 - сделайте такой IP на интерфейсе роутера.
Проверяйте работу ДНС.
nslookup <hostname> <dns_ip>
Попробуйте так же по полному имени: hostname.domain
- подключение EasyVPN IPSEC, ll75, 15:17 , 23-Ноя-09 (8)
>nslookup <hostname> <dns_ip>
>Попробуйте так же по полному имени: hostname.domain C:\Users>nslookup host.domain
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 192.168.1.хх:53 DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out C:\Users>ping 192.168.1.хх Обмен пакетами с 192.168.1.хх по с 32 байт данных: Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса. Статистика Ping для 192.168.1.51:
Пакетов: отправлено = 2, получено = 0, потеряно = 2
(100% потерь)
Control-C
^C т.е. получается я от клиента не пингую сам ДНС-сервер, хотя его айпишник циска назначила впн-клиенту верно...т.е. нужно или на инт-се Vlan1 на роутере прописать адрес 192.168.1.1 вместо 192.168.1.13 или на самом ДНС-сервере 192.168.1.хх прописать маршрут статический на 192.168.1.13-я правильно представляю ситуацию?
|
Версия для распечатки
