The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
VPN туннель между cisco 1841  и zyxel usg 50, !*! av8104, 07-Июн-12, 17:50  [смотреть все]
Добрый день.
Настраиваю VPN IPSec  туннель между маршрутизатором cisco 1841 и zyxel usg 50.
Туннель устанавливается без ошибок, пакеты шифруются. Проверяю на cisco
ping 10.0.3.1(адрес zyxel usg 50) so 10.0.1.1 (адрес cisco 1841) хост 10.0.3.1 доступен.
Однако, если пинговать ping 10.0.3.1 то хост 10.0.3.1 не доступен. В чем может быть дело?

Cisco 1841
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service sequence-numbers
no service dhcp
!
hostname Router1
!
boot-start-marker
boot-end-marker
!
no aaa new-model
!
resource policy

vpdn enable
!
!
!
username admin password 0 1234
!
!
!
crypto isakmp policy 10
authentication pre-share
group 5
crypto isakmp key pass address 1.1.1.1
!
!
crypto ipsec transform-set vpn esp-des esp-sha-hmac
!
crypto ipsec profile vpn
set security-association lifetime seconds 300
set transform-set vpn
!
!
crypto map Office 10 ipsec-isakmp
set peer 1.1.1.1
set transform-set vpn
match address VPNtoOffice
!
!
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.2
encapsulation dot1Q 10 native
ip address 192.168.250.1 255.255.255.0
ip access-group Lan1 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting output-packets
ip inspect INS in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
ip policy route-map INET
no snmp trap link-status
no cdp enable
!

interface FastEthernet0/0.3
encapsulation dot1Q 2
ip address 10.0.1.1 255.255.255.0
no snmp trap link-status
no cdp enable
!
interface FastEthernet0/1
no ip address
ip mtu 1492
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 10

interface Dialer1
ip address negotiated
ip access-group Inet1 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip inspect INET in
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 10
no cdp enable
ppp authentication chap callin
ppp chap hostname userpppoe
ppp chap password 0 passppoe
ppp ipcp dns request
crypto map Office
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 172.16.0.0 255.240.0.0 Null0
!
!
no ip http server
no ip http secure-server
ip nat inside source route-map ISP1 interface Dialer1 overload
!
ip access-list standard Nat
permit 192.168.0.0 0.0.255.255
!
ip access-list extended Inet1
permit icmp any any
permit ip host 1.1.1.1 host 1.1.1.2
ip access-list extended Lan1
permit icmp any any
permit ip host 192.168.250.2 host 192.168.250.1
permit ip host 192.168.250.2 any
ip access-list extended Locals
permit ip any 192.168.0.0 0.0.255.255
ip access-list extended VPNtoOffice
permit ip 10.0.1.0 0.0.0.255 10.0.3.0 0.0.0.255
permit ip 10.0.3.0 0.0.0.255 10.0.1.0 0.0.0.255
!
snmp-server community public RO
no cdp run
route-map INET deny 5
match ip address Locals
!
route-map ISP1 permit 10
match ip address Nat
match interface Dialer1
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
exec-timeout 0 0
login local
!
end

Ответить | Сообщить модератору
  • VPN туннель между cisco 1841  и zyxel usg 50, !*! Николай_kv, 18:25 , 07-Июн-12 (1)
    Дело, однако, в том что циска подставляет в качестве сорса, по-умолчанию, ИП который ближе всего к дестенейшину т.е. ИП Dialer1 ну а делее по смылу... о как однако :)
    Ответить | Сообщить модератору
    • VPN туннель между cisco 1841  и zyxel usg 50, !*! av8104, 08:52 , 08-Июн-12 (2)
      > Дело, однако, в том что циска подставляет в качестве сорса, по-умолчанию, ИП
      > который ближе всего к дестенейшину т.е. ИП Dialer1 ну а делее
      > по смылу... о как однако :)

      Ясно,однако :) Спасибо за информацию.

      Ответить | Сообщить модератору
    • VPN туннель между cisco 1841  и zyxel usg 50, !*! av8104, 14:32 , 08-Июн-12 (3)
      Все же немного не понятно каким образом получить  доступ из подсети 192.168.250.0/24
      к подсети 10.0.3.0/24.
      Ответить | Сообщить модератору
      • VPN туннель между cisco 1841  и zyxel usg 50, !*! Николай_kv, 17:00 , 08-Июн-12 (4)
        > Все же немного не понятно каким образом получить  доступ из подсети
        > 192.168.250.0/24
        > к подсети 10.0.3.0/24.

        ip access-list extended VPNtoOffice
        permit ip 10.0.1.0 0.0.0.255 10.0.3.0 0.0.0.255
        permit ip 10.0.3.0 0.0.0.255 10.0.1.0 0.0.0.255 ! эта строка необязательна на циске достаточно указать интересны трафик откуда -> куда, а вот для Win-реализации надо указывать в 2 направления, как на зухеле незнаю

        И надо добавить еще одну запись в ацл VPNtoOffice
        permit ip 192.168.250.0 0.0.0.255 10.0.3.0 0.0.0.255
        и на зухеле соответственно

        Комманда для дебага sh ip crypto sess
        двоечник :)

        Ответить | Сообщить модератору
        • VPN туннель между cisco 1841  и zyxel usg 50, !*! av8104, 17:59 , 08-Июн-12 (5)
          > Комманда для дебага sh ip crypto sess
          > двоечник :)

          Про команды дебага впн  я в курсе :)

          > И надо добавить еще одну запись в ацл VPNtoOffice
          > permit ip 192.168.250.0 0.0.0.255 10.0.3.0 0.0.0.255
          > и на зухеле соответственно

          К сожалению это не помогло. Это правило не срабатывает:
          Extended IP access list VPNtoOffice
              10 permit ip 10.0.1.0 0.0.0.255 10.0.3.0 0.0.0.255 (20 matches)
              20 permit ip 192.168.250.0 0.0.0.255 10.0.3.0 0.0.0.255

          Ответить | Сообщить модератору
          • VPN туннель между cisco 1841  и zyxel usg 50, !*! Николай_kv, 11:05 , 11-Июн-12 (6)
            >[оверквотинг удален]
            >> двоечник :)
            > Про команды дебага впн  я в курсе :)
            >> И надо добавить еще одну запись в ацл VPNtoOffice
            >> permit ip 192.168.250.0 0.0.0.255 10.0.3.0 0.0.0.255
            >> и на зухеле соответственно
            > К сожалению это не помогло. Это правило не срабатывает:
            > Extended IP access list VPNtoOffice
            >     10 permit ip 10.0.1.0 0.0.0.255 10.0.3.0 0.0.0.255 (20
            > matches)
            >     20 permit ip 192.168.250.0 0.0.0.255 10.0.3.0 0.0.0.255

            Ну что дебажь тогда.
            1. на всякий случа й перепиши ацл Nat
            ip access-list ext Nat
            deny ip 192.168.0.0 0.0.255.255 10.0.3.0 0.0.0.255
            permit ip 192.168.0.0 0.0.255.255 any

            2. Покажи что в дебаге sh crypto session det
            меня интересуют эти строчки
                    Inbound:  #pkts dec'ed 37405 drop 0 life (KB/Sec) 4464207/1012
                    Outbound: #pkts enc'ed 41382 drop 0 life (KB/Sec) 4463951/1012
            т.е. трафик твой вообще криптуеться.

            неплохо было бы на весь конфиг еще раз взглянуть.

            Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру