Cisco 2611 + VPN + route, Алан Моэл, 15-Окт-03, 13:34 [смотреть все]День добрый.Возникла следующая проблема: (схема) [Клиент]--(ISP1)--(WAN)--(ISP2)--195.19.204.113/114--[Cisco 2611]--195.19.205.1/2--[firewall]--[192.168.5.0] 1. Есть Cisco 2611. На внешнем интерфейсе fastethernet 0/1 (смотрящему в сторону ISP) 195.19.204.114 На внутреннем fastethernet 0/0 195.19.205.1 (из сети выданной ISP для "личных целей"). На циску заведён пул адресов для VPN соединения ip local pool vpnpool 192.168.1.100 192.168.1.250 Serial в shutdown-е, т.к. смотрит в никуда. 2. Файрвол за циской (внутрь сети относительно её): На внешнем 195.19.205.2 На внутреннем 192.168.5.1 Клиент из вне (через другую сеть или dial-up) соединяется VPN-клиентом с циской и получает адрес из пула, к примеру 192.168.1.112, DNS-ы и т.д. crypto isakmp client configuration group vpnuser key userpassword dns 192.168.5.10 192.168.5.12 domain inside.wall.spb.ru pool vpnpool Что нужно написать на циске и файрволе, чтоб 192.168.1.0 и 192.168.5.0 видели друг друга? Предполагается, что клиент должен получить доступ к внутреннему почтовому серверу (закрытому из вне) и внутреннему же www-серверу. В настоящее время VPN-соединение успешно устанавливается, но с клиентской машины не пинг, не traceroute не ходят даже на интерфейсы циски. Спасибо. З.Ы. Адреса указаны "левые".
|
- Cisco 2611 + VPN + route, ВОЛКА, 14:28 , 15-Окт-03 (1)
- Cisco 2611 + VPN + route, Алан Моэл, 14:32 , 15-Окт-03 (2)
>какой ios? 12.2(15)T7 - c2600-ik9s-mz.122-15.T7.binУ него глюк(?) есть, что появляются пустые access-list-ы типа: ip access-list extended UNKNOWN ip access-list extended dns-servers ip access-list extended group-lock ip access-list extended service Просто вот никто циску не трогал, а через пол часа такая фигня. Ни на что не влияет, но вгоняет в непонятки. Или я чего-то упустил в этой жизни?
- Cisco 2611 + VPN + route, ВОЛКА, 15:29 , 15-Окт-03 (4)
да... у меня тоже было что-то похожее со списками доступа...а у тебя статический маршрут на клиентов прописан?
- Cisco 2611 + VPN + route, Алан Моэл, 15:36 , 15-Окт-03 (5)
>да... у меня тоже было что-то похожее со списками доступа... > >а у тебя статический маршрут на клиентов прописан? А каким образом, если я не знаю откуда они придут? Т.е. предполагается, что человек берёт ноут с VPN-клиентом и пилит в командировку. Там через местную локалку или dial-up цепляется к инету, запускает VPN-клиент и вперёд... На циске есть: ip route 192.168.5.0 255.255.255.0 195.19.205.2 чтоб циска была в курсе где 192.168.5.0 искать и она это успешно делает. На 195.19.205.2 соответственно есть ip route 192.168.1.0 255.255.255.0 195.19.205.1 и по traceroute уходит куда нужно. Для проверки вешал на loopback 0 ip-шник 192.168.1.1 - из 192.168.5.0 маршрут приходил на циску. А для 192.168.1.x что писать?
- Cisco 2611 + VPN + route, ВОЛКА, 16:02 , 15-Окт-03 (6)
- Cisco 2611 + VPN + route, Алан Моэл, 16:20 , 15-Окт-03 (7)
>конфиг покажи.... wall-gw#sh run service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption ! hostname wall-gw ! boot system flash c2600-ik9s-mz.122-15.T7.bin logging count logging queue-limit 100 logging buffered 10000 debugging enable secret 5 enable password 7 ! username admin password 7 memory-size iomem 15 clock timezone GMT 3 clock summer-time PDT recurring aaa new-model ! ! aaa authentication login userauthen local aaa authentication ppp userauthen local aaa authorization network groupauthor local aaa session-id common ip subnet-zero no ip source-route ip flow-cache feature-accelerate ip cef ! ! no ip domain lookup ip domain name bercut.ru ip name-server 195.19.205.3 ip name-server 195.19.204.2 ! no ip bootp server ! ! ! crypto isakmp policy 3 encr 3des authentication pre-share group 2 ! crypto isakmp client configuration group vpnuser key userpassword dns 192.168.5.10 192.168.5.12 domain inside.wall.spb.ru pool vpnpool ! ! crypto ipsec transform-set myset esp-3des esp-sha-hmac ! crypto dynamic-map dynmap 10 set transform-set myset ! ! crypto map clientmap client authentication list userauthen crypto map clientmap isakmp authorization list groupauthor crypto map clientmap client configuration address respond crypto map clientmap 10 ipsec-isakmp dynamic dynmap ! ! no voice hpi capture buffer no voice hpi capture destination ! ! mta receive maximum-recipients 0 ! ! class-map match-any http-hack match protocol http url "*readme.eml*" match protocol http url "*.ida*" match protocol http url "*cmd.exe*" match protocol http url "*root.exe*" class-map match-any arp match protocol arp ! ! policy-map ratelimitarp class arp police cir 8000 bc 1500 be 1500 conform-action transmit exceed-action drop violate-action drop policy-map mark-in-http-hack class http-hack set dscp 1 ! ! interface Loopback0 no ip address ! interface FastEthernet0/0 description Bercut Internal Interface ip address 195.19.205.1 255.255.255.0 ip access-group 103 in ip access-group 104 out service-policy output ratelimitarp no ip mroute-cache duplex auto speed auto crypto map clientmap ! interface Serial0/0 ip address 195.19.204.114 255.255.255.252 ip access-group 101 in ip access-group 102 out service-policy input mark-in-http-hack encapsulation ppp no ip mroute-cache shutdown no fair-queue crypto map clientmap ! interface FastEthernet0/1 description Bercut External Interface ip address 195.19.204.114 255.255.255.252 ip access-group 101 in ip access-group 102 out service-policy input mark-in-http-hack no ip mroute-cache duplex auto speed auto crypto map clientmap ! ip local pool vpnpool 192.168.1.100 192.168.1.250 no ip http server no ip http secure-server ip classless ip route 0.0.0.0 0.0.0.0 195.19.204.113 ip route 192.168.5.0 255.255.255.0 195.19.205.2 ! ! ! logging history debugging logging trap debugging logging facility local0 logging source-interface FastEthernet0/1 logging 195.19.205.23 access-list 2 permit 195.19.205.2 access-list 2 permit 192.168.5.0 0.0.0.255 access-list 2 deny any access-list 101 deny ip host 0.0.0.0 any access-list 101 deny ip host 255.255.255.255 any access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 127.0.0.0 0.255.255.255 any access-list 101 deny ip 172.16.0.0 0.0.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 224.0.0.0 31.255.255.255 any access-list 101 deny ip 195.19.205.0 0.0.0.255 any access-list 101 deny ip any any dscp 1 access-list 101 deny tcp any any eq 445 access-list 101 deny udp any any eq 445 access-list 101 deny udp any any eq 31337 access-list 101 deny tcp any any range 137 139 access-list 101 deny udp any any range netbios-ns netbios-ss access-list 101 deny tcp any any eq telnet access-list 101 deny tcp any any range exec lpd access-list 101 deny tcp any any eq 11 access-list 101 deny udp any any eq tftp access-list 101 deny tcp any any eq 22 access-list 101 permit ip any any access-list 101 deny ip any any access-list 102 permit ip 195.19.205.0 0.0.0.255 any access-list 102 deny ip any any access-list 103 permit tcp host 195.19.205.2 host 195.19.205.1 eq 22 access-list 103 permit tcp host 195.19.205.7 host 195.19.205.1 eq 22 access-list 103 deny tcp any host 195.19.205.1 eq telnet access-list 103 deny tcp any host 195.19.204.114 eq telnet access-list 103 deny tcp any host 195.19.205.1 eq 22 access-list 103 deny tcp any host 195.19.204.114 eq 22 access-list 103 permit ip any any access-list 103 deny ip any any access-list 104 deny ip any any dscp 1 access-list 104 permit ip any any access-list 104 deny ip any any ! no snmp-server enable traps tty call rsvp-sync ! ! mgcp profile default ! ! dial-peer cor custom ! ! line con 0 line aux 0 line vty 0 4 password 7 transport input telnet ssh ! ntp clock-period 17208461 ntp server 192.43.244.18 prefer ! end
- Cisco 2611 + VPN + route, ВОЛКА, 16:54 , 15-Окт-03 (8)
на какой адрес должны клиенты конектится?
- Cisco 2611 + VPN + route, Oz, 17:27 , 15-Окт-03 (9)
>на какой адрес должны клиенты конектится? Ну видимо на внешний (195.19.204.114, он же FE0/1). На внутреннем VPN пока тоже терминируется, чтобы тестить коннект можно было изнутри сети.Т.е. клиент коннектится VPN-ом на внешний интерфейс циски из откуда-то оттуда (не из локалки, а из другого города, к примеру) и должен попасть внутрь сети 192.168.5.0 ("видеть" машины и всё такое).
- Cisco 2611 + VPN + route, Алан Моэл, 12:21 , 16-Окт-03 (10)
>на какой адрес должны клиенты конектится? Я так понимаю, что задачка нетривиальная? Вчера проверил "из вне" (нотебук, диалап, заход с "улицы"). Пинается тот интерфейс, на котором терминируется VPN, но судя по route print пинается over dial-up, а не over VPN... Ещё прикол в том, что в самом начале наcтроив VPN соединился удалённо и даже попал на файл-сервер в сети. А потом - фиг. И что изменилось между двумя тестами - ума не приложу...
- Cisco 2611 + VPN + route, Алан Моэл, 13:39 , 16-Окт-03 (11)
>на какой адрес должны клиенты конектится? Усё. Снял ACL-и с внешнего интерфейса и всё заработало. =)
- Cisco 2611 + VPN + route, Алан Моэл, 15:06 , 15-Окт-03 (3)
|