Новые ответы

Помогите поднять vpn клиент на cisco 2901,

Motrl, 23-Янв-13, 14:07 [смотреть все]

Добрый день.
Прошу вас помочь в настройке cisco 2901.
Второй день пытаюсь поднять vpn pptp до головной компании где также стоит cisco, на нем соответственно vpn сервер pptp.
Соединение с интернетом есть, а вот vpn не хочет работать.
а вот конфигурация:
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
!
hostname Cisco2901
!
boot-start-marker
boot-end-marker
!
!
no logging buffered
enable secret 5 $1$GNnZ$Mq8XQ7szWQ7Z02UdViBDl1
enable password *****
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default local
aaa authorization network default none
!
!
!
!
!
aaa session-id common
clock timezone Tbilisi 4 0
!
no ipv6 cef
no ip gratuitous-arps
!
!
!
!
!
!
!
ip multicast-routing
!
!
ip domain name cisco2901.com
ip name-server 10.1.1.53
ip cef
multilink bundle-name authenticated
!
vpdn enable
!
vpdn-group 1
request-dialin
  protocol pptp
  rotary-group 0
  initiate-to ip xx.xx.74.90 ! здесь ip  pptp сервер
source-ip 31.148.xx.xx ! Мой белый ip
authen-before-forward
!
!
!
crypto pki trustpoint TP-self-signed-3855431214
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3855431214
revocation-check none
rsakeypair TP-self-signed-3855431214
!
crypto pki trustpoint test_trustpoint_config_created_for_sdm
subject-name e=sdmtest@sdmtest.com
revocation-check crl
!
!
crypto pki certificate chain TP-self-signed-3855431214
crypto pki certificate chain test_trustpoint_config_created_for_sdm
license udi pid CISCO2901/K9 sn FCZ16312062
!
!
username spegov privilege 15 secret 5 $1$U2Dl$0VwmkE..Gbf3ZlwV6sfZp1
username httpuser privilege 15 password 0 cisco
!
redundancy
notification-timer 60000
!
!
no ip ftp passive
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description ===CHEBNET===
mac-address 0013.463d.8de3
ip address xx.xx.33.22 255.0.0.0
ip access-group 110 in
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 192.168.201.248 255.255.255.0
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface FastEthernet0/0/0
no ip address
!
interface FastEthernet0/0/1
no ip address
!
interface FastEthernet0/0/2
no ip address
!
interface FastEthernet0/0/3
no ip address
!
interface Vlan1
description === LAN ===
ip address 192.168.169.249 255.255.255.0
ip mask-reply
ip directed-broadcast
ip accounting output-packets
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1412
!
interface Dialer0
ip address negotiated
ip pim dense-mode
encapsulation ppp
dialer in-band
dialer idle-timeout 0
dialer string 123
dialer vpdn
dialer-group 1
ppp pfc local request
ppp pfc remote apply
ppp chap hostname savva\iptelvmk4
ppp chap password 0 tel688nortel7
no cdp enable
!
!
ip forward-protocol nd
!
ip http server
ip http access-class 20
ip http authentication local
ip http secure-server
ip http timeout-policy idle 5 life 8650 requests 100
!
ip dns server
ip nat inside source list NAT interface GigabitEthernet0/0 overload
ip nat inside source static tcp 192.168.169.3 21 xx.xx.33.22 21 extendable
ip nat inside source static tcp 192.168.202.122 3389 xx.xx.33.22 3389 extendable
ip nat inside source static tcp 192.168.202.122 8021 x.xx.33.22 8021 extendable
ip route 0.0.0.0 0.0.0.0 xx.xx.32.1
ip route 172.16.10.0 255.255.255.0 Dialer0
ip route 172.16.199.0 255.255.255.0 Dialer0
!
ip access-list extended NAT
permit ip host 192.168.202.0 any
permit ip host 192.168.201.0 any
permit ip 192.168.169.0 0.0.0.255 any
permit ip any any
permit ip host 192.168.169.0 any
!
access-list 20 permit 192.168.169.0 0.0.0.255
access-list 20 permit 192.168.202.0 0.0.0.255
access-list 20 permit 192.168.201.0 0.0.0.255
access-list 75 permit 195.168.169.0 0.0.0.255
access-list 110 permit icmp any any
access-list 110 permit udp any any eq ntp
access-list 110 permit udp host 10.1.1.53 eq domain any gt 1023
access-list 110 permit tcp any any
access-list 110 permit udp any any
access-list 110 permit tcp any host xx.xx.33.22 eq 3389
access-list 110 permit tcp any host xx.xx.33.22 eq 8021
access-list 110 permit tcp any host 192.168.169.3 eq ftp
access-list 110 permit tcp any host 192.168.169.3 eq ftp-data
access-list 110 permit ip host 172.16.199.0 any
dialer-list 1 protocol ip permit
!
!
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
privilege level 15
password cisco
transport input telnet ssh
!
scheduler allocate 20000 1000
!
end

Ответить | Сообщить модератору

Помогите поднять vpn клиент на cisco 2901, spiegel, 16:11 , 23-Янв-13 (1)

> vpdn-group 1
>  request-dialin
>   protocol pptp
>   rotary-group 0
>   initiate-to ip xx.xx.74.90 ! здесь ip  pptp сервер
>  source-ip 31.148.xx.xx ! Мой белый ip
>  authen-before-forward
pptp server xx.xx.74.90 пингуется? Шифрование не используется? Если да, добавьте
interface Dialer0
ppp encrypt mppe auto
что говорит deb vpdn pack, deb ppp authen ?
Ответить | Сообщить модератору

Помогите поднять vpn клиент на cisco 2901, motrl, 16:38 , 23-Янв-13 (2)

Строчку: ppp encrypt mppe auto Добавить не могу ругается - Invalid input detected
> что говорит deb vpdn pack, deb ppp authen ?
deb vpdn pack -ответ: VPDN packed debugging is on
deb ppp authen - Ответ: ругается Invalid input detected на ppp
Ответить | Сообщить модератору

Помогите поднять vpn клиент на cisco 2901, motrl, 16:39 , 23-Янв-13 (3)
> Строчку: ppp encrypt mppe auto Добавить не могу ругается - Invalid
> input detected
>> что говорит deb vpdn pack, deb ppp authen ?
> deb vpdn pack -ответ: VPDN packed debugging is on
> deb ppp authen - Ответ: ругается Invalid input detected на ppp
пинг запрещен на удаленном сервере. разрешить не хотят. такие уж люди )))
Шифрования нет.
Ответить | Сообщить модератору

Помогите поднять vpn клиент на cisco 2901, spiegel, 16:49 , 23-Янв-13 (4)
>> Строчку: ppp encrypt mppe auto Добавить не могу ругается - Invalid
>> input detected
>>> что говорит deb vpdn pack, deb ppp authen ?
>> deb vpdn pack -ответ: VPDN packed debugging is on
>> deb ppp authen - Ответ: ругается Invalid input detected на ppp
> пинг запрещен на удаленном сервере. разрешить не хотят. такие уж люди )))
> Шифрования нет.
Странно, что deb ppp не работает. Вы в привилегированном моде включали? Надо убедиться, что сервер доступен на циске. Попробуйте все-таки включить шифрование:
interface Dialer0
ppp encrypt mppe auto

Ответить | Сообщить модератору

Помогите поднять vpn клиент на cisco 2901, motrl, 16:58 , 23-Янв-13 (5)

> Странно, что deb ppp не работает. Вы в привилегированном моде включали? Надо
> убедиться, что сервер доступен на циске. Попробуйте все-таки включить шифрование:
> interface Dialer0
> ppp encrypt mppe auto
Да в привилегированном режиме.
вот что кажет когда пытаюсь прописать.
Cisco2901(config-if)#ppp encrypt mppe auto
%Invalid input detected at |^| marker
Ответить | Сообщить модератору

Помогите поднять vpn клиент на cisco 2901, spiegel, 17:05 , 23-Янв-13 (6)
>> Странно, что deb ppp не работает. Вы в привилегированном моде включали? Надо
>> убедиться, что сервер доступен на циске. Попробуйте все-таки включить шифрование:
>> interface Dialer0
>> ppp encrypt mppe auto
> Да в привилегированном режиме.
> вот что кажет когда пытаюсь прописать.
> Cisco2901(config-if)#ppp encrypt mppe auto
> %Invalid input detected at |^| marker
какая версия IOS?
Ответить | Сообщить модератору

Помогите поднять vpn клиент на cisco 2901, motrl, 17:08 , 23-Янв-13 (7)

> какая версия IOS?
Version 15.2(3)T, RELIASE SOFTWARE (fc1)
Ответить | Сообщить модератору

Помогите поднять vpn клиент на cisco 2901, motrl, 17:16 , 23-Янв-13 (8)
Да и после того как заменил mtu 1500 на mtu 1450 интерфейсе Dialer0 постоянно вылазит строчка:
%DIALER-4MTU_WARNING: Current MTU setting of 1500 on Virtual-Access is being overwritten by
setting of 1450 defined by Dialer0

Ответить | Сообщить модератору
Помогите поднять vpn клиент на cisco 2901, spiegel, 17:21 , 23-Янв-13 (9)
>> какая версия IOS?
> Version 15.2(3)T, RELIASE SOFTWARE (fc1)
У меня на IOS 12.4.23(2690) и 15.1.4.M2(7200) работает. Может сменить IOS?
Ответить | Сообщить модератору

Помогите поднять vpn клиент на cisco 2901, motrl, 17:28 , 23-Янв-13 (10)
>>> какая версия IOS?
>> Version 15.2(3)T, RELIASE SOFTWARE (fc1)
> У меня на IOS 12.4.23(2690) и 15.1.4.M2(7200) работает. Может сменить IOS?
А где её можно скачать и как залить на cisco ?
Возможно ли такое, что нужна дополнительная лицензия типа :Программное обеспечение SEC No Payload Encryption License for Cisco 2901-2951
???
Ответить | Сообщить модератору

Помогите поднять vpn клиент на cisco 2901, spiegel, 18:00 , 23-Янв-13 (11)
>>>> какая версия IOS?
>>> Version 15.2(3)T, RELIASE SOFTWARE (fc1)
>> У меня на IOS 12.4.23(2690) и 15.1.4.M2(7200) работает. Может сменить IOS?
> А где её можно скачать и как залить на cisco ?
> Возможно ли такое, что нужна дополнительная лицензия типа :Программное обеспечение SEC
> No Payload Encryption License for Cisco 2901-2951
> ???
понятно, у Вас нет поддержки криптования. Похоже, все-таки сервер использует mppe - Microsoft Point-to-Point Encryption. Что было бы логично. А Ваш IOS нет.
Если есть контракт, то скачать можно на cisco.com, если нет - то торрент в помощь.
Ответить | Сообщить модератору

Помогите поднять vpn клиент на cisco 2901, motrl, 10:17 , 24-Янв-13 (12)
> понятно, у Вас нет поддержки криптования. Похоже, все-таки сервер использует mppe -
> Microsoft Point-to-Point Encryption. Что было бы логично. А Ваш IOS нет.
> Если есть контракт, то скачать можно на cisco.com, если нет - то
> торрент в помощь.
Только что получил данный от филиала. где стоит D-link DFL-800.
Authentication:
Allow No Authentication
Unencrypted Password (PAP)
Challenge Handshake Authentication Protocol (CHAP)
Microsoft CHAP (MS-CHAP)
Microsoft CHAP Version 2 (MS-CHAP v2)
Microsoft Point-to-Point Encryption (MPPE):
None
Стоит галочка на None следовательно MPPE не используется.
Выходит проблема не в этом.
Ответить | Сообщить модератору

Помогите поднять vpn клиент на cisco 2901, spiegel, 15:37 , 24-Янв-13 (13)
>[оверквотинг удален]
> Authentication:
> Allow No Authentication
> Unencrypted Password (PAP)
> Challenge Handshake Authentication Protocol (CHAP)
> Microsoft CHAP (MS-CHAP)
> Microsoft CHAP Version 2 (MS-CHAP v2)
> Microsoft Point-to-Point Encryption (MPPE):
> None
> Стоит галочка на None следовательно MPPE не используется.
> Выходит проблема не в этом.
Посмотрите еще аксесс-лист для ната:
ip access-list extended NAT
permit ip host 192.168.202.0 any
permit ip host 192.168.201.0 any
permit ip 192.168.169.0 0.0.0.255 any
permit ip any any
permit ip host 192.168.169.0 any
!
Получается, что весь трафик проходит через нат. Попробуйте так:
no ip access-list extended NAT
ip access-list extended NAT
deny ip 192.168.169.0 0.0.0.255 172.16.10.0 0.0.0.255
deny ip 192.168.169.0 0.0.0.255 172.16.199.0 0.0.0.255
permit ip host 192.168.202.0 any
permit ip host 192.168.201.0 any
permit ip 192.168.169.0 0.0.0.255 any
Ответить | Сообщить модератору
Помогите поднять vpn клиент на cisco 2901, motrl, 15:55 , 24-Янв-13 (14)
> Получается, что весь трафик проходит через нат. Попробуйте так:
> no ip access-list extended NAT
> ip access-list extended NAT
> deny ip 192.168.169.0 0.0.0.255 172.16.10.0 0.0.0.255
> deny ip 192.168.169.0 0.0.0.255 172.16.199.0 0.0.0.255
> permit ip host 192.168.202.0 any
> permit ip host 192.168.201.0 any
> permit ip 192.168.169.0 0.0.0.255 any
Результат тот же. Да и постоянно пишет
DIALER-4-MTU_WARNING: Current MTU setting of 1500 on Virtual-Access1 is being overwritten by setting of 1492 defined by Dialer0.
%LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up
%LINK-3-UPDOWN: Interface Virtual-Access1, changed state to down
Вроде как бы поднимается и сразу падает линк.
Ответить | Сообщить модератору
Помогите поднять vpn клиент на cisco 2901, spiegel, 17:53 , 24-Янв-13 (15)

>[оверквотинг удален]
>> deny ip 192.168.169.0 0.0.0.255 172.16.199.0 0.0.0.255
>> permit ip host 192.168.202.0 any
>> permit ip host 192.168.201.0 any
>> permit ip 192.168.169.0 0.0.0.255 any
> Результат тот же. Да и постоянно пишет
> DIALER-4-MTU_WARNING: Current MTU setting of 1500 on Virtual-Access1 is being overwritten
> by setting of 1492 defined by Dialer0.
> %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up
> %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to down
> Вроде как бы поднимается и сразу падает линк.
поставьте dialer idle-timeout 180, а лучше столько, сколько на обратной стороне.
Ответить | Сообщить модератору
Помогите поднять vpn клиент на cisco 2901, motrl, 18:05 , 24-Янв-13 (16)
> поставьте dialer idle-timeout 180, а лучше столько, сколько на обратной стороне.
все то же самое...((((
Ответить | Сообщить модератору
Помогите поднять vpn клиент на cisco 2901, motrl, 12:09 , 28-Янв-13 (17)
Писал дополнительные правила access-list, и дополнительный лист NAT2, безрезультатно. Как не получал Dialer0 ip адрес , так и не получает. Telnet xxx.xxx.xxx.xxx 1723 пишет что видит - Open.

Ответить | Сообщить модератору