Новые ответы

Cisco pptp server и маршрутизация,

An9el, 17-Июн-13, 02:26 [смотреть все]

Доброго времени суток.
потребовалось развернуть pptp сервер на шлюзе.
В наличии cisco 1921.
найдя информацию в инете настроил. Клиент подключается получает адрес. Но не получает маршруты(пробовал в опциях и hex написание - 080a.0000.aca8.0b01) и не получает доступ к сети офиса.
Пингует 172.16.11.1
Пингует 10.10.1.3 (это адрес циски в офисной сети)
Но не пингует 10.10.1.21 (это собственно сервер ради доступа к которому все это и делается)
Вот сам конфиг(решил выложить более полный конфиг, потому что считаю что проблема не в настройке pptp сервера) :
version 15.1
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname gw
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 xxxxxxxxx
enable password 7 xxxxxxxxxxxxx
!
aaa new-model
!
!
aaa authentication login default local
!
aaa session-id common
!
clock timezone Moscow 4 0
!
no ipv6 cef
ip source-route
ip cef
!
!
!
!
ip dhcp pool PPTP-USER
network 172.16.11.0 255.255.255.0
default-router 172.16.11.1
dns-server 10.10.1.1 10.10.1.4
option 249 ip 10.0.0.0 255.0.0.0 172.16.11.1
option 121 ip 10.0.0.0 255.0.0.0 172.16.11.1
!
!
no ip bootp server
ip domain name gw
ip name-server xx.xx.xx.1
!
multilink bundle-name authenticated
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
pptp tunnel echo 10
l2tp tunnel timeout no-session 15
ip pmtu
ip mtu adjust
!
crypto pki token default removal timeout 0
!
!
license udi pid CISCO1921/K9 sn FCZ1708C414
!
!
archive
log config
  logging enable
  hidekeys
username root privilege 15 password 7 xxxxxxx
username ciscovpn password 7 0116150F421D1601
!
redundancy
!
!
!
!
ip ssh authentication-retries 2
ip ssh version 2
!
track 1 ip sla 1 reachability
!
track 2 ip sla 2 reachability
!
class-map type inspect match-any cm_in_out
match access-group name acl_proxy
class-map type inspect match-any cm_out_in
match access-group name acl_portforward
!
!
policy-map type inspect pm_in_out
class type inspect cm_in_out
  inspect
class class-default
  drop
policy-map type inspect pm_out_in
class type inspect cm_out_in
  inspect
class class-default
  drop
!
zone security INSIDE
description local lan trust zone
zone security OUTSIDE
description global non trust zone
zone-pair security IN_OUT source INSIDE destination OUTSIDE
service-policy type inspect pm_in_out
zone-pair security OUT_IN source OUTSIDE destination INSIDE
service-policy type inspect pm_out_in
!
crypto keyring main_nnov
  pre-shared-key address x.x.x.x key 6 xxxxxx
!
crypto isakmp policy 10
encr aes
hash md5
authentication pre-share
group 2
crypto isakmp profile main_nnov_isakmp
   keyring main_nnov
   match identity address x.x.x.x 255.255.255.255
!
!
crypto ipsec transform-set EXAMPLE esp-aes esp-md5-hmac
!
crypto ipsec profile main_nnov_ipsec
set transform-set EXAMPLE
set isakmp-profile main_nnov_isakmp
!
!
interface Loopback1
description LO-PPTP
ip address 172.16.11.1 255.255.255.0
ip flow ingress
ip virtual-reassembly in
zone-member security INSIDE
ip ospf network point-to-point
!
interface Tunnel21
ip address 192.168.123.5 255.255.255.252
ip mtu 1400
zone-member security INSIDE
ip ospf cost 10
tunnel source GigabitEthernet0/0
tunnel destination x.x.x.x
tunnel protection ipsec profile main_nnov_ipsec
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description ====main====
ip address xx.xx.xx.xx 255.255.255.252
ip nat outside
ip virtual-reassembly in
zone-member security OUTSIDE
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/1
description ====Bee-line====
ip address yy.yyy.yy.yy6 255.255.255.252
ip nat outside
ip virtual-reassembly in
zone-member security OUTSIDE
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/1/0
no ip address
!
!
interface Virtual-Template1
ip unnumbered Loopback1
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly in
ip verify unicast reverse-path
zone-member security INSIDE
autodetect encapsulation ppp
peer default ip address dhcp-pool PPTP-USER
no keepalive
ppp encrypt mppe 128
ppp authentication ms-chap-v2
!
interface Vlan1
description === LAN ===
ip address 10.10.1.3 255.0.0.0
ip nat inside
ip virtual-reassembly in
zone-member security INSIDE
ip tcp adjust-mss 1350
!
router ospf 10
router-id 10.10.1.3
passive-interface GigabitEthernet0/0
passive-interface GigabitEthernet0/1
network 10.0.0.0 0.255.255.255 area 1
network 192.168.123.4 0.0.0.3 area 0
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip dns server
ip nat inside source route-map rm_nat_p1 interface GigabitEthernet0/0 overload
ip nat inside source route-map rm_nat_p2 interface GigabitEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 xx.xx.xxx.x7 50 track 1
ip route 0.0.0.0 0.0.0.0 yy.yyy.yy.yy5 70 track 2
!
ip access-list standard SNMP_ACCESS_RO
permit 10.10.1.5
!
ip access-list extended acl_nat
deny   ip 10.0.0.0 0.255.255.255 172.16.11.0 0.0.0.255
permit ip 10.0.0.0 0.255.255.255 any
ip access-list extended acl_portforward
permit ip any host 192.168.1.2
ip access-list extended acl_proxy
deny   ip 10.0.0.0 0.255.255.255 172.16.11.0 0.0.0.255
permit ip 10.0.0.0 0.255.255.255 any
ip access-list extended acl_trust_in
permit ip 192.168.1.0 0.0.0.255 any
permit ip 10.0.0.0 0.255.255.255 any
ip access-list extended acl_trust_out
permit ip zzzzzz 0.0.0.7 any
permit ip yy.yyy.yy.yy4 0.0.0.7 any
permit ip host x.x.x.x any
!
ip sla 1
icmp-echo xx.xx.xxx.x7 source-interface GigabitEthernet0/0
ip sla schedule 1 life forever start-time now
ip sla 2
icmp-echo yy.yyy.yy.yy5 source-interface GigabitEthernet0/1
ip sla schedule 2 life forever start-time now
!
no cdp run
!
!
!
route-map rm_nat_p1 permit 1
match ip address acl_nat
match interface GigabitEthernet0/0
!
route-map rm_nat_p2 permit 1
match ip address acl_nat
match interface GigabitEthernet0/1
!
!
snmp-server community public RO SNMP_ACCESS_RO
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
!
scheduler allocate 20000 1000
end
За ранее благодарен всем откликнувшимся!

Ответить | Сообщить модератору

Cisco pptp server и маршрутизация, crash, 07:48 , 17-Июн-13 (1)
у клиента указано, чтобы ppptp соединение было маршрутом по-умолчанию?
Ответить | Сообщить модератору

Cisco pptp server и маршрутизация, An9el, 08:31 , 17-Июн-13 (2)
> у клиента указано, чтобы ppptp соединение было маршрутом по-умолчанию?
Да указано:
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.
C:\Users\Vital>route print
===========================================================================
Список интерфейсов
47...........................esky.ru
11...e0 cb 4e 0a 8c 44 ......Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Contro
ller
  1...........................Software Loopback Interface 1
12...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
10...00 00 00 00 00 00 00 e0 Туннельный адаптер Microsoft Teredo
14...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
===========================================================================
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.35   4245
          0.0.0.0          0.0.0.0         On-link      172.16.11.11     21
          0.0.0.0      255.192.0.0         On-link      172.16.11.11     21
     0.63.255.255  255.255.255.255         On-link      172.16.11.11    276
     81.95.134.98  255.255.255.255      192.168.1.1     192.168.1.35   4246
        127.0.0.0        255.0.0.0         On-link         127.0.0.1   4531
        127.0.0.1  255.255.255.255         On-link         127.0.0.1   4531
  127.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
      169.254.0.0      255.255.0.0         On-link      192.168.1.35   4531
  169.254.255.255  255.255.255.255         On-link      192.168.1.35   4501
      172.16.11.0    255.255.255.0         On-link      172.16.11.11     21
     172.16.11.11  255.255.255.255         On-link      172.16.11.11    276
    172.16.11.255  255.255.255.255         On-link      172.16.11.11    276
      192.168.1.0    255.255.255.0         On-link      192.168.1.35   4501
     192.168.1.35  255.255.255.255         On-link      192.168.1.35   4501
    192.168.1.255  255.255.255.255         On-link      192.168.1.35   4501
        224.0.0.0        240.0.0.0         On-link         127.0.0.1   4531
        224.0.0.0        240.0.0.0         On-link      192.168.1.35   4501
        224.0.0.0        240.0.0.0         On-link      172.16.11.11     21
  255.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
  255.255.255.255  255.255.255.255         On-link      192.168.1.35   4501
  255.255.255.255  255.255.255.255         On-link      172.16.11.11    276
===========================================================================
Постоянные маршруты:
  Отсутствует
IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика   Сетевой адрес            Шлюз
10     58 ::/0                     On-link
  1    306 ::1/128                  On-link
10     58 2001::/32                On-link
10    306 2001:0:9d38:6ab8:46d:38d6:53ef:f4f4/128
                                    On-link
10    306 fe80::/64                On-link
10    306 fe80::46d:38d6:53ef:f4f4/128
                                    On-link
  1    306 ff00::/8                 On-link
10    306 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует
Ответить | Сообщить модератору

Cisco pptp server и маршрутизация, crash, 09:19 , 17-Июн-13 (3)
локальная сеть знает о маршруте к сети 172.16.11 ?
Ответить | Сообщить модератору

Cisco pptp server и маршрутизация, An9el, 09:27 , 17-Июн-13 (4)
> локальная сеть знает о маршруте к сети 172.16.11 ?
Хосты сети 10.0.0.0/8 все отправляют на шлюз по умолчанию 10.10.1.3, а он же и является сервером pptp.
Ответить | Сообщить модератору

Cisco pptp server и маршрутизация, McS555, 10:08 , 17-Июн-13 (5)
>> локальная сеть знает о маршруте к сети 172.16.11 ?
> Хосты сети 10.0.0.0/8 все отправляют на шлюз по умолчанию 10.10.1.3, а он
> же и является сервером pptp.
У меня конечно по другому немного настроено, но не суть....
Сделай ping 10.10.1.21 so loo0
А перед этим выключи на время касперского (НУ И ВИНДОВЫЙ fw)
Ответить | Сообщить модератору

Cisco pptp server и маршрутизация, An9el, 10:19 , 17-Июн-13 (6)
>>> локальная сеть знает о маршруте к сети 172.16.11 ?
>> Хосты сети 10.0.0.0/8 все отправляют на шлюз по умолчанию 10.10.1.3, а он
>> же и является сервером pptp.
> У меня конечно по другому немного настроено, но не суть....
> Сделай ping 10.10.1.21 so loo0
> А перед этим выключи на время касперского (НУ И ВИНДОВЫЙ fw)
Без проблем прошел пинг
ping 10.10.1.21 sou lo1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.1.21, timeout is 2 seconds:
Packet sent with a source address of 172.16.11.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
Ответить | Сообщить модератору

Cisco pptp server и маршрутизация, McS555, 10:29 , 17-Июн-13 (7)
>> А перед этим выключи на время касперского (НУ И ВИНДОВЫЙ fw)
Выключил (или ничего и не было включено?)
Ответить | Сообщить модератору

Cisco pptp server и маршрутизация, An9el, 10:36 , 17-Июн-13 (8)
>>> А перед этим выключи на время касперского (НУ И ВИНДОВЫЙ fw)
> Выключил (или ничего и не было включено?)
В домене групповая политика отключающая Брандмауэр. т.е. ничего не было включено.
Ответить | Сообщить модератору

Cisco pptp server и маршрутизация, McS555, 10:57 , 17-Июн-13 (9)
>>>> А перед этим выключи на время касперского (НУ И ВИНДОВЫЙ fw)
>> Выключил (или ничего и не было включено?)
> В домене групповая политика отключающая Брандмауэр. т.е. ничего не было включено.
Хм.... ну вроде с настройками нормально (Правда не вникал в zone security , может тоже временно отключишь)
Если надо будет смогу скинуть как у меня настроено
Ответить | Сообщить модератору

Cisco pptp server и маршрутизация, An9el, 11:14 , 17-Июн-13 (10)
>>>>> А перед этим выключи на время касперского (НУ И ВИНДОВЫЙ fw)
>>> Выключил (или ничего и не было включено?)
>> В домене групповая политика отключающая Брандмауэр. т.е. ничего не было включено.
> Хм.... ну вроде с настройками нормально (Правда не вникал в zone security
> , может тоже временно отключишь)
> Если надо будет смогу скинуть как у меня настроено
Буду благодарен любому примеру реализации.
К сожалению не знаю как быстро отключить zone security. А основной функционал не пострадает если Я его отключу?
PS У меня же этот интерфейс присвоен к зоне INSIDE как и все остальные внутренние интерфейсы. Как это может повлиять?
Ответить | Сообщить модератору

Cisco pptp server и маршрутизация, McS555, 11:30 , 17-Июн-13 (11)
>[оверквотинг удален]
>>>> Выключил (или ничего и не было включено?)
>>> В домене групповая политика отключающая Брандмауэр. т.е. ничего не было включено.
>> Хм.... ну вроде с настройками нормально (Правда не вникал в zone security
>> , может тоже временно отключишь)
>> Если надо будет смогу скинуть как у меня настроено
> Буду благодарен любому примеру реализации.
> К сожалению не знаю как быстро отключить zone security. А основной функционал
> не пострадает если Я его отключу?
> PS У меня же этот интерфейс присвоен к зоне INSIDE как и
> все остальные внутренние интерфейсы. Как это может повлиять?
interface Loopback0
ip address 10.15.244.1 255.255.255.255
!
interface GigabitEthernet0/0.222
description -=[ wan ]=-
encapsulation dot1Q 222
ip address yy.xx.xx.xx 255.255.255.252
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly in
!
interface GigabitEthernet0/1.56
description -=[ LAN ]=-
encapsulation dot1Q 56
ip address 10.172.18.254 255.255.255.0
ip flow ingress
ip flow egress
ip virtual-reassembly in
no cdp enable
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
!
!
interface Virtual-Template1
ip unnumbered Loopback0
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly in
peer default ip address pool PPTP_POOL
no keepalive
ppp encrypt mppe auto
ppp authentication ms-chap-v2
ppp ipcp dns 10.192.110.1
!
!
ip local pool PPTP_POOL 10.192.110.55 10.192.110.56
!
-------------------------------------------------------------------------
C:\Users\me>tracert 10.172.18.24
Трассировка маршрута к WORKGROUP [10.172.18.24]
с максимальным числом прыжков 30:
  1   157 ms   158 ms   156 ms  10.15.244.1
  2   157 ms   157 ms   157 ms  WORKGROUP [10.172.18.24]
Трассировка завершена.

-------------------------------------------------------------
рабочий конфиг
Ответить | Сообщить модератору

Cisco pptp server и маршрутизация, An9el, 12:33 , 17-Июн-13 (12)
>[оверквотинг удален]
> C:\Users\me>tracert 10.172.18.24
> Трассировка маршрута к WORKGROUP [10.172.18.24]
> с максимальным числом прыжков 30:
>   1   157 ms   158 ms
>  156 ms  10.15.244.1
>   2   157 ms   157 ms
>  157 ms  WORKGROUP [10.172.18.24]
> Трассировка завершена.
> -------------------------------------------------------------
> рабочий конфиг
Этот конфиг почти ничем не отличается от моего. Разница только в том что у меня локалка настроена через Vlan а не на определенном интерфейсе.
Это может повлиять?
Ответить | Сообщить модератору
Cisco pptp server и маршрутизация, McS555, 12:51 , 17-Июн-13 (13)
>[оверквотинг удален]
>>  156 ms  10.15.244.1
>>   2   157 ms   157 ms
>>  157 ms  WORKGROUP [10.172.18.24]
>> Трассировка завершена.
>> -------------------------------------------------------------
>> рабочий конфиг
> Этот конфиг почти ничем не отличается от моего. Разница только в том
> что у меня локалка настроена через Vlan а не на определенном
> интерфейсе.
> Это может повлиять?
нет. Я ж и говорю, что это рабочий (есть еще у меня на внешнем адресе а не на лупбеке).
+ секюрити зон (сними их и глянь)
+ #peer default ip address ?
  dhcp       Use DHCP proxy client mechanism to allocate a peer IP address
  dhcp-pool  Use local DHCP pools to allocate a peer IP address
  pool       Use IP pool mechanism to allocate a peer IP address
Ответить | Сообщить модератору
Cisco pptp server и маршрутизация, McS555, 15:25 , 17-Июн-13 (14)
ну как?
Ответить | Сообщить модератору
Cisco pptp server и маршрутизация, An9el, 17:25 , 17-Июн-13 (15)
> ну как?
Еще до обращения на форум пулы пробовал разные.
Ничего не поменялось.
Зоны пока не отключал. Боюсь нарушить работу. Попробую вечером в не рабочее время.
Ответить | Сообщить модератору
Cisco pptp server и маршрутизация, An9el, 00:05 , 18-Июн-13 (16)
>> ну как?
> Еще до обращения на форум пулы пробовал разные.
> Ничего не поменялось.
> Зоны пока не отключал. Боюсь нарушить работу. Попробую вечером в не рабочее
> время.
Ну чтож исключил Я интерфейс из зоны и ... потерял связь с офисом. Слава богу перед этим установил таймер на перезагрузку циски.
В общем не вариант. или много что переписывать чего не хотелось бы, твак как за вечер -ночь не осилю, а больше офис без инета оставлять мне никто не позволит при том что на ней езе 6 каналов с другими офисами.
:-( какие есть еще соображения?
Ответить | Сообщить модератору
Cisco pptp server и маршрутизация, McS555, 13:56 , 18-Июн-13 (17)
>[оверквотинг удален]
>> Ничего не поменялось.
>> Зоны пока не отключал. Боюсь нарушить работу. Попробую вечером в не рабочее
>> время.
> Ну чтож исключил Я интерфейс из зоны и ... потерял связь с
> офисом. Слава богу перед этим установил таймер на перезагрузку циски.
> В общем не вариант. или много что переписывать чего не хотелось бы,
> твак как за вечер -ночь не осилю, а больше офис без
> инета оставлять мне никто не позволит при том что на ней
> езе 6 каналов с другими офисами.
> :-( какие есть еще соображения?
Вообщем, попробовал себе точно такие же настроить зоны безопасности. Однозначно "беда в них"
172.16.11.0
добавить в
ip access-list extended acl_portforward
permit ip 172.16.11.0 0.0.0.255 any
ip access-list extended acl_proxy
permit ip any 172.16.11.0 0.0.0.255
убрать deny ip 10.0.0.0 0.255.255.255 172.16.11.0 0.0.0.255
policy-map type inspect pm_in_out
class type inspect cm_in_out
pass

+ когда будешь менять policy-map , не забудь восстановить
zone-pair security IN_OUT source INSIDE destination OUTSIDE
service-policy type inspect pm_in_out
Ответить | Сообщить модератору