forum.opennet.ru - "Создание VPN Windows -> Cisco" (29)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Создание VPN Windows -> Cisco"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Создание VPN Windows -> Cisco"	+/–
Сообщение от Alex (??) on 20-Фев-08, 23:01
Cisco выступает как VPN сервер. Не получается из Windows создать VPN сессию с циской. Первая фаза проходит нормально, а вот во второй начинаются проблемы. А чём может быть проблема? Конфиг: Building configuration... Current configuration : 4586 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Dasha ! boot-start-marker boot-end-marker ! logging buffered 51200 warnings no logging console ! no aaa new-model ! resource policy ! ip cef ! ip domain name sky ip name-server 10.10.1.254 ip name-server 10.10.1.1 ip ssh source-interface FastEthernet0/0 vpdn enable vpdn authen-before-forward ! voice-card 0 no dspfarm ! username cisco privilege 15 secret 5 $1$1dI/$cEy9GZ8w5d79s0XtXIjxc1 username mitya password 0 1 ! crypto isakmp policy 3 hash md5 authentication pre-share crypto isakmp key What address 10.10.1.3 crypto isakmp client configuration address-pool local vpnpool ! crypto ipsec transform-set myset ah-md5-hmac esp-des esp-sha-hmac ! crypto map shared 9 ipsec-isakmp set peer 10.10.1.3 set transform-set myset set pfs group1 match address 151 ! interface FastEthernet0/0 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0/0$ ip address 10.10.21.150 255.255.255.0 duplex auto speed auto crypto map shared ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface FastEthernet0/3/0 shutdown ! interface FastEthernet0/3/1 ! interface FastEthernet0/3/2 ! interface FastEthernet0/3/3 ! interface Vlan1 no ip address ! ip local pool vpnpool 75.67.254.100 75.67.254.254 ip route 0.0.0.0 0.0.0.0 10.10.21.252 ! ! ip http server ip http access-class 23 ip http authentication local ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ! logging trap debugging logging 10.10.21.151 access-list 23 permit 10.10.1.3 access-list 151 permit ip 10.10.21.0 0.0.0.255 10.10.1.0 0.0.0.255 access-list 151 permit ip 10.10.1.0 0.0.0.255 10.10.21.0 0.0.0.255 В логах ошибка: Feb 20 21:39:22 10.10.21.150 15219: Feb 20 19:37:38.674: IPSEC(crypto_ipsec_process_proposal): transform proposal not supported for identity : Feb 20 21:39:22 10.10.21.150 15220: {ah-sha-hmac } Feb 20 21:39:22 10.10.21.150 15221: Feb 20 19:37:38.674: ISAKMP:(4024): IPSec policy invalidated proposal with error 256
Ответить \| Правка \| Cообщить модератору

Оглавление

Создание VPN Windows -> Cisco, CrAzOiD, 00:37 , 21-Фев-08, (1)

Создание VPN Windows -> Cisco, Alex, 10:45 , 21-Фев-08, (2)

Создание VPN Windows -> Cisco, Ярослав Росомахо, 12:22 , 21-Фев-08, (3)

Создание VPN Windows -> Cisco, AlexDv, 19:20 , 21-Фев-08, (4)

Создание VPN Windows -> Cisco, Ярослав Росомахо, 19:21 , 21-Фев-08, (5)
Создание VPN Windows -> Cisco, wwc, 17:51 , 20-Май-09, (25)

Создание VPN Windows -> Cisco, wwc, 11:54 , 21-Май-09, (26)

Создание VPN Windows -> Cisco, Alex, 23:17 , 21-Фев-08, (6)

Создание VPN Windows -> Cisco, Val, 16:28 , 22-Фев-08, (7)

Создание VPN Windows -> Cisco, Митя, 16:41 , 22-Фев-08, (8)

Создание VPN Windows -> Cisco, Ярослав Росомахо, 16:42 , 22-Фев-08, (9)

Создание VPN Windows -> Cisco, Митя, 16:45 , 22-Фев-08, (10)

Создание VPN Windows -> Cisco, Митя, 16:49 , 22-Фев-08, (11)

Создание VPN Windows -> Cisco, Ярослав Росомахо, 16:58 , 22-Фев-08, (12)

Создание VPN Windows -> Cisco, Митя, 17:11 , 22-Фев-08, (14)

Создание VPN Windows -> Cisco, Ярослав Росомахо, 17:12 , 22-Фев-08, (15)
Создание VPN Windows -> Cisco, CrAzOiD, 17:14 , 22-Фев-08, (17)
Создание VPN Windows -> Cisco, Митя, 17:29 , 22-Фев-08, (19)
Создание VPN Windows -> Cisco, CrAzOiD, 17:32 , 22-Фев-08, (20)

Создание VPN Windows -> Cisco, CrAzOiD, 17:09 , 22-Фев-08, (13)

Создание VPN Windows -> Cisco, Митя, 17:13 , 22-Фев-08, (16)

Создание VPN Windows -> Cisco, CrAzOiD, 17:14 , 22-Фев-08, (18)

Создание VPN Windows -> Cisco, Alex, 19:34 , 24-Фев-08, (21)

Создание VPN Windows -> Cisco, CrAzOiD, 22:24 , 24-Фев-08, (22)

Создание VPN Windows -> Cisco, Alex, 22:38 , 24-Фев-08, (23)

Создание VPN Windows -> Cisco, Ixxtiander, 15:56 , 09-Сен-08, (24)

Создание VPN Windows -> Cisco, varios, 13:18 , 16-Июн-10, (27)
Создание VPN Windows -> Cisco, Pilorama, 09:08 , 13-Фев-12, (28)

Создание VPN Windows -> Cisco, mikeer, 13:12 , 16-Апр-12, (29)

Сообщения по теме [Сортировка по времени | RSS]

1. "Создание VPN Windows -> Cisco" +/–

Сообщение от CrAzOiD (ok) on 21-Фев-08, 00:37

>[оверквотинг удален]
>access-list 151 permit ip 10.10.21.0 0.0.0.255 10.10.1.0 0.0.0.255
>access-list 151 permit ip 10.10.1.0 0.0.0.255 10.10.21.0 0.0.0.255
>
>В логах ошибка:
>Feb 20 21:39:22 10.10.21.150 15219: *Feb 20 19:37:38.674: IPSEC(crypto_ipsec_process_proposal): transform proposal not
>supported for identity
>:
>Feb 20 21:39:22 10.10.21.150 15220:     {ah-sha-hmac }
>Feb 20 21:39:22 10.10.21.150 15221: *Feb 20 19:37:38.674: ISAKMP:(4024): IPSec policy invalidated
>proposal with error 256
на винде Cisco VPN Client? Тогда так
crypto ipsec transform-set myset esp-3des esp-sha-hmac comp-lzs

и не вижу настроек групп и групповой авторизации, вот как-то так приблизительно:
aaa new-model
aaa authentication login default local
aaa authorization exec default local
aaa authorization network groupauthor local
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group Secret_VPN_client
key Secret_VPN_key
dns 172.24.0.254 192.168.1.24
wins 172.24.3.5 192.168.1.25
domain company.local
pool ippool
acl 108
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac comp-lzs
crypto ipsec df-bit clear
!
crypto dynamic-map dynmap 10
set security-association lifetime kilobytes 46080
set security-association lifetime seconds 10800
set transform-set myset
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Создание VPN Windows -> Cisco" +/–

Сообщение от Alex (??) on 21-Фев-08, 10:45

>на винде Cisco VPN Client? Тогда так
Нет. Виндовый клиент.
Надо предоставить доступ в интернет по VPN людям, а они IP адрес настроить не умеют, не говоря уже Cisco VPN Client.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Создание VPN Windows -> Cisco" +/–

Сообщение от Ярослав Росомахо (ok) on 21-Фев-08, 12:22

>>на винде Cisco VPN Client? Тогда так
>
>Нет. Виндовый клиент.
>Надо предоставить доступ в интернет по VPN людям, а они IP адрес
>настроить не умеют, не говоря уже Cisco VPN Client.
Виндовый клиент не умеет easy vpn или lan-to-lan ipsec в чистом виде.
Он умеет только PPTP (сервером которой не умеет cisco) и L2TP over IPSEC (примерные конфигурации ниже).
На виндовом клиенте настройте:
шифрование - обязательное,
протокол - MSCHAPv2
В параметрах IPSec поставьте ключ VERYBIGSECRET
Тип VPN - L2TP IPSec VPN
IP-адрес шлюза - 10.10.21.150
логин/пароль
Конфигурация маршрутизатора (пишу по памяти, где-то могу ошибиться, опечататься или что-то забыть):
crypto isakmp policy 10
encr 3des
auth pre
group 2
hash sha
crypto isakmp key VERYBIGSECRET addr 0.0.0.0 0.0.0.0
crypto ipsec trans 3DES_SHA esp-3des esp-sha
mode transport
crypto dynamic DYNAMIC 10
set transform-set 3DES_SHA
crypto map VPN 10 ipsec-isakmp dynamic DYNAMIC
interface fastethernet0/0
crypto map VPN
vpdn enable
vpdn-group RemoteAccess
accept-dialin
protocol l2tp
virtual-template 1
no l2tp tunnel authentication
username USER password password
ip local pool VPN 75.67.254.100 75.67.254.254
interface virtual-template 1
ip unnumbered fastethernet0/0
peer default ip addr pool VPN
ppp authentication ms-chap-v2

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Создание VPN Windows -> Cisco" +/–

Сообщение от AlexDv (??) on 21-Фев-08, 19:20

>>>на винде Cisco VPN Client? Тогда так
>>
>>Нет. Виндовый клиент.
>>Надо предоставить доступ в интернет по VPN людям, а они IP адрес
>>настроить не умеют, не говоря уже Cisco VPN Client.
>
>Виндовый клиент не умеет easy vpn или lan-to-lan ipsec в чистом виде.
>
>
>Он умеет только PPTP (сервером которой не умеет cisco) и L2TP over
Здрасьти :) Сервером PPTP пожалуйста, вот клиентом таки-нет.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Создание VPN Windows -> Cisco" +/–

Сообщение от Ярослав Росомахо (ok) on 21-Фев-08, 19:21

>Здрасьти :) Сервером PPTP пожалуйста, вот клиентом таки-нет.
А... точно :)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

25. "Создание VPN Windows -> Cisco" +/–

Сообщение от wwc (ok) on 20-Май-09, 17:51

Уважаемые гуру, помогите пожалуйста человеку слабо разбирающемуся в примудростях vpn циски. У нас уволился специалист, который в них "рулит", а задачу по поддержке надо решать срочно (хоть попу рви). Ушедший чел стащил с собой 2650 и пришлось схватить под руки пустую 2811 и с распечатки набивать конфиг. Но это не суть дела. Очень прошу, помогите, дополните конфиг простейшей настройкой подключения Winдовых клиентов к WAN порту.
Спасибо огромное заранее.
Current configuration : 3638 bytes
!
! Last configuration change at 16:25:34 PDT Wed May 20 2009
! NVRAM config last updated at 16:25:36 PDT Wed May 20 2009
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Cisco2800
!
boot-start-marker
boot-end-marker
!
no logging buffered
no logging console
enable password ***********
!
no aaa new-model
!
resource policy
!
clock timezone MSK 3
clock summer-time PDT recurring
ip subnet-zero
no ip source-route
!
!
ip cef
!
!
ip domain name line.internal
ip name-server 10.20.35.2
ip name-server 10.20.30.3
ip name-server 217.15.48.2
ip name-server 217.15.49.2
no ip rcmd domain-lookup
ip rcmd rsh-enable
vpdn enable
!
!
!
username *********** password 0 ************ privilege 15
!
!
class-map match-any http-hacks
match protocol http url "*default.ida"
match protocol http url "*x.ida"
match protocol http url "*.ida*"
match protocol http url "cmd.exe*"
match protocol http url "root.exe*"
match protocol http url "readme.eml*"
match protocol netbios
!
!
policy-map drop-inbound-http-hacks
class http-hacks
   police 1000000 31250 31250 conform-action drop  exceed-action drop  violate-a
ction drop
!
!
!
interface Loopback0
no ip address
!
interface FastEthernet0/0
description WAN
ip address 89.17.48.6 255.255.255.192
ip access-group 100 in
no ip redirects
no ip proxy-arp
ip nat outside
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
description LAN
ip address 10.20.35.1 255.255.255.0
ip helper-address 10.20.30.3
no ip redirects
no ip proxy-arp
ip nat inside
duplex auto
speed auto
no cdp enable
!
ip classless
ip route 0.0.0.0 0.0.0.0 89.17.48.1
ip route 10.20.30.0 255.255.255.0 10.20.35.2 permanent
ip route 10.20.255.0 255.255.255.0 Null0
!
ip http server
ip nat translation timeout 3600
ip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source list 101 interface FastEthernet0/0 overload
ip nat inside source static tcp 10.20.35.2 1723 89.17.48.6 1723 extendable
ip nat inside source static 10.20.30.90 89.17.48.38
ip nat inside source static 10.20.30.5 89.17.48.40 extendable
!
access-list 1 permit 10.20.30.0 0.0.0.255
access-list 1 permit 10.20.35.0 0.0.0.255
access-list 100 permit udp any host 89.17.48.6 eq domain
access-list 100 permit tcp any host 89.17.48.40 eq smtp
access-list 100 permit tcp any any
access-list 100 permit ip any any
access-list 101 deny   tcp host 10.20.35.2 eq 1723 any
access-list 101 deny   ip host 10.20.30.90 any
access-list 101 permit ip 10.20.30.0 0.0.0.255 any
access-list 101 permit ip 10.20.35.0 0.0.0.255 any
access-list 101 deny   ip host 10.20.30.5 any
no cdp run
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
password ************
login
!
scheduler allocate 20000 1000
ntp clock-period 17180203
ntp source FastEthernet0/0
ntp update-calendar
ntp server 195.68.135.5 source FastEthernet0/0 prefer
ntp server 193.79.237.14
ntp server 195.2.64.5
ntp server 193.190.230.65
ntp server 192.36.143.151
!
end

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

26. "Создание VPN Windows -> Cisco" +/–

Сообщение от wwc (ok) on 21-Май-09, 11:54

Вот значится... почитал внимательно форум, изучил доки по CISCO... Навоял конфиг. Вроде подключается (в порт по крайней мере пускает).
Будьте добры, гляньте-а... Потыкайте мортой ламера в его ошибки :-)
Current configuration : 3975 bytes
!
! Last configuration change at 11:41:20 PDT Thu May 21 2009
! NVRAM config last updated at 11:41:22 PDT Thu May 21 2009
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Cisco2800
!
boot-start-marker
boot-end-marker
!
no logging buffered
no logging console
enable password ***********
!
no aaa new-model
!
resource policy
!
clock timezone MSK 3
clock summer-time PDT recurring
ip subnet-zero
no ip source-route
!
!
ip cef
!
!
ip domain name line.internal
ip name-server 10.20.35.2
ip name-server 10.20.30.3
ip name-server 217.15.48.2
ip name-server 217.15.49.2
no ip rcmd domain-lookup
ip rcmd rsh-enable
vpdn enable
!
vpdn-group pptp-serv
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
!
!
username ************ password 0 ******** privilege 15
!
!
class-map match-any http-hacks
match protocol http url "*default.ida"
match protocol http url "*x.ida"
match protocol http url "*.ida*"
match protocol http url "cmd.exe*"
match protocol http url "root.exe*"
match protocol http url "readme.eml*"
match protocol netbios
!
!
policy-map drop-inbound-http-hacks
class http-hacks
   police 1000000 31250 31250 conform-action drop  exceed-action drop  violate-a
ction drop
!
!
!
interface Loopback0
no ip address
!
interface FastEthernet0/0
description WAN
ip address 89.17.48.40 255.255.255.192 secondary
ip address 89.17.48.38 255.255.255.192 secondary
ip address 89.17.48.6 255.255.255.192
ip access-group 100 in
no ip redirects
no ip proxy-arp
ip nat outside
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
description LAN
ip address 10.20.35.1 255.255.255.0
ip helper-address 10.20.30.3
no ip redirects
no ip proxy-arp
ip nat inside
ip policy route-map trаcking
duplex auto
speed auto
no cdp enable
!
interface Virtual-Template1
mtu 1492
ip unnumbered FastEthernet0/1
ip mroute-cache
peer default ip address pool VPN
ppp authentication ms-chap ms-chap-v2
ppp ipcp dns 10.20.30.3
ppp ipcp mask 255.255.255.0
!
ip local pool VPN 89.17.48.41 89.17.48.43
ip classless
ip route 0.0.0.0 0.0.0.0 89.17.48.1
ip route 10.20.30.0 255.255.255.0 10.20.35.2 permanent
ip route 10.20.255.0 255.255.255.0 Null0
!
ip http server
ip nat translation timeout 3600
ip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source list 101 interface FastEthernet0/0 overload
ip nat inside source static tcp 10.20.35.2 1723 89.17.48.6 1723 extendable
ip nat inside source static 10.20.30.90 89.17.48.38 extendable
ip nat inside source static 10.20.30.5 89.17.48.40 extendable
!
access-list 1 permit 10.20.30.0 0.0.0.255
access-list 1 permit 10.20.35.0 0.0.0.255
access-list 100 permit udp any host 89.17.48.6 eq domain
access-list 100 permit tcp any host 89.17.48.40 eq smtp
access-list 100 permit tcp any any
access-list 100 permit ip any any
access-list 101 deny   tcp host 10.20.35.2 eq 1723 any
access-list 101 deny   ip host 10.20.30.90 any
access-list 101 permit ip 10.20.30.0 0.0.0.255 any
access-list 101 permit ip 10.20.35.0 0.0.0.255 any
access-list 101 deny   ip host 10.20.30.5 any
access-list 102 permit ip 10.20.30.0 0.0.0.255 89.17.48.0 0.0.0.255
snmp-server community public RO
snmp-server community private RW
snmp-server community SNMP_Community RO
snmp-server location Engineering Dept., Floor4, Office 6, Krasnoproletarskay St.
, 16, Building 3
snmp-server contact line-invest.ru, Cisco2800, Moscow, (495) 645-0085
snmp-server system-shutdown
no cdp run
route-map tracking permit 10
match ip address 102
set interface Virtual-Template1
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
password ********
login
!
scheduler allocate 20000 1000
ntp clock-period 17180203
ntp source FastEthernet0/0
ntp update-calendar
ntp server 195.68.135.5 source FastEthernet0/0 prefer
ntp server 193.79.237.14
ntp server 195.2.64.5
ntp server 193.190.230.65
ntp server 192.36.143.151
!
end

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

6. "Создание VPN Windows -> Cisco" +/–

Сообщение от Alex (??) on 21-Фев-08, 23:17

Спасибо! Cisco VPN Client работает без проблем. А вот с Windows пока трабла. Буду разбираться.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Создание VPN Windows -> Cisco" +/–

Сообщение от Val (??) on 22-Фев-08, 16:28

>Спасибо! Cisco VPN Client работает без проблем. А вот с Windows пока
>трабла. Буду разбираться.
>Нет. Виндовый клиент.
>Надо предоставить доступ в интернет по VPN людям, а они IP адрес настроить не умеют, не >говоря уже Cisco VPN Client.
А зачем его настраивать ? :)) Вы можете создать готовый файл конфигурации (профиль) для Ваших клиентов. В доке это все есть. А при установке клиент и вопросов-то особо не задает.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Создание VPN Windows -> Cisco" +/–

Сообщение от Митя on 22-Фев-08, 16:41

>А зачем его настраивать ? :)) Вы можете создать готовый файл конфигурации
>(профиль) для Ваших клиентов. В доке это все есть. А при
>установке клиент и вопросов-то особо не задает.
Cisco client не умеет запоминать пароли.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Создание VPN Windows -> Cisco" +/–

Сообщение от Ярослав Росомахо (ok) on 22-Фев-08, 16:42

>Cisco client не умеет запоминать пароли.
Неправда ваша. Умеет. Но эта возможность включается на easy vpn сервере. И по умолчанию в целях безопасности она отключена.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Создание VPN Windows -> Cisco" +/–

Сообщение от Митя on 22-Фев-08, 16:45

>>Cisco client не умеет запоминать пароли.
>
>Неправда ваша. Умеет. Но эта возможность включается на easy vpn сервере. И
>по умолчанию в целях безопасности она отключена.
Это где? Можно подробнее пожалуйста.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Создание VPN Windows -> Cisco" +/–

Сообщение от Митя on 22-Фев-08, 16:49

>>>Cisco client не умеет запоминать пароли.
>>
>>Неправда ваша. Умеет. Но эта возможность включается на easy vpn сервере. И
>>по умолчанию в целях безопасности она отключена.
>
>Это где? Можно подробнее пожалуйста.
Ещё я не могу добиться от Cisco VPN Client предоставить доступ к локальным ресурсам. Соклько птицу Allow Local Acces не ставил - не помогает.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Создание VPN Windows -> Cisco" +/–

Сообщение от Ярослав Росомахо (ok) on 22-Фев-08, 16:58

>>Это где? Можно подробнее пожалуйста.
В настройках группы пишете
"save-password"

>Ещё я не могу добиться от Cisco VPN Client предоставить доступ к
>локальным ресурсам. Соклько птицу Allow Local Acces не ставил - не
>помогает.
Не понятно о чем речь? WINS? Реверсивный маршрут? Локальным ресурсам чего?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Создание VPN Windows -> Cisco" +/–

Сообщение от Митя on 22-Фев-08, 17:11

>>Ещё я не могу добиться от Cisco VPN Client предоставить доступ к
>>локальным ресурсам. Соклько птицу Allow Local Acces не ставил - не
>>помогает.
>
>Не понятно о чем речь? WINS? Реверсивный маршрут? Локальным ресурсам чего?
Сеть 10.10.1.0/24
Подключаюсь клиентом, мне выдается IP, допустим, 77.222.144.35.
Когда я набираю ping 10.10.1.1 - к локальным ресурсам доступа нет.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "Создание VPN Windows -> Cisco" +/–

Сообщение от Ярослав Росомахо (ok) on 22-Фев-08, 17:12

>[оверквотинг удален]
>>>локальным ресурсам. Соклько птицу Allow Local Acces не ставил - не
>>>помогает.
>>
>>Не понятно о чем речь? WINS? Реверсивный маршрут? Локальным ресурсам чего?
>
>Сеть 10.10.1.0/24
>
>Подключаюсь клиентом, мне выдается IP, допустим, 77.222.144.35.
>
>Когда я набираю ping 10.10.1.1 - к локальным ресурсам доступа нет.
А split-tunnel настроен?

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "Создание VPN Windows -> Cisco" +/–

Сообщение от CrAzOiD (ok) on 22-Фев-08, 17:14

>[оверквотинг удален]
>>>локальным ресурсам. Соклько птицу Allow Local Acces не ставил - не
>>>помогает.
>>
>>Не понятно о чем речь? WINS? Реверсивный маршрут? Локальным ресурсам чего?
>
>Сеть 10.10.1.0/24
>
>Подключаюсь клиентом, мне выдается IP, допустим, 77.222.144.35.
>
>Когда я набираю ping 10.10.1.1 - к локальным ресурсам доступа нет.
копать в сторону split-routing и смотреть что бы маршрутизатор знал маршрут до vpn-клиента

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

19. "Создание VPN Windows -> Cisco" +/–

Сообщение от Митя on 22-Фев-08, 17:29

>копать в сторону split-routing и смотреть что бы маршрутизатор знал маршрут до
>vpn-клиента
А причем тут spli-routing? Я так понимаю. При создании VPN сесси у меня два подключения. Одно по локалке, а другое VPN. На локалке настроени IP 10.10.1.15. Следовательно, если я хочу доступ к 10,10,1,3 он должен меня направить в локалку. А он почему-то направляет меня по VPN интерфейсу. Или я неправильно мыслю?

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "Создание VPN Windows -> Cisco" +/–

Сообщение от CrAzOiD (ok) on 22-Фев-08, 17:32

>>копать в сторону split-routing и смотреть что бы маршрутизатор знал маршрут до
>>vpn-клиента
>
>А причем тут spli-routing? Я так понимаю. При создании VPN сесси у
>меня два подключения. Одно по локалке, а другое VPN. На локалке
>настроени IP 10.10.1.15. Следовательно, если я хочу доступ к 10,10,1,3 он
>должен меня направить в локалку. А он почему-то направляет меня по
>VPN интерфейсу. Или я неправильно мыслю?
именно неправильно
посмотрите таблицу маршрутизации после поднятия VPN и все станет ясно

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

13. "Создание VPN Windows -> Cisco" +/–

Сообщение от CrAzOiD (ok) on 22-Фев-08, 17:09

>>Cisco client не умеет запоминать пароли.
>
>Неправда ваша. Умеет. Но эта возможность включается на easy vpn сервере. И
>по умолчанию в целях безопасности она отключена.
еще он легко запоминается если файл профиля сделать read-only, предварительно прописав пароль. Это особено актуально для платформ где easy vpn еще не поддерживает опции сохранения пароля на клиенте

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

16. "Создание VPN Windows -> Cisco" +/–

Сообщение от Митя on 22-Фев-08, 17:13

>>>Cisco client не умеет запоминать пароли.
>>
>>Неправда ваша. Умеет. Но эта возможность включается на easy vpn сервере. И
>>по умолчанию в целях безопасности она отключена.
>
>еще он легко запоминается если файл профиля сделать read-only, предварительно прописав пароль.
>Это особено актуально для платформ где easy vpn еще не поддерживает
>опции сохранения пароля на клиенте
Так да. Но если народец бестолковый? Возьмет винду переставит... и тогда пока к нему не приедешь, он ничего сам сделать не сможет.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

18. "Создание VPN Windows -> Cisco" +/–

Сообщение от CrAzOiD (ok) on 22-Фев-08, 17:14

>[оверквотинг удален]
>>>
>>>Неправда ваша. Умеет. Но эта возможность включается на easy vpn сервере. И
>>>по умолчанию в целях безопасности она отключена.
>>
>>еще он легко запоминается если файл профиля сделать read-only, предварительно прописав пароль.
>>Это особено актуально для платформ где easy vpn еще не поддерживает
>>опции сохранения пароля на клиенте
>
>Так да. Но если народец бестолковый? Возьмет винду переставит... и тогда пока
>к нему не приедешь, он ничего сам сделать не сможет.
это издержки :)

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

21. "Создание VPN Windows -> Cisco" +/–

Сообщение от Alex (??) on 24-Фев-08, 19:34

Замучался совсем уже. Помогите пожлайуста. Не получается виндовым клиентом подключиться к Cisco, хоть тресни.
На Windows клиенте:
шифрование - обязательное,
протокол - MSCHAPv2
В параметрах IPSec ставлю ключ VERYBIGSECRET
Тип VPN - L2TP IPSec VPN (или PPTP VPN)
IP-адрес шлюза - 10.10.21.150
логин/пароль
Конфигурация маршрутизатора:
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Dasha
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
no logging console
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp ms-chap-v2 local
aaa authorization network default if-authenticated
!
aaa session-id common
!
resource policy
!
!
!
ip cef
!
!
ip domain name sky
ip name-server 10.10.1.254
ip name-server 10.10.1.1
ip ssh source-interface FastEthernet0/0
vpdn enable
!
vpdn-group VPDN-L2TP
! Default L2TP VPDN group
accept-dialin
  protocol l2tp
  virtual-template 2
lcp renegotiation on-mismatch
l2tp security crypto-profile L2TP
no l2tp tunnel authentication
ip pmtu
ip mtu adjust
!
vpdn-group VPDN-PPTP
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
pptp tunnel echo 10
ip pmtu
ip mtu adjust
!
voice-card 0
no dspfarm
!
username cisco privilege 15 secret 5 $1$1dI/$cEy9GZ8w5d79s0XtXIjxc1
username mitya privilege 15 password 0 1
!
crypto isakmp policy 100
encr 3des
authentication pre-share
group 2
crypto isakmp key VERYBIGSECRET address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set L2TP esp-des esp-md5-hmac
mode transport
!
crypto map L2TP 100 ipsec-isakmp profile L2TP
set transform-set L2TP
!
interface FastEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0/0$
ip address 10.10.21.150 255.255.255.0
duplex auto
speed auto
crypto map L2TP
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/3/0
shutdown
!
interface FastEthernet0/3/1
!
interface FastEthernet0/3/2
!
interface FastEthernet0/3/3
!
interface Virtual-Template1
ip address 193.188.253.100 255.255.255.0
ip virtual-reassembly
autodetect encapsulation ppp
no peer default ip address
ppp encrypt mppe auto
ppp authentication ms-chap-v2
!
interface Virtual-Template2
ip address 193.188.253.100 255.255.255.0
ip virtual-reassembly
autodetect encapsulation ppp
no peer default ip address
ppp authentication ms-chap-v2
!
interface Vlan1
no ip address
!
ip local pool vpnpool 193.188.254.100 193.188.254.254
ip route 0.0.0.0 0.0.0.0 10.10.21.252
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
logging trap debugging
logging 10.10.21.151
access-list 23 permit 10.10.1.3
!
При L2TP IPSec VPN выскакивает окошко "Ошибка шифрования данных при попытке подключения" (в логах циски ничего).
При PPTP VPN думает (в логах циски авторизация и аутентификация ОК) и выдаёт "Модем или другое устройство связи сообщило об ошибке".

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

22. "Создание VPN Windows -> Cisco" +/–

Сообщение от CrAzOiD (ok) on 24-Фев-08, 22:24

>[оверквотинг удален]
>!
>logging trap debugging
>logging 10.10.21.151
>access-list 23 permit 10.10.1.3
>!
>
>При L2TP IPSec VPN выскакивает окошко "Ошибка шифрования данных при попытке подключения"
>(в логах циски ничего).
>При PPTP VPN думает (в логах циски авторизация и аутентификация ОК) и
>выдаёт "Модем или другое устройство связи сообщило об ошибке".
без шифрования подключается?
поробуй явно задать тип шифрования на циске
а вообще я у себя смог побороть такое только подбором IOS

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Создание VPN Windows -> Cisco" +/–

Сообщение от Alex (??) on 24-Фев-08, 22:38

>без шифрования подключается?
>поробуй явно задать тип шифрования на циске
>а вообще я у себя смог побороть такое только подбором IOS
Да не хочет никак эта зараза подключиться к кошке.
У меня IOS 12.4(9). У кого-то виндовым клентом получилось подключиться к циске?

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Создание VPN Windows -> Cisco" +/–

Сообщение от Ixxtiander (ok) on 09-Сен-08, 15:56

>interface virtual-template 1
>ip unnumbered fastethernet0/0
>peer default ip addr pool VPN
>ppp authentication ms-chap-v2
в конфиге интерфейса virtual-template 1 нет команд peer и ppp
что-то тут неправильно!

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

27. "Создание VPN Windows -> Cisco" +/–

Сообщение от varios (ok) on 16-Июн-10, 13:18

я имел секс с этим, ничего не вышло, пришлось учить юзеров пользоваться Cisco VPN Client

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

28. "Создание VPN Windows -> Cisco" +/–

Сообщение от Pilorama on 13-Фев-12, 09:08

>>interface virtual-template 1
>>ip unnumbered fastethernet0/0
>>peer default ip addr pool VPN
>>ppp authentication ms-chap-v2
> в конфиге интерфейса virtual-template 1 нет команд peer и ppp
> что-то тут неправильно!
Вставали-с на эти грабли. Юзайте Virtual-Template 10.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

29. "Создание VPN Windows -> Cisco" +/–

Сообщение от mikeer (ok) on 16-Апр-12, 13:12

>>>interface virtual-template 1
>>>ip unnumbered fastethernet0/0
>>>peer default ip addr pool VPN
>>>ppp authentication ms-chap-v2
>> в конфиге интерфейса virtual-template 1 нет команд peer и ppp
>> что-то тут неправильно!
> Вставали-с на эти грабли. Юзайте Virtual-Template 10.
Вот спасибо! 2 недели мучился.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Создание VPN Windows -> Cisco"	+/–
Сообщение от CrAzOiD (ok) on 21-Фев-08, 00:37
>[оверквотинг удален] >access-list 151 permit ip 10.10.21.0 0.0.0.255 10.10.1.0 0.0.0.255 >access-list 151 permit ip 10.10.1.0 0.0.0.255 10.10.21.0 0.0.0.255 > >В логах ошибка: >Feb 20 21:39:22 10.10.21.150 15219: Feb 20 19:37:38.674: IPSEC(crypto_ipsec_process_proposal): transform proposal not >supported for identity >: >Feb 20 21:39:22 10.10.21.150 15220: {ah-sha-hmac } >Feb 20 21:39:22 10.10.21.150 15221: Feb 20 19:37:38.674: ISAKMP:(4024): IPSec policy invalidated >proposal with error 256 на винде Cisco VPN Client? Тогда так crypto ipsec transform-set myset esp-3des esp-sha-hmac comp-lzs и не вижу настроек групп и групповой авторизации, вот как-то так приблизительно: aaa new-model aaa authentication login default local aaa authorization exec default local aaa authorization network groupauthor local ! crypto isakmp policy 3 encr 3des authentication pre-share group 2 ! crypto isakmp client configuration group Secret_VPN_client key Secret_VPN_key dns 172.24.0.254 192.168.1.24 wins 172.24.3.5 192.168.1.25 domain company.local pool ippool acl 108 ! ! crypto ipsec transform-set myset esp-3des esp-sha-hmac comp-lzs crypto ipsec df-bit clear ! crypto dynamic-map dynmap 10 set security-association lifetime kilobytes 46080 set security-association lifetime seconds 10800 set transform-set myset ! ! crypto map clientmap client authentication list userauthen crypto map clientmap isakmp authorization list groupauthor crypto map clientmap client configuration address respond crypto map clientmap 10 ipsec-isakmp dynamic dynmap
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Создание VPN Windows -> Cisco"	+/–
	Сообщение от Alex (??) on 21-Фев-08, 10:45
	>на винде Cisco VPN Client? Тогда так Нет. Виндовый клиент. Надо предоставить доступ в интернет по VPN людям, а они IP адрес настроить не умеют, не говоря уже Cisco VPN Client.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Создание VPN Windows -> Cisco"	+/–
	Сообщение от Ярослав Росомахо (ok) on 21-Фев-08, 12:22
	>>на винде Cisco VPN Client? Тогда так > >Нет. Виндовый клиент. >Надо предоставить доступ в интернет по VPN людям, а они IP адрес >настроить не умеют, не говоря уже Cisco VPN Client. Виндовый клиент не умеет easy vpn или lan-to-lan ipsec в чистом виде. Он умеет только PPTP (сервером которой не умеет cisco) и L2TP over IPSEC (примерные конфигурации ниже). На виндовом клиенте настройте: шифрование - обязательное, протокол - MSCHAPv2 В параметрах IPSec поставьте ключ VERYBIGSECRET Тип VPN - L2TP IPSec VPN IP-адрес шлюза - 10.10.21.150 логин/пароль Конфигурация маршрутизатора (пишу по памяти, где-то могу ошибиться, опечататься или что-то забыть): crypto isakmp policy 10 encr 3des auth pre group 2 hash sha crypto isakmp key VERYBIGSECRET addr 0.0.0.0 0.0.0.0 crypto ipsec trans 3DES_SHA esp-3des esp-sha mode transport crypto dynamic DYNAMIC 10 set transform-set 3DES_SHA crypto map VPN 10 ipsec-isakmp dynamic DYNAMIC interface fastethernet0/0 crypto map VPN vpdn enable vpdn-group RemoteAccess accept-dialin protocol l2tp virtual-template 1 no l2tp tunnel authentication username USER password password ip local pool VPN 75.67.254.100 75.67.254.254 interface virtual-template 1 ip unnumbered fastethernet0/0 peer default ip addr pool VPN ppp authentication ms-chap-v2
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Создание VPN Windows -> Cisco"	+/–
	Сообщение от AlexDv (??) on 21-Фев-08, 19:20
	>>>на винде Cisco VPN Client? Тогда так >> >>Нет. Виндовый клиент. >>Надо предоставить доступ в интернет по VPN людям, а они IP адрес >>настроить не умеют, не говоря уже Cisco VPN Client. > >Виндовый клиент не умеет easy vpn или lan-to-lan ipsec в чистом виде. > > >Он умеет только PPTP (сервером которой не умеет cisco) и L2TP over Здрасьти :) Сервером PPTP пожалуйста, вот клиентом таки-нет.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Создание VPN Windows -> Cisco"	+/–
	Сообщение от Ярослав Росомахо (ok) on 21-Фев-08, 19:21
	>Здрасьти :) Сервером PPTP пожалуйста, вот клиентом таки-нет. А... точно :)
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	25. "Создание VPN Windows -> Cisco"	+/–
	Сообщение от wwc (ok) on 20-Май-09, 17:51
	Уважаемые гуру, помогите пожалуйста человеку слабо разбирающемуся в примудростях vpn циски. У нас уволился специалист, который в них "рулит", а задачу по поддержке надо решать срочно (хоть попу рви). Ушедший чел стащил с собой 2650 и пришлось схватить под руки пустую 2811 и с распечатки набивать конфиг. Но это не суть дела. Очень прошу, помогите, дополните конфиг простейшей настройкой подключения Winдовых клиентов к WAN порту. Спасибо огромное заранее. Current configuration : 3638 bytes ! ! Last configuration change at 16:25:34 PDT Wed May 20 2009 ! NVRAM config last updated at 16:25:36 PDT Wed May 20 2009 ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Cisco2800 ! boot-start-marker boot-end-marker ! no logging buffered no logging console enable password ********* ! no aaa new-model ! resource policy ! clock timezone MSK 3 clock summer-time PDT recurring ip subnet-zero no ip source-route ! ! ip cef ! ! ip domain name line.internal ip name-server 10.20.35.2 ip name-server 10.20.30.3 ip name-server 217.15.48.2 ip name-server 217.15.49.2 no ip rcmd domain-lookup ip rcmd rsh-enable vpdn enable ! ! ! username ******* password 0 ********** privilege 15 ! ! class-map match-any http-hacks match protocol http url "default.ida" match protocol http url "x.ida" match protocol http url ".ida" match protocol http url "cmd.exe" match protocol http url "root.exe" match protocol http url "readme.eml" match protocol netbios ! ! policy-map drop-inbound-http-hacks class http-hacks police 1000000 31250 31250 conform-action drop exceed-action drop violate-a ction drop ! ! ! interface Loopback0 no ip address ! interface FastEthernet0/0 description WAN ip address 89.17.48.6 255.255.255.192 ip access-group 100 in no ip redirects no ip proxy-arp ip nat outside duplex auto speed auto no cdp enable ! interface FastEthernet0/1 description LAN ip address 10.20.35.1 255.255.255.0 ip helper-address 10.20.30.3 no ip redirects no ip proxy-arp ip nat inside duplex auto speed auto no cdp enable ! ip classless ip route 0.0.0.0 0.0.0.0 89.17.48.1 ip route 10.20.30.0 255.255.255.0 10.20.35.2 permanent ip route 10.20.255.0 255.255.255.0 Null0 ! ip http server ip nat translation timeout 3600 ip nat inside source list 1 interface FastEthernet0/0 overload ip nat inside source list 101 interface FastEthernet0/0 overload ip nat inside source static tcp 10.20.35.2 1723 89.17.48.6 1723 extendable ip nat inside source static 10.20.30.90 89.17.48.38 ip nat inside source static 10.20.30.5 89.17.48.40 extendable ! access-list 1 permit 10.20.30.0 0.0.0.255 access-list 1 permit 10.20.35.0 0.0.0.255 access-list 100 permit udp any host 89.17.48.6 eq domain access-list 100 permit tcp any host 89.17.48.40 eq smtp access-list 100 permit tcp any any access-list 100 permit ip any any access-list 101 deny tcp host 10.20.35.2 eq 1723 any access-list 101 deny ip host 10.20.30.90 any access-list 101 permit ip 10.20.30.0 0.0.0.255 any access-list 101 permit ip 10.20.35.0 0.0.0.255 any access-list 101 deny ip host 10.20.30.5 any no cdp run ! control-plane ! ! line con 0 line aux 0 line vty 0 4 password *********** login ! scheduler allocate 20000 1000 ntp clock-period 17180203 ntp source FastEthernet0/0 ntp update-calendar ntp server 195.68.135.5 source FastEthernet0/0 prefer ntp server 193.79.237.14 ntp server 195.2.64.5 ntp server 193.190.230.65 ntp server 192.36.143.151 ! end
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	26. "Создание VPN Windows -> Cisco"	+/–
	Сообщение от wwc (ok) on 21-Май-09, 11:54
	Вот значится... почитал внимательно форум, изучил доки по CISCO... Навоял конфиг. Вроде подключается (в порт по крайней мере пускает). Будьте добры, гляньте-а... Потыкайте мортой ламера в его ошибки :-) Current configuration : 3975 bytes ! ! Last configuration change at 11:41:20 PDT Thu May 21 2009 ! NVRAM config last updated at 11:41:22 PDT Thu May 21 2009 ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Cisco2800 ! boot-start-marker boot-end-marker ! no logging buffered no logging console enable password ********* ! no aaa new-model ! resource policy ! clock timezone MSK 3 clock summer-time PDT recurring ip subnet-zero no ip source-route ! ! ip cef ! ! ip domain name line.internal ip name-server 10.20.35.2 ip name-server 10.20.30.3 ip name-server 217.15.48.2 ip name-server 217.15.49.2 no ip rcmd domain-lookup ip rcmd rsh-enable vpdn enable ! vpdn-group pptp-serv ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 ! ! username ******** password 0 ****** privilege 15 ! ! class-map match-any http-hacks match protocol http url "default.ida" match protocol http url "x.ida" match protocol http url ".ida" match protocol http url "cmd.exe" match protocol http url "root.exe" match protocol http url "readme.eml" match protocol netbios ! ! policy-map drop-inbound-http-hacks class http-hacks police 1000000 31250 31250 conform-action drop exceed-action drop violate-a ction drop ! ! ! interface Loopback0 no ip address ! interface FastEthernet0/0 description WAN ip address 89.17.48.40 255.255.255.192 secondary ip address 89.17.48.38 255.255.255.192 secondary ip address 89.17.48.6 255.255.255.192 ip access-group 100 in no ip redirects no ip proxy-arp ip nat outside duplex auto speed auto no cdp enable ! interface FastEthernet0/1 description LAN ip address 10.20.35.1 255.255.255.0 ip helper-address 10.20.30.3 no ip redirects no ip proxy-arp ip nat inside ip policy route-map trаcking duplex auto speed auto no cdp enable ! interface Virtual-Template1 mtu 1492 ip unnumbered FastEthernet0/1 ip mroute-cache peer default ip address pool VPN ppp authentication ms-chap ms-chap-v2 ppp ipcp dns 10.20.30.3 ppp ipcp mask 255.255.255.0 ! ip local pool VPN 89.17.48.41 89.17.48.43 ip classless ip route 0.0.0.0 0.0.0.0 89.17.48.1 ip route 10.20.30.0 255.255.255.0 10.20.35.2 permanent ip route 10.20.255.0 255.255.255.0 Null0 ! ip http server ip nat translation timeout 3600 ip nat inside source list 1 interface FastEthernet0/0 overload ip nat inside source list 101 interface FastEthernet0/0 overload ip nat inside source static tcp 10.20.35.2 1723 89.17.48.6 1723 extendable ip nat inside source static 10.20.30.90 89.17.48.38 extendable ip nat inside source static 10.20.30.5 89.17.48.40 extendable ! access-list 1 permit 10.20.30.0 0.0.0.255 access-list 1 permit 10.20.35.0 0.0.0.255 access-list 100 permit udp any host 89.17.48.6 eq domain access-list 100 permit tcp any host 89.17.48.40 eq smtp access-list 100 permit tcp any any access-list 100 permit ip any any access-list 101 deny tcp host 10.20.35.2 eq 1723 any access-list 101 deny ip host 10.20.30.90 any access-list 101 permit ip 10.20.30.0 0.0.0.255 any access-list 101 permit ip 10.20.35.0 0.0.0.255 any access-list 101 deny ip host 10.20.30.5 any access-list 102 permit ip 10.20.30.0 0.0.0.255 89.17.48.0 0.0.0.255 snmp-server community public RO snmp-server community private RW snmp-server community SNMP_Community RO snmp-server location Engineering Dept., Floor4, Office 6, Krasnoproletarskay St. , 16, Building 3 snmp-server contact line-invest.ru, Cisco2800, Moscow, (495) 645-0085 snmp-server system-shutdown no cdp run route-map tracking permit 10 match ip address 102 set interface Virtual-Template1 ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 password ******* login ! scheduler allocate 20000 1000 ntp clock-period 17180203 ntp source FastEthernet0/0 ntp update-calendar ntp server 195.68.135.5 source FastEthernet0/0 prefer ntp server 193.79.237.14 ntp server 195.2.64.5 ntp server 193.190.230.65 ntp server 192.36.143.151 ! end
	Ответить \| Правка \| ^ к родителю #25 \| Наверх \| Cообщить модератору


	6. "Создание VPN Windows -> Cisco"	+/–
	Сообщение от Alex (??) on 21-Фев-08, 23:17
	Спасибо! Cisco VPN Client работает без проблем. А вот с Windows пока трабла. Буду разбираться.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	7. "Создание VPN Windows -> Cisco"	+/–
	Сообщение от Val (??) on 22-Фев-08, 16:28
	>Спасибо! Cisco VPN Client работает без проблем. А вот с Windows пока >трабла. Буду разбираться. >Нет. Виндовый клиент. >Надо предоставить доступ в интернет по VPN людям, а они IP адрес настроить не умеют, не >говоря уже Cisco VPN Client. А зачем его настраивать ? :)) Вы можете создать готовый файл конфигурации (профиль) для Ваших клиентов. В доке это все есть. А при установке клиент и вопросов-то особо не задает.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "Создание VPN Windows -> Cisco"	+/–
	Сообщение от Митя on 22-Фев-08, 16:41
	>А зачем его настраивать ? :)) Вы можете создать готовый файл конфигурации >(профиль) для Ваших клиентов. В доке это все есть. А при >установке клиент и вопросов-то особо не задает. Cisco client не умеет запоминать пароли.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Создание VPN Windows -> Cisco"	+/–
	Сообщение от Ярослав Росомахо (ok) on 22-Фев-08, 16:42
	>Cisco client не умеет запоминать пароли. Неправда ваша. Умеет. Но эта возможность включается на easy vpn сервере. И по умолчанию в целях безопасности она отключена.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "Создание VPN Windows -> Cisco"	+/–
	Сообщение от Митя on 22-Фев-08, 16:45
	>>Cisco client не умеет запоминать пароли. > >Неправда ваша. Умеет. Но эта возможность включается на easy vpn сервере. И >по умолчанию в целях безопасности она отключена. Это где? Можно подробнее пожалуйста.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "Создание VPN Windows -> Cisco"	+/–
	Сообщение от Митя on 22-Фев-08, 16:49
	>>>Cisco client не умеет запоминать пароли. >> >>Неправда ваша. Умеет. Но эта возможность включается на easy vpn сервере. И >>по умолчанию в целях безопасности она отключена. > >Это где? Можно подробнее пожалуйста. Ещё я не могу добиться от Cisco VPN Client предоставить доступ к локальным ресурсам. Соклько птицу Allow Local Acces не ставил - не помогает.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "Создание VPN Windows -> Cisco"	+/–
	Сообщение от Ярослав Росомахо (ok) on 22-Фев-08, 16:58
	>>Это где? Можно подробнее пожалуйста. В настройках группы пишете "save-password" >Ещё я не могу добиться от Cisco VPN Client предоставить доступ к >локальным ресурсам. Соклько птицу Allow Local Acces не ставил - не >помогает. Не понятно о чем речь? WINS? Реверсивный маршрут? Локальным ресурсам чего?
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	14. "Создание VPN Windows -> Cisco"	+/–
	Сообщение от Митя on 22-Фев-08, 17:11
	>>Ещё я не могу добиться от Cisco VPN Client предоставить доступ к >>локальным ресурсам. Соклько птицу Allow Local Acces не ставил - не >>помогает. > >Не понятно о чем речь? WINS? Реверсивный маршрут? Локальным ресурсам чего? Сеть 10.10.1.0/24 Подключаюсь клиентом, мне выдается IP, допустим, 77.222.144.35. Когда я набираю ping 10.10.1.1 - к локальным ресурсам доступа нет.
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	15. "Создание VPN Windows -> Cisco"	+/–
	Сообщение от Ярослав Росомахо (ok) on 22-Фев-08, 17:12
	>[оверквотинг удален] >>>локальным ресурсам. Соклько птицу Allow Local Acces не ставил - не >>>помогает. >> >>Не понятно о чем речь? WINS? Реверсивный маршрут? Локальным ресурсам чего? > >Сеть 10.10.1.0/24 > >Подключаюсь клиентом, мне выдается IP, допустим, 77.222.144.35. > >Когда я набираю ping 10.10.1.1 - к локальным ресурсам доступа нет. А split-tunnel настроен?
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	17. "Создание VPN Windows -> Cisco"	+/–
	Сообщение от CrAzOiD (ok) on 22-Фев-08, 17:14
	>[оверквотинг удален] >>>локальным ресурсам. Соклько птицу Allow Local Acces не ставил - не >>>помогает. >> >>Не понятно о чем речь? WINS? Реверсивный маршрут? Локальным ресурсам чего? > >Сеть 10.10.1.0/24 > >Подключаюсь клиентом, мне выдается IP, допустим, 77.222.144.35. > >Когда я набираю ping 10.10.1.1 - к локальным ресурсам доступа нет. копать в сторону split-routing и смотреть что бы маршрутизатор знал маршрут до vpn-клиента
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	19. "Создание VPN Windows -> Cisco"	+/–
	Сообщение от Митя on 22-Фев-08, 17:29
	>копать в сторону split-routing и смотреть что бы маршрутизатор знал маршрут до >vpn-клиента А причем тут spli-routing? Я так понимаю. При создании VPN сесси у меня два подключения. Одно по локалке, а другое VPN. На локалке настроени IP 10.10.1.15. Следовательно, если я хочу доступ к 10,10,1,3 он должен меня направить в локалку. А он почему-то направляет меня по VPN интерфейсу. Или я неправильно мыслю?
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору


	20. "Создание VPN Windows -> Cisco"	+/–
	Сообщение от CrAzOiD (ok) on 22-Фев-08, 17:32
	>>копать в сторону split-routing и смотреть что бы маршрутизатор знал маршрут до >>vpn-клиента > >А причем тут spli-routing? Я так понимаю. При создании VPN сесси у >меня два подключения. Одно по локалке, а другое VPN. На локалке >настроени IP 10.10.1.15. Следовательно, если я хочу доступ к 10,10,1,3 он >должен меня направить в локалку. А он почему-то направляет меня по >VPN интерфейсу. Или я неправильно мыслю? именно неправильно посмотрите таблицу маршрутизации после поднятия VPN и все станет ясно
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	13. "Создание VPN Windows -> Cisco"	+/–
	Сообщение от CrAzOiD (ok) on 22-Фев-08, 17:09
	>>Cisco client не умеет запоминать пароли. > >Неправда ваша. Умеет. Но эта возможность включается на easy vpn сервере. И >по умолчанию в целях безопасности она отключена. еще он легко запоминается если файл профиля сделать read-only, предварительно прописав пароль. Это особено актуально для платформ где easy vpn еще не поддерживает опции сохранения пароля на клиенте
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	16. "Создание VPN Windows -> Cisco"	+/–
	Сообщение от Митя on 22-Фев-08, 17:13
	>>>Cisco client не умеет запоминать пароли. >> >>Неправда ваша. Умеет. Но эта возможность включается на easy vpn сервере. И >>по умолчанию в целях безопасности она отключена. > >еще он легко запоминается если файл профиля сделать read-only, предварительно прописав пароль. >Это особено актуально для платформ где easy vpn еще не поддерживает >опции сохранения пароля на клиенте Так да. Но если народец бестолковый? Возьмет винду переставит... и тогда пока к нему не приедешь, он ничего сам сделать не сможет.
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	18. "Создание VPN Windows -> Cisco"	+/–
	Сообщение от CrAzOiD (ok) on 22-Фев-08, 17:14
	>[оверквотинг удален] >>> >>>Неправда ваша. Умеет. Но эта возможность включается на easy vpn сервере. И >>>по умолчанию в целях безопасности она отключена. >> >>еще он легко запоминается если файл профиля сделать read-only, предварительно прописав пароль. >>Это особено актуально для платформ где easy vpn еще не поддерживает >>опции сохранения пароля на клиенте > >Так да. Но если народец бестолковый? Возьмет винду переставит... и тогда пока >к нему не приедешь, он ничего сам сделать не сможет. это издержки :)
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	21. "Создание VPN Windows -> Cisco"	+/–
	Сообщение от Alex (??) on 24-Фев-08, 19:34
	Замучался совсем уже. Помогите пожлайуста. Не получается виндовым клиентом подключиться к Cisco, хоть тресни. На Windows клиенте: шифрование - обязательное, протокол - MSCHAPv2 В параметрах IPSec ставлю ключ VERYBIGSECRET Тип VPN - L2TP IPSec VPN (или PPTP VPN) IP-адрес шлюза - 10.10.21.150 логин/пароль Конфигурация маршрутизатора: ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Dasha ! boot-start-marker boot-end-marker ! logging buffered 51200 warnings no logging console ! aaa new-model ! ! aaa authentication login default local aaa authentication ppp ms-chap-v2 local aaa authorization network default if-authenticated ! aaa session-id common ! resource policy ! ! ! ip cef ! ! ip domain name sky ip name-server 10.10.1.254 ip name-server 10.10.1.1 ip ssh source-interface FastEthernet0/0 vpdn enable ! vpdn-group VPDN-L2TP ! Default L2TP VPDN group accept-dialin protocol l2tp virtual-template 2 lcp renegotiation on-mismatch l2tp security crypto-profile L2TP no l2tp tunnel authentication ip pmtu ip mtu adjust ! vpdn-group VPDN-PPTP ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 pptp tunnel echo 10 ip pmtu ip mtu adjust ! voice-card 0 no dspfarm ! username cisco privilege 15 secret 5 $1$1dI/$cEy9GZ8w5d79s0XtXIjxc1 username mitya privilege 15 password 0 1 ! crypto isakmp policy 100 encr 3des authentication pre-share group 2 crypto isakmp key VERYBIGSECRET address 0.0.0.0 0.0.0.0 ! crypto ipsec transform-set L2TP esp-des esp-md5-hmac mode transport ! crypto map L2TP 100 ipsec-isakmp profile L2TP set transform-set L2TP ! interface FastEthernet0/0 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0/0$ ip address 10.10.21.150 255.255.255.0 duplex auto speed auto crypto map L2TP ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface FastEthernet0/3/0 shutdown ! interface FastEthernet0/3/1 ! interface FastEthernet0/3/2 ! interface FastEthernet0/3/3 ! interface Virtual-Template1 ip address 193.188.253.100 255.255.255.0 ip virtual-reassembly autodetect encapsulation ppp no peer default ip address ppp encrypt mppe auto ppp authentication ms-chap-v2 ! interface Virtual-Template2 ip address 193.188.253.100 255.255.255.0 ip virtual-reassembly autodetect encapsulation ppp no peer default ip address ppp authentication ms-chap-v2 ! interface Vlan1 no ip address ! ip local pool vpnpool 193.188.254.100 193.188.254.254 ip route 0.0.0.0 0.0.0.0 10.10.21.252 ! ip http server ip http access-class 23 ip http authentication local ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ! logging trap debugging logging 10.10.21.151 access-list 23 permit 10.10.1.3 ! При L2TP IPSec VPN выскакивает окошко "Ошибка шифрования данных при попытке подключения" (в логах циски ничего). При PPTP VPN думает (в логах циски авторизация и аутентификация ОК) и выдаёт "Модем или другое устройство связи сообщило об ошибке".
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	22. "Создание VPN Windows -> Cisco"	+/–
	Сообщение от CrAzOiD (ok) on 24-Фев-08, 22:24
	>[оверквотинг удален] >! >logging trap debugging >logging 10.10.21.151 >access-list 23 permit 10.10.1.3 >! > >При L2TP IPSec VPN выскакивает окошко "Ошибка шифрования данных при попытке подключения" >(в логах циски ничего). >При PPTP VPN думает (в логах циски авторизация и аутентификация ОК) и >выдаёт "Модем или другое устройство связи сообщило об ошибке". без шифрования подключается? поробуй явно задать тип шифрования на циске а вообще я у себя смог побороть такое только подбором IOS
	Ответить \| Правка \| ^ к родителю #21 \| Наверх \| Cообщить модератору


	23. "Создание VPN Windows -> Cisco"	+/–
	Сообщение от Alex (??) on 24-Фев-08, 22:38
	>без шифрования подключается? >поробуй явно задать тип шифрования на циске >а вообще я у себя смог побороть такое только подбором IOS Да не хочет никак эта зараза подключиться к кошке. У меня IOS 12.4(9). У кого-то виндовым клентом получилось подключиться к циске?
	Ответить \| Правка \| ^ к родителю #22 \| Наверх \| Cообщить модератору


	24. "Создание VPN Windows -> Cisco"	+/–
	Сообщение от Ixxtiander (ok) on 09-Сен-08, 15:56
	>interface virtual-template 1 >ip unnumbered fastethernet0/0 >peer default ip addr pool VPN >ppp authentication ms-chap-v2 в конфиге интерфейса virtual-template 1 нет команд peer и ppp что-то тут неправильно!
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	27. "Создание VPN Windows -> Cisco"	+/–
	Сообщение от varios (ok) on 16-Июн-10, 13:18
	я имел секс с этим, ничего не вышло, пришлось учить юзеров пользоваться Cisco VPN Client
	Ответить \| Правка \| ^ к родителю #24 \| Наверх \| Cообщить модератору


	28. "Создание VPN Windows -> Cisco"	+/–
	Сообщение от Pilorama on 13-Фев-12, 09:08
	>>interface virtual-template 1 >>ip unnumbered fastethernet0/0 >>peer default ip addr pool VPN >>ppp authentication ms-chap-v2 > в конфиге интерфейса virtual-template 1 нет команд peer и ppp > что-то тут неправильно! Вставали-с на эти грабли. Юзайте Virtual-Template 10.
	Ответить \| Правка \| ^ к родителю #24 \| Наверх \| Cообщить модератору


	29. "Создание VPN Windows -> Cisco"	+/–
	Сообщение от mikeer (ok) on 16-Апр-12, 13:12
	>>>interface virtual-template 1 >>>ip unnumbered fastethernet0/0 >>>peer default ip addr pool VPN >>>ppp authentication ms-chap-v2 >> в конфиге интерфейса virtual-template 1 нет команд peer и ppp >> что-то тут неправильно! > Вставали-с на эти грабли. Юзайте Virtual-Template 10. Вот спасибо! 2 недели мучился.
	Ответить \| Правка \| ^ к родителю #28 \| Наверх \| Cообщить модератору