The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Cisco VPN Client ошибка 412"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"Cisco VPN Client ошибка 412"  +/
Сообщение от Рихардemail (ok), 07-Дек-16, 18:12 
Доброго времени суток!

Настроил на маршрутизаторе 2911 Easy VPN Server.
Из внутренней сети могу подключиться на внешний интерфейс клиентом, тобишь в целом система работает.
А вот при попытке подключиться из вне выпадает ошибка 412. В чем может быть проблема?

Current configuration : 3255 bytes
!
! Last configuration change at 13:06:37 UTC Wed Dec 7 2016 by admin
!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Sedova11_R
!
boot-start-marker
boot system flash:/c2900-universalk9-mz.SPA.154-3.M5.bin
boot-end-marker
!
!
no logging console
enable password 7 011F16035A0F0B062F
!
aaa new-model
!
!
aaa authentication login USER-AUTH local
aaa authorization network GROUP-AUTH local
!
!
!
!
!
aaa session-id common
!
!
!
!
!
!
!
!
!
!
!
ip dhcp relay information trust-all
!
!
!
ip domain name Roga.local
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
cts logging verbose
!
!
license udi pid CISCO2911/K9 sn FCZ1533708R
license boot module c2900 technology-package securityk9
!
!
!
redundancy
!
!
!
!
!
!
!
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
!
crypto isakmp client configuration group LENPROMGAZ
key Lpg6021ZVL
domain LPG.local
pool VPN-POOL
acl 110
crypto isakmp profile VPN-CLIENT
   match identity group ROGA
   client authentication list USER-AUTH
   isakmp authorization list GROUP-AUTH
   client configuration address respond
!
!
crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac
mode tunnel
!
!
!
crypto dynamic-map DYNMAP 10
set transform-set 3DES-MD5
set isakmp-profile VPN-CLIENT
reverse-route
!
!
crypto map DMAP 1 ipsec-isakmp dynamic DYNMAP
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
no ip address
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/0.100
encapsulation dot1Q 100
ip address 172.14.110.254 255.255.255.0
!
interface GigabitEthernet0/0.101
encapsulation dot1Q 101
ip address 172.14.101.254 255.255.255.0
!
interface GigabitEthernet0/0.102
encapsulation dot1Q 102
ip address 172.14.200.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface GigabitEthernet0/1
ip address 77.231.57.184 255.255.255.252
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
crypto map DMAP
!
interface GigabitEthernet0/2
no ip address
shutdown
duplex auto
speed auto
!

!
no ip http server
no ip http secure-server
!

!
!
access-list 10 permit 172.14.101.0
access-list 10 permit 172.14.102.0 0.0.0.255
access-list 110 permit ip 172.14.100.0 0.0.0.255 any

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco VPN Client ошибка 412"  +/
Сообщение от Username (?), 08-Дек-16, 16:45 
Ну теперь меняй пароль на enable и больше не используй enable password. Делай enable secret.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Cisco VPN Client ошибка 412"  +/
Сообщение от Рихардemail (ok), 15-Дек-16, 12:53 
В общем написал тестовый


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Cisco VPN Client ошибка 412"  +/
Сообщение от Рихардemail (ok), 15-Дек-16, 14:16 
enable просто дефолтный конфиг, железка тестовая.

В общем сделал я тестовый access-list, что бы понять приходит ли ко мне хоть что то от клиента в процессе соединения, примерно следующего содержания:

18 permit esp any any log
19 permit udp any any eq non500-isakmp log
20 permit udp any any eq isakmp log (9 matches) - вот приходят пакеты от клиента при
                                                   попытке соединиться.

И собственно больше ничего не происходит. Т.е ISAKMP постучался на 500 порт, а дальше ничего не происходит. По идее дальше должен IPSEC начать работать, но до него по ходу дело не доходит.

В логах вот что:

Dec 15 10:26:43.386: %SEC-6-IPACCESSLOGP: list NAT permitted udp 84.52.72.124(55936) -> 77.232.54.172(500), 1 packet
Dec 15 10:30:52.550: %SEC-6-IPACCESSLOGP: list NAT permitted udp 84.52.72.124(55933) -> 77.232.54.172(500), 3 packets
Dec 15 10:31:21.154: %SEC-6-IPACCESSLOGP: list NAT permitted udp 84.52.72.124(55936) -> 77.232.54.172(500), 3 packets

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Cisco VPN Client ошибка 412"  +/
Сообщение от Username (?), 08-Дек-16, 16:47 
С виду все хорошо у тебя. Дефолтный роут на месте? Покажи sh ip route до кучи.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Cisco VPN Client ошибка 412"  +/
Сообщение от Рихардemail (ok), 13-Дек-16, 08:56 
Оказалось, что у меня вообще никакие UDP пакеты не прилетают на внешний интерфейс при попытке подсоединения извне. По ходу провайдер что то режет.


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Cisco VPN Client ошибка 412"  +1 +/
Сообщение от Рихардemail (ok), 13-Дек-16, 09:12 
> Оказалось, что у меня вообще никакие UDP пакеты не прилетают на внешний
> интерфейс при попытке подсоединения извне. По ходу провайдер что то режет.

Не, ерунда. Попробовал повесить на внешний интерфейс debug: debug ip udp address <my IP>, но в логах отображаются только подключения из внутренней сети, если пытаюсь стучаться на UDP из вне - все чисто. Тоже самое с ICMP.

А как тогда внешние подключения мониторить?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Cisco VPN Client ошибка 412"  +/
Сообщение от Таняemail (??), 21-Фев-18, 19:18 
Коллегии по проблеме помогите.
Перестал запускаться vpn client. Переустановка программы не помогла. Решила.что проблема с системой - переустановила винду. Вроде vpn  загрузился. Приехала домой и снова  все не работает на ноуте и сразу поняла, что проблема с инетом. Дома использую мобильный инет. Приехала на работу и поверила: поочередно переключала инет через разные провайдеры и подключала vpn client : под одним инетом все подключился, а под другим нет.
Перезвонила в тех поддержку, спросить что изменил провайдер - ответ получила, что ничего никто не менял.
Помогите, как правильно мне объяснить тех поддержке,какими терминами, что у меня блокируется (каналы,шлюзы.... Или ещё что-то), т.е правильно назвать эту проблематику.
Спс огромное


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Cisco VPN Client ошибка 412"  +/
Сообщение от Birzhan (ok), 23-Июл-18, 09:23 
>[оверквотинг удален]
> с системой - переустановила винду. Вроде vpn  загрузился. Приехала домой
> и снова  все не работает на ноуте и сразу поняла,
> что проблема с инетом. Дома использую мобильный инет. Приехала на работу
> и поверила: поочередно переключала инет через разные провайдеры и подключала vpn
> client : под одним инетом все подключился, а под другим нет.
> Перезвонила в тех поддержку, спросить что изменил провайдер - ответ получила, что
> ничего никто не менял.
> Помогите, как правильно мне объяснить тех поддержке,какими терминами, что у меня блокируется
> (каналы,шлюзы.... Или ещё что-то), т.е правильно назвать эту проблематику.
> Спс огромное

Добрый день,
Я решил проблему с 412-ой ошибкой открытием портов на роутере\модеме, для теста можно добавить компьютер в DMZ

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру