форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

"VPN туннель между cisco 1841  и zyxel usg 50"	+/–
Сообщение от av8104 (ok) on 07-Июн-12, 17:50
Добрый день. Настраиваю VPN IPSec  туннель между маршрутизатором cisco 1841 и zyxel usg 50. Туннель устанавливается без ошибок, пакеты шифруются. Проверяю на cisco ping 10.0.3.1(адрес zyxel usg 50) so 10.0.1.1 (адрес cisco 1841) хост 10.0.3.1 доступен. Однако, если пинговать ping 10.0.3.1 то хост 10.0.3.1 не доступен. В чем может быть дело? Cisco 1841 version 12.4 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption service sequence-numbers no service dhcp ! hostname Router1 ! boot-start-marker boot-end-marker ! no aaa new-model ! resource policy vpdn enable ! ! ! username admin password 0 1234 ! ! ! crypto isakmp policy 10 authentication pre-share group 5 crypto isakmp key pass address 1.1.1.1 ! ! crypto ipsec transform-set vpn esp-des esp-sha-hmac ! crypto ipsec profile vpn set security-association lifetime seconds 300 set transform-set vpn ! ! crypto map Office 10 ipsec-isakmp set peer 1.1.1.1 set transform-set vpn match address VPNtoOffice ! ! ! interface FastEthernet0/0 no ip address duplex auto speed auto ! interface FastEthernet0/0.2 encapsulation dot1Q 10 native ip address 192.168.250.1 255.255.255.0 ip access-group Lan1 in no ip redirects no ip unreachables no ip proxy-arp ip accounting output-packets ip inspect INS in ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 ip policy route-map INET no snmp trap link-status no cdp enable ! interface FastEthernet0/0.3 encapsulation dot1Q 2 ip address 10.0.1.1 255.255.255.0 no snmp trap link-status no cdp enable ! interface FastEthernet0/1 no ip address ip mtu 1492 duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 10 interface Dialer1 ip address negotiated ip access-group Inet1 in no ip redirects no ip unreachables no ip proxy-arp ip mtu 1492 ip inspect INET in ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 10 no cdp enable ppp authentication chap callin ppp chap hostname userpppoe ppp chap password 0 passppoe ppp ipcp dns request crypto map Office ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 172.16.0.0 255.240.0.0 Null0 ! ! no ip http server no ip http secure-server ip nat inside source route-map ISP1 interface Dialer1 overload ! ip access-list standard Nat permit 192.168.0.0 0.0.255.255 ! ip access-list extended Inet1 permit icmp any any permit ip host 1.1.1.1 host 1.1.1.2 ip access-list extended Lan1 permit icmp any any permit ip host 192.168.250.2 host 192.168.250.1 permit ip host 192.168.250.2 any ip access-list extended Locals permit ip any 192.168.0.0 0.0.255.255 ip access-list extended VPNtoOffice permit ip 10.0.1.0 0.0.0.255 10.0.3.0 0.0.0.255 permit ip 10.0.3.0 0.0.0.255 10.0.1.0 0.0.0.255 ! snmp-server community public RO no cdp run route-map INET deny 5 match ip address Locals ! route-map ISP1 permit 10 match ip address Nat match interface Dialer1 ! ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 exec-timeout 0 0 login local ! end
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "VPN туннель между cisco 1841  и zyxel usg 50"	+/–
Сообщение от Николай_kv (ok) on 07-Июн-12, 18:25
Дело, однако, в том что циска подставляет в качестве сорса, по-умолчанию, ИП который ближе всего к дестенейшину т.е. ИП Dialer1 ну а делее по смылу... о как однако :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "VPN туннель между cisco 1841  и zyxel usg 50"	+/–
	Сообщение от av8104 (ok) on 08-Июн-12, 08:52
	> Дело, однако, в том что циска подставляет в качестве сорса, по-умолчанию, ИП > который ближе всего к дестенейшину т.е. ИП Dialer1 ну а делее > по смылу... о как однако :) Ясно,однако :) Спасибо за информацию.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "VPN туннель между cisco 1841  и zyxel usg 50"	+/–
	Сообщение от av8104 (ok) on 08-Июн-12, 14:32
	Все же немного не понятно каким образом получить  доступ из подсети 192.168.250.0/24 к подсети 10.0.3.0/24.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	4. "VPN туннель между cisco 1841  и zyxel usg 50"	+/–
	Сообщение от Николай_kv (ok) on 08-Июн-12, 17:00
	> Все же немного не понятно каким образом получить  доступ из подсети > 192.168.250.0/24 > к подсети 10.0.3.0/24. ip access-list extended VPNtoOffice permit ip 10.0.1.0 0.0.0.255 10.0.3.0 0.0.0.255 permit ip 10.0.3.0 0.0.0.255 10.0.1.0 0.0.0.255 ! эта строка необязательна на циске достаточно указать интересны трафик откуда -> куда, а вот для Win-реализации надо указывать в 2 направления, как на зухеле незнаю И надо добавить еще одну запись в ацл VPNtoOffice permit ip 192.168.250.0 0.0.0.255 10.0.3.0 0.0.0.255 и на зухеле соответственно Комманда для дебага sh ip crypto sess двоечник :)
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "VPN туннель между cisco 1841  и zyxel usg 50"	+/–
	Сообщение от av8104 (ok) on 08-Июн-12, 17:59
	> Комманда для дебага sh ip crypto sess > двоечник :) Про команды дебага впн  я в курсе :) > И надо добавить еще одну запись в ацл VPNtoOffice > permit ip 192.168.250.0 0.0.0.255 10.0.3.0 0.0.0.255 > и на зухеле соответственно К сожалению это не помогло. Это правило не срабатывает: Extended IP access list VPNtoOffice     10 permit ip 10.0.1.0 0.0.0.255 10.0.3.0 0.0.0.255 (20 matches)     20 permit ip 192.168.250.0 0.0.0.255 10.0.3.0 0.0.0.255
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "VPN туннель между cisco 1841  и zyxel usg 50"	+/–
	Сообщение от Николай_kv (ok) on 11-Июн-12, 11:05
	>[оверквотинг удален] >> двоечник :) > Про команды дебага впн  я в курсе :) >> И надо добавить еще одну запись в ацл VPNtoOffice >> permit ip 192.168.250.0 0.0.0.255 10.0.3.0 0.0.0.255 >> и на зухеле соответственно > К сожалению это не помогло. Это правило не срабатывает: > Extended IP access list VPNtoOffice >     10 permit ip 10.0.1.0 0.0.0.255 10.0.3.0 0.0.0.255 (20 > matches) >     20 permit ip 192.168.250.0 0.0.0.255 10.0.3.0 0.0.0.255 Ну что дебажь тогда. 1. на всякий случа й перепиши ацл Nat ip access-list ext Nat deny ip 192.168.0.0 0.0.255.255 10.0.3.0 0.0.0.255 permit ip 192.168.0.0 0.0.255.255 any 2. Покажи что в дебаге sh crypto session det меня интересуют эти строчки         Inbound:  #pkts dec'ed 37405 drop 0 life (KB/Sec) 4464207/1012         Outbound: #pkts enc'ed 41382 drop 0 life (KB/Sec) 4463951/1012 т.е. трафик твой вообще криптуеться. неплохо было бы на весь конфиг еще раз взглянуть.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема