forum.opennet.ru - "Cisco 2611 + VPN + route" (11)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Cisco 2611 + VPN + route"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Cisco 2611 + VPN + route"
Сообщение от Алан Моэл on 15-Окт-03, 13:34 (MSK)
День добрый. Возникла следующая проблема: (схема) [Клиент]--(ISP1)--(WAN)--(ISP2)--195.19.204.113/114--[Cisco 2611]--195.19.205.1/2--[firewall]--[192.168.5.0] 1. Есть Cisco 2611. На внешнем интерфейсе fastethernet 0/1 (смотрящему в сторону ISP) 195.19.204.114 На внутреннем fastethernet 0/0 195.19.205.1 (из сети выданной ISP для "личных целей"). На циску заведён пул адресов для VPN соединения ip local pool vpnpool 192.168.1.100 192.168.1.250 Serial в shutdown-е, т.к. смотрит в никуда. 2. Файрвол за циской (внутрь сети относительно её): На внешнем 195.19.205.2 На внутреннем 192.168.5.1 Клиент из вне (через другую сеть или dial-up) соединяется VPN-клиентом с циской и получает адрес из пула, к примеру 192.168.1.112, DNS-ы и т.д. crypto isakmp client configuration group vpnuser key userpassword dns 192.168.5.10 192.168.5.12 domain inside.wall.spb.ru pool vpnpool Что нужно написать на циске и файрволе, чтоб 192.168.1.0 и 192.168.5.0 видели друг друга? Предполагается, что клиент должен получить доступ к внутреннему почтовому серверу (закрытому из вне) и внутреннему же www-серверу. В настоящее время VPN-соединение успешно устанавливается, но с клиентской машины не пинг, не traceroute не ходят даже на интерфейсы циски. Спасибо. З.Ы. Адреса указаны "левые".
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Cisco 2611 + VPN + route, ВОЛКА, 14:28 , 15-Окт-03, (1)
- Cisco 2611 + VPN + route, Алан Моэл, 14:32 , 15-Окт-03, (2)
  - Cisco 2611 + VPN + route, ВОЛКА, 15:29 , 15-Окт-03, (4)
    - Cisco 2611 + VPN + route, Алан Моэл, 15:36 , 15-Окт-03, (5)
      - Cisco 2611 + VPN + route, ВОЛКА, 16:02 , 15-Окт-03, (6)
        
        Cisco 2611 + VPN + route, Алан Моэл, 16:20 , 15-Окт-03, (7)
        
        Cisco 2611 + VPN + route, ВОЛКА, 16:54 , 15-Окт-03, (8)
        
        Cisco 2611 + VPN + route, Oz, 17:27 , 15-Окт-03, (9)
        Cisco 2611 + VPN + route, Алан Моэл, 12:21 , 16-Окт-03, (10)
        Cisco 2611 + VPN + route, Алан Моэл, 13:39 , 16-Окт-03, (11)
- Cisco 2611 + VPN + route, Алан Моэл, 15:06 , 15-Окт-03, (3)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Cisco 2611 + VPN + route"

Сообщение от ВОЛКА on 15-Окт-03, 14:28  (MSK)

какой ios?

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Cisco 2611 + VPN + route"

Сообщение от Алан Моэл on 15-Окт-03, 14:32  (MSK)

>какой ios?
12.2(15)T7 - c2600-ik9s-mz.122-15.T7.bin
У него глюк(?) есть, что появляются пустые access-list-ы типа:
ip access-list extended UNKNOWN
ip access-list extended dns-servers
ip access-list extended group-lock
ip access-list extended service
Просто вот никто циску не трогал, а через пол часа такая фигня. Ни на что не влияет, но вгоняет в непонятки. Или я чего-то упустил в этой жизни?

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Cisco 2611 + VPN + route"

Сообщение от ВОЛКА on 15-Окт-03, 15:29  (MSK)

да... у меня тоже было что-то похожее со списками доступа...
а у тебя статический маршрут на клиентов прописан?

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Cisco 2611 + VPN + route"

Сообщение от Алан Моэл on 15-Окт-03, 15:36  (MSK)

>да... у меня тоже было что-то похожее со списками доступа...
>
>а у тебя статический маршрут на клиентов прописан?
А каким образом, если я не знаю откуда они придут? Т.е. предполагается, что человек берёт ноут с VPN-клиентом и пилит в командировку. Там через местную локалку или dial-up цепляется к инету, запускает VPN-клиент и вперёд...
На циске есть:
ip route 192.168.5.0 255.255.255.0 195.19.205.2
чтоб циска была в курсе где 192.168.5.0 искать и она это успешно делает.
На 195.19.205.2 соответственно есть
ip route 192.168.1.0 255.255.255.0 195.19.205.1
и по traceroute уходит куда нужно. Для проверки вешал на loopback 0 ip-шник 192.168.1.1 - из 192.168.5.0 маршрут приходил на циску.
А для 192.168.1.x что писать?

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Cisco 2611 + VPN + route"

Сообщение от ВОЛКА on 15-Окт-03, 16:02  (MSK)

конфиг покажи....

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Cisco 2611 + VPN + route"

Сообщение от Алан Моэл on 15-Окт-03, 16:20  (MSK)

>конфиг покажи....
wall-gw#sh run
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname wall-gw
!
boot system flash c2600-ik9s-mz.122-15.T7.bin
logging count
logging queue-limit 100
logging buffered 10000 debugging
enable secret 5
enable password 7
!
username admin password 7
memory-size iomem 15
clock timezone GMT 3
clock summer-time PDT recurring
aaa new-model
!
!
aaa authentication login userauthen local
aaa authentication ppp userauthen local
aaa authorization network groupauthor local
aaa session-id common
ip subnet-zero
no ip source-route
ip flow-cache feature-accelerate
ip cef
!
!
no ip domain lookup
ip domain name bercut.ru
ip name-server 195.19.205.3
ip name-server 195.19.204.2
!
no ip bootp server
!
!
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group vpnuser
key userpassword
dns 192.168.5.10 192.168.5.12
domain inside.wall.spb.ru
pool vpnpool
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
mta receive maximum-recipients 0
!
!
class-map match-any http-hack
  match protocol http url "*readme.eml*"
  match protocol http url "*.ida*"
  match protocol http url "*cmd.exe*"
  match protocol http url "*root.exe*"
class-map match-any arp
  match protocol arp
!
!
policy-map ratelimitarp
  class arp
   police cir 8000 bc 1500 be 1500
     conform-action transmit
     exceed-action drop
     violate-action drop
policy-map mark-in-http-hack
  class http-hack
   set dscp 1
!
!
interface Loopback0
no ip address
!
interface FastEthernet0/0
description Bercut Internal Interface
ip address 195.19.205.1 255.255.255.0
ip access-group 103 in
ip access-group 104 out
service-policy output ratelimitarp
no ip mroute-cache
duplex auto
speed auto
crypto map clientmap
!
interface Serial0/0
ip address 195.19.204.114 255.255.255.252
ip access-group 101 in
ip access-group 102 out
service-policy input mark-in-http-hack
encapsulation ppp
no ip mroute-cache
shutdown
no fair-queue
crypto map clientmap
!
interface FastEthernet0/1
description Bercut External Interface
ip address 195.19.204.114 255.255.255.252
ip access-group 101 in
ip access-group 102 out
service-policy input mark-in-http-hack
no ip mroute-cache
duplex auto
speed auto
crypto map clientmap
!
ip local pool vpnpool 192.168.1.100 192.168.1.250
no ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 195.19.204.113
ip route 192.168.5.0 255.255.255.0 195.19.205.2
!
!
!
logging history debugging
logging trap debugging
logging facility local0
logging source-interface FastEthernet0/1
logging 195.19.205.23
access-list 2 permit 195.19.205.2
access-list 2 permit 192.168.5.0 0.0.0.255
access-list 2 deny   any
access-list 101 deny   ip host 0.0.0.0 any
access-list 101 deny   ip host 255.255.255.255 any
access-list 101 deny   ip 10.0.0.0 0.255.255.255 any
access-list 101 deny   ip 127.0.0.0 0.255.255.255 any
access-list 101 deny   ip 172.16.0.0 0.0.255.255 any
access-list 101 deny   ip 192.168.0.0 0.0.255.255 any
access-list 101 deny   ip 224.0.0.0 31.255.255.255 any
access-list 101 deny   ip 195.19.205.0 0.0.0.255 any
access-list 101 deny   ip any any dscp 1
access-list 101 deny   tcp any any eq 445
access-list 101 deny   udp any any eq 445
access-list 101 deny   udp any any eq 31337
access-list 101 deny   tcp any any range 137 139
access-list 101 deny   udp any any range netbios-ns netbios-ss
access-list 101 deny   tcp any any eq telnet
access-list 101 deny   tcp any any range exec lpd
access-list 101 deny   tcp any any eq 11
access-list 101 deny   udp any any eq tftp
access-list 101 deny   tcp any any eq 22
access-list 101 permit ip any any
access-list 101 deny   ip any any
access-list 102 permit ip 195.19.205.0 0.0.0.255 any
access-list 102 deny   ip any any
access-list 103 permit tcp host 195.19.205.2 host 195.19.205.1 eq 22
access-list 103 permit tcp host 195.19.205.7 host 195.19.205.1 eq 22
access-list 103 deny   tcp any host 195.19.205.1 eq telnet
access-list 103 deny   tcp any host 195.19.204.114 eq telnet
access-list 103 deny   tcp any host 195.19.205.1 eq 22
access-list 103 deny   tcp any host 195.19.204.114 eq 22
access-list 103 permit ip any any
access-list 103 deny   ip any any
access-list 104 deny   ip any any dscp 1
access-list 104 permit ip any any
access-list 104 deny   ip any any
!
no snmp-server enable traps tty
call rsvp-sync
!
!
mgcp profile default
!
!
dial-peer cor custom
!
!
line con 0
line aux 0
line vty 0 4
password 7
transport input telnet ssh
!
ntp clock-period 17208461
ntp server 192.43.244.18 prefer
!
end

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Cisco 2611 + VPN + route"

Сообщение от ВОЛКА on 15-Окт-03, 16:54  (MSK)

на какой адрес должны клиенты конектится?

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Cisco 2611 + VPN + route"

Сообщение от Oz on 15-Окт-03, 17:27  (MSK)

>на какой адрес должны клиенты конектится?
Ну видимо на внешний (195.19.204.114, он же FE0/1). На внутреннем VPN пока тоже терминируется, чтобы тестить коннект можно было изнутри сети.
Т.е. клиент коннектится VPN-ом на внешний интерфейс циски из откуда-то оттуда (не из локалки, а из другого города, к примеру) и должен попасть внутрь сети 192.168.5.0 ("видеть" машины и всё такое).

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Cisco 2611 + VPN + route"

Сообщение от Алан Моэл on 16-Окт-03, 12:21  (MSK)

>на какой адрес должны клиенты конектится?
Я так понимаю, что задачка нетривиальная?
Вчера проверил "из вне" (нотебук, диалап, заход с "улицы"). Пинается тот интерфейс, на котором терминируется VPN, но судя по route print пинается over dial-up, а не over VPN...
Ещё прикол в том, что в самом начале наcтроив VPN соединился удалённо и даже попал на файл-сервер в сети. А потом - фиг. И что изменилось между двумя тестами - ума не приложу...

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Cisco 2611 + VPN + route"

Сообщение от Алан Моэл on 16-Окт-03, 13:39  (MSK)

>на какой адрес должны клиенты конектится?
Усё. Снял ACL-и с внешнего интерфейса и всё заработало. =)

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Cisco 2611 + VPN + route"

Сообщение от Алан Моэл on 15-Окт-03, 15:06  (MSK)

Могу конфиг выложить.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Cisco 2611 + VPN + route"
Сообщение от ВОЛКА on 15-Окт-03, 14:28 (MSK)
какой ios?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Cisco 2611 + VPN + route"
	Сообщение от Алан Моэл on 15-Окт-03, 14:32 (MSK)
	>какой ios? 12.2(15)T7 - c2600-ik9s-mz.122-15.T7.bin У него глюк(?) есть, что появляются пустые access-list-ы типа: ip access-list extended UNKNOWN ip access-list extended dns-servers ip access-list extended group-lock ip access-list extended service Просто вот никто циску не трогал, а через пол часа такая фигня. Ни на что не влияет, но вгоняет в непонятки. Или я чего-то упустил в этой жизни?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Cisco 2611 + VPN + route"
	Сообщение от ВОЛКА on 15-Окт-03, 15:29 (MSK)
	да... у меня тоже было что-то похожее со списками доступа... а у тебя статический маршрут на клиентов прописан?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Cisco 2611 + VPN + route"
	Сообщение от Алан Моэл on 15-Окт-03, 15:36 (MSK)
	>да... у меня тоже было что-то похожее со списками доступа... > >а у тебя статический маршрут на клиентов прописан? А каким образом, если я не знаю откуда они придут? Т.е. предполагается, что человек берёт ноут с VPN-клиентом и пилит в командировку. Там через местную локалку или dial-up цепляется к инету, запускает VPN-клиент и вперёд... На циске есть: ip route 192.168.5.0 255.255.255.0 195.19.205.2 чтоб циска была в курсе где 192.168.5.0 искать и она это успешно делает. На 195.19.205.2 соответственно есть ip route 192.168.1.0 255.255.255.0 195.19.205.1 и по traceroute уходит куда нужно. Для проверки вешал на loopback 0 ip-шник 192.168.1.1 - из 192.168.5.0 маршрут приходил на циску. А для 192.168.1.x что писать?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "Cisco 2611 + VPN + route"
	Сообщение от ВОЛКА on 15-Окт-03, 16:02 (MSK)
	конфиг покажи....
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "Cisco 2611 + VPN + route"
	Сообщение от Алан Моэл on 15-Окт-03, 16:20 (MSK)
	>конфиг покажи.... wall-gw#sh run service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption ! hostname wall-gw ! boot system flash c2600-ik9s-mz.122-15.T7.bin logging count logging queue-limit 100 logging buffered 10000 debugging enable secret 5 enable password 7 ! username admin password 7 memory-size iomem 15 clock timezone GMT 3 clock summer-time PDT recurring aaa new-model ! ! aaa authentication login userauthen local aaa authentication ppp userauthen local aaa authorization network groupauthor local aaa session-id common ip subnet-zero no ip source-route ip flow-cache feature-accelerate ip cef ! ! no ip domain lookup ip domain name bercut.ru ip name-server 195.19.205.3 ip name-server 195.19.204.2 ! no ip bootp server ! ! ! crypto isakmp policy 3 encr 3des authentication pre-share group 2 ! crypto isakmp client configuration group vpnuser key userpassword dns 192.168.5.10 192.168.5.12 domain inside.wall.spb.ru pool vpnpool ! ! crypto ipsec transform-set myset esp-3des esp-sha-hmac ! crypto dynamic-map dynmap 10 set transform-set myset ! ! crypto map clientmap client authentication list userauthen crypto map clientmap isakmp authorization list groupauthor crypto map clientmap client configuration address respond crypto map clientmap 10 ipsec-isakmp dynamic dynmap ! ! no voice hpi capture buffer no voice hpi capture destination ! ! mta receive maximum-recipients 0 ! ! class-map match-any http-hack match protocol http url "readme.eml" match protocol http url ".ida" match protocol http url "cmd.exe" match protocol http url "root.exe" class-map match-any arp match protocol arp ! ! policy-map ratelimitarp class arp police cir 8000 bc 1500 be 1500 conform-action transmit exceed-action drop violate-action drop policy-map mark-in-http-hack class http-hack set dscp 1 ! ! interface Loopback0 no ip address ! interface FastEthernet0/0 description Bercut Internal Interface ip address 195.19.205.1 255.255.255.0 ip access-group 103 in ip access-group 104 out service-policy output ratelimitarp no ip mroute-cache duplex auto speed auto crypto map clientmap ! interface Serial0/0 ip address 195.19.204.114 255.255.255.252 ip access-group 101 in ip access-group 102 out service-policy input mark-in-http-hack encapsulation ppp no ip mroute-cache shutdown no fair-queue crypto map clientmap ! interface FastEthernet0/1 description Bercut External Interface ip address 195.19.204.114 255.255.255.252 ip access-group 101 in ip access-group 102 out service-policy input mark-in-http-hack no ip mroute-cache duplex auto speed auto crypto map clientmap ! ip local pool vpnpool 192.168.1.100 192.168.1.250 no ip http server no ip http secure-server ip classless ip route 0.0.0.0 0.0.0.0 195.19.204.113 ip route 192.168.5.0 255.255.255.0 195.19.205.2 ! ! ! logging history debugging logging trap debugging logging facility local0 logging source-interface FastEthernet0/1 logging 195.19.205.23 access-list 2 permit 195.19.205.2 access-list 2 permit 192.168.5.0 0.0.0.255 access-list 2 deny any access-list 101 deny ip host 0.0.0.0 any access-list 101 deny ip host 255.255.255.255 any access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 127.0.0.0 0.255.255.255 any access-list 101 deny ip 172.16.0.0 0.0.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 224.0.0.0 31.255.255.255 any access-list 101 deny ip 195.19.205.0 0.0.0.255 any access-list 101 deny ip any any dscp 1 access-list 101 deny tcp any any eq 445 access-list 101 deny udp any any eq 445 access-list 101 deny udp any any eq 31337 access-list 101 deny tcp any any range 137 139 access-list 101 deny udp any any range netbios-ns netbios-ss access-list 101 deny tcp any any eq telnet access-list 101 deny tcp any any range exec lpd access-list 101 deny tcp any any eq 11 access-list 101 deny udp any any eq tftp access-list 101 deny tcp any any eq 22 access-list 101 permit ip any any access-list 101 deny ip any any access-list 102 permit ip 195.19.205.0 0.0.0.255 any access-list 102 deny ip any any access-list 103 permit tcp host 195.19.205.2 host 195.19.205.1 eq 22 access-list 103 permit tcp host 195.19.205.7 host 195.19.205.1 eq 22 access-list 103 deny tcp any host 195.19.205.1 eq telnet access-list 103 deny tcp any host 195.19.204.114 eq telnet access-list 103 deny tcp any host 195.19.205.1 eq 22 access-list 103 deny tcp any host 195.19.204.114 eq 22 access-list 103 permit ip any any access-list 103 deny ip any any access-list 104 deny ip any any dscp 1 access-list 104 permit ip any any access-list 104 deny ip any any ! no snmp-server enable traps tty call rsvp-sync ! ! mgcp profile default ! ! dial-peer cor custom ! ! line con 0 line aux 0 line vty 0 4 password 7 transport input telnet ssh ! ntp clock-period 17208461 ntp server 192.43.244.18 prefer ! end
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "Cisco 2611 + VPN + route"
	Сообщение от ВОЛКА on 15-Окт-03, 16:54 (MSK)
	на какой адрес должны клиенты конектится?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "Cisco 2611 + VPN + route"
	Сообщение от Oz on 15-Окт-03, 17:27 (MSK)
	>на какой адрес должны клиенты конектится? Ну видимо на внешний (195.19.204.114, он же FE0/1). На внутреннем VPN пока тоже терминируется, чтобы тестить коннект можно было изнутри сети. Т.е. клиент коннектится VPN-ом на внешний интерфейс циски из откуда-то оттуда (не из локалки, а из другого города, к примеру) и должен попасть внутрь сети 192.168.5.0 ("видеть" машины и всё такое).
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "Cisco 2611 + VPN + route"
	Сообщение от Алан Моэл on 16-Окт-03, 12:21 (MSK)
	>на какой адрес должны клиенты конектится? Я так понимаю, что задачка нетривиальная? Вчера проверил "из вне" (нотебук, диалап, заход с "улицы"). Пинается тот интерфейс, на котором терминируется VPN, но судя по route print пинается over dial-up, а не over VPN... Ещё прикол в том, что в самом начале наcтроив VPN соединился удалённо и даже попал на файл-сервер в сети. А потом - фиг. И что изменилось между двумя тестами - ума не приложу...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "Cisco 2611 + VPN + route"
	Сообщение от Алан Моэл on 16-Окт-03, 13:39 (MSK)
	>на какой адрес должны клиенты конектится? Усё. Снял ACL-и с внешнего интерфейса и всё заработало. =)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Cisco 2611 + VPN + route"
	Сообщение от Алан Моэл on 15-Окт-03, 15:06 (MSK)
	Могу конфиг выложить.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх