The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Cisco 2611 + VPN + route"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Cisco 2611 + VPN + route" 
Сообщение от Алан Моэл emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 15-Окт-03, 13:34  (MSK)
День добрый.

Возникла следующая проблема:

(схема)
[Клиент]--(ISP1)--(WAN)--(ISP2)--195.19.204.113/114--[Cisco 2611]--195.19.205.1/2--[firewall]--[192.168.5.0]

1. Есть Cisco 2611.
На внешнем интерфейсе fastethernet 0/1 (смотрящему в сторону ISP) 195.19.204.114
На внутреннем fastethernet 0/0 195.19.205.1 (из сети выданной ISP для "личных целей").
На циску заведён пул адресов для VPN соединения
ip local pool vpnpool 192.168.1.100 192.168.1.250
Serial в shutdown-е, т.к. смотрит в никуда.

2. Файрвол за циской (внутрь сети относительно её):
На внешнем 195.19.205.2
На внутреннем 192.168.5.1

Клиент из вне (через другую сеть или dial-up) соединяется VPN-клиентом с циской и получает адрес из пула, к примеру 192.168.1.112, DNS-ы и т.д.

crypto isakmp client configuration group vpnuser
key userpassword
dns 192.168.5.10 192.168.5.12
domain inside.wall.spb.ru
pool vpnpool

Что нужно написать на циске и файрволе, чтоб 192.168.1.0 и 192.168.5.0 видели друг друга? Предполагается, что клиент должен получить доступ к внутреннему почтовому серверу (закрытому из вне) и внутреннему же www-серверу. В настоящее время VPN-соединение успешно устанавливается, но с клиентской машины не пинг, не traceroute не ходят даже на интерфейсы циски.

Спасибо.

З.Ы. Адреса указаны "левые".

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Cisco 2611 + VPN + route" 
Сообщение от ВОЛКА emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 15-Окт-03, 14:28  (MSK)
какой ios?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Cisco 2611 + VPN + route" 
Сообщение от Алан Моэл emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 15-Окт-03, 14:32  (MSK)
>какой ios?
12.2(15)T7 - c2600-ik9s-mz.122-15.T7.bin

У него глюк(?) есть, что появляются пустые access-list-ы типа:
ip access-list extended UNKNOWN
ip access-list extended dns-servers
ip access-list extended group-lock
ip access-list extended service

Просто вот никто циску не трогал, а через пол часа такая фигня. Ни на что не влияет, но вгоняет в непонятки. Или я чего-то упустил в этой жизни?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Cisco 2611 + VPN + route" 
Сообщение от ВОЛКА emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 15-Окт-03, 15:29  (MSK)
да... у меня тоже было что-то похожее со списками доступа...

а у тебя статический маршрут на клиентов прописан?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Cisco 2611 + VPN + route" 
Сообщение от Алан Моэл emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 15-Окт-03, 15:36  (MSK)
>да... у меня тоже было что-то похожее со списками доступа...
>
>а у тебя статический маршрут на клиентов прописан?

А каким образом, если я не знаю откуда они придут? Т.е. предполагается, что человек берёт ноут с VPN-клиентом и пилит в командировку. Там через местную локалку или dial-up цепляется к инету, запускает VPN-клиент и вперёд...

На циске есть:
ip route 192.168.5.0 255.255.255.0 195.19.205.2
чтоб циска была в курсе где 192.168.5.0 искать и она это успешно делает.
На 195.19.205.2 соответственно есть
ip route 192.168.1.0 255.255.255.0 195.19.205.1
и по traceroute уходит куда нужно. Для проверки вешал на loopback 0 ip-шник 192.168.1.1 - из 192.168.5.0 маршрут приходил на циску.

А для 192.168.1.x что писать?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Cisco 2611 + VPN + route" 
Сообщение от ВОЛКА emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 15-Окт-03, 16:02  (MSK)
конфиг покажи....
  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Cisco 2611 + VPN + route" 
Сообщение от Алан Моэл emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 15-Окт-03, 16:20  (MSK)
>конфиг покажи....
wall-gw#sh run
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname wall-gw
!
boot system flash c2600-ik9s-mz.122-15.T7.bin
logging count
logging queue-limit 100
logging buffered 10000 debugging
enable secret 5
enable password 7
!
username admin password 7
memory-size iomem 15
clock timezone GMT 3
clock summer-time PDT recurring
aaa new-model
!
!
aaa authentication login userauthen local
aaa authentication ppp userauthen local
aaa authorization network groupauthor local
aaa session-id common
ip subnet-zero
no ip source-route
ip flow-cache feature-accelerate
ip cef
!
!
no ip domain lookup
ip domain name bercut.ru
ip name-server 195.19.205.3
ip name-server 195.19.204.2
!
no ip bootp server
!
!
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group vpnuser
key userpassword
dns 192.168.5.10 192.168.5.12
domain inside.wall.spb.ru
pool vpnpool
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
mta receive maximum-recipients 0
!
!
class-map match-any http-hack
  match protocol http url "*readme.eml*"
  match protocol http url "*.ida*"
  match protocol http url "*cmd.exe*"
  match protocol http url "*root.exe*"
class-map match-any arp
  match protocol arp
!
!
policy-map ratelimitarp
  class arp
   police cir 8000 bc 1500 be 1500
     conform-action transmit
     exceed-action drop
     violate-action drop
policy-map mark-in-http-hack
  class http-hack
   set dscp 1
!
!
interface Loopback0
no ip address
!
interface FastEthernet0/0
description Bercut Internal Interface
ip address 195.19.205.1 255.255.255.0
ip access-group 103 in
ip access-group 104 out
service-policy output ratelimitarp
no ip mroute-cache
duplex auto
speed auto
crypto map clientmap
!
interface Serial0/0
ip address 195.19.204.114 255.255.255.252
ip access-group 101 in
ip access-group 102 out
service-policy input mark-in-http-hack
encapsulation ppp
no ip mroute-cache
shutdown
no fair-queue
crypto map clientmap
!
interface FastEthernet0/1
description Bercut External Interface
ip address 195.19.204.114 255.255.255.252
ip access-group 101 in
ip access-group 102 out
service-policy input mark-in-http-hack
no ip mroute-cache
duplex auto
speed auto
crypto map clientmap
!        
ip local pool vpnpool 192.168.1.100 192.168.1.250
no ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 195.19.204.113
ip route 192.168.5.0 255.255.255.0 195.19.205.2
!
!
!
logging history debugging
logging trap debugging
logging facility local0
logging source-interface FastEthernet0/1
logging 195.19.205.23
access-list 2 permit 195.19.205.2
access-list 2 permit 192.168.5.0 0.0.0.255
access-list 2 deny   any
access-list 101 deny   ip host 0.0.0.0 any
access-list 101 deny   ip host 255.255.255.255 any
access-list 101 deny   ip 10.0.0.0 0.255.255.255 any
access-list 101 deny   ip 127.0.0.0 0.255.255.255 any
access-list 101 deny   ip 172.16.0.0 0.0.255.255 any
access-list 101 deny   ip 192.168.0.0 0.0.255.255 any
access-list 101 deny   ip 224.0.0.0 31.255.255.255 any
access-list 101 deny   ip 195.19.205.0 0.0.0.255 any
access-list 101 deny   ip any any dscp 1
access-list 101 deny   tcp any any eq 445
access-list 101 deny   udp any any eq 445
access-list 101 deny   udp any any eq 31337
access-list 101 deny   tcp any any range 137 139
access-list 101 deny   udp any any range netbios-ns netbios-ss
access-list 101 deny   tcp any any eq telnet
access-list 101 deny   tcp any any range exec lpd
access-list 101 deny   tcp any any eq 11
access-list 101 deny   udp any any eq tftp
access-list 101 deny   tcp any any eq 22
access-list 101 permit ip any any
access-list 101 deny   ip any any
access-list 102 permit ip 195.19.205.0 0.0.0.255 any
access-list 102 deny   ip any any
access-list 103 permit tcp host 195.19.205.2 host 195.19.205.1 eq 22
access-list 103 permit tcp host 195.19.205.7 host 195.19.205.1 eq 22
access-list 103 deny   tcp any host 195.19.205.1 eq telnet
access-list 103 deny   tcp any host 195.19.204.114 eq telnet
access-list 103 deny   tcp any host 195.19.205.1 eq 22
access-list 103 deny   tcp any host 195.19.204.114 eq 22
access-list 103 permit ip any any
access-list 103 deny   ip any any
access-list 104 deny   ip any any dscp 1
access-list 104 permit ip any any
access-list 104 deny   ip any any
!
no snmp-server enable traps tty
call rsvp-sync
!
!
mgcp profile default
!
!
dial-peer cor custom
!
!
line con 0
line aux 0
line vty 0 4
password 7
transport input telnet ssh
!
ntp clock-period 17208461
ntp server 192.43.244.18 prefer
!
end
  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Cisco 2611 + VPN + route" 
Сообщение от ВОЛКА emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 15-Окт-03, 16:54  (MSK)
на какой адрес должны клиенты конектится?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Cisco 2611 + VPN + route" 
Сообщение от Oz emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 15-Окт-03, 17:27  (MSK)
>на какой адрес должны клиенты конектится?
Ну видимо на внешний (195.19.204.114, он же FE0/1). На внутреннем VPN пока тоже терминируется, чтобы тестить коннект можно было изнутри сети.

Т.е. клиент коннектится VPN-ом на внешний интерфейс циски из откуда-то оттуда (не из локалки, а из другого города, к примеру) и должен попасть внутрь сети 192.168.5.0 ("видеть" машины и всё такое).

  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Cisco 2611 + VPN + route" 
Сообщение от Алан Моэл emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 16-Окт-03, 12:21  (MSK)
>на какой адрес должны клиенты конектится?

Я так понимаю, что задачка нетривиальная?

Вчера проверил "из вне" (нотебук, диалап, заход с "улицы"). Пинается тот интерфейс, на котором терминируется VPN, но судя по route print пинается over dial-up, а не over VPN...

Ещё прикол в том, что в самом начале наcтроив VPN соединился удалённо и даже попал на файл-сервер в сети. А потом - фиг. И что изменилось между двумя тестами - ума не приложу...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Cisco 2611 + VPN + route" 
Сообщение от Алан Моэл emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 16-Окт-03, 13:39  (MSK)
>на какой адрес должны клиенты конектится?

Усё. Снял ACL-и с внешнего интерфейса и всё заработало. =)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Cisco 2611 + VPN + route" 
Сообщение от Алан Моэл emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 15-Окт-03, 15:06  (MSK)
Могу конфиг выложить.


  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру