PPTP VPN на 2811

Unanswered Question
Apr 4th, 2012

Есть устройство в небольшом офисе в качестве голосового шлюза и шлюза в инет через DSL модуль. Кроме того настроен VPDN по PPTP. Все нормально, все работает. Появился еще один линк к заказчику (через FastEthernet)и настроили доступ к их сети через NAT. Эта часть тоже работает.

Не работает VPN от заказчика. Из инета подключается, а от заказчика нет, на клиенте обычная винда.

Скажите, что не так со вторым интерфейсом?

Вот настройки VPDN и интерфейсов.


vpdn enable

!

vpdn-group VPN-users

! Default PPTP VPDN group

  accept-dialin

    protocol pptp

    virtual-template 20


interface FastEthernet0/1

  description Zakazchik

  ip address 192.168.146.250 255.255.255.0

  ip nat outside

  ip virtual-reassembly

  duplex auto

  speed auto


interface ATM0/1/0.1 point-to-point

  description Internet

  bandwidth 2048

  ip address x.x.x.x 255.255.255.252

  ip access-group 104 in

  ip nbar protocol-discovery

  ip nat outside

  ip virtual-reassembly

  atm route-bridged ip

  service-policy input block_p2p

  pvc 0/40


interface Virtual-Template20

  description VPN-users

  ip dhcp relay information trusted

  ip unnumbered FastEthernet0/0

  ip nat inside

  ip virtual-reassembly

  peer ip address forced

  peer default ip address pool VPN

  keepalive 30

  ppp encrypt mppe auto passive stateful

  ppp authentication ms-chap-v2


Заранее спасибо.

I have this problem too.
0 votes
  • 1
  • 2
  • 3
  • 4
  • 5
Average Rating: 0 (0 ratings)
Eugene Khabarov Tue, 04/17/2012 - 05:01

Олег, не лишним будет привести здесь конфигурацию интерфейса F0/0 и NAT, маршрутизацию и настройки пула.

CSCO11219196 Tue, 04/17/2012 - 20:12

Спасибо Евгений за готовность помочь.

Вот дополнительная информация из конфигурации:

interface FastEthernet0/0

description Inside

ip address 192.168.205.1 255.255.255.0

ip access-group 103 in

ip accounting output-packets

ip nbar protocol-discovery

ip nat inside

ip virtual-reassembly

ip route-cache same-interface

duplex auto

speed auto

service-policy input block_p2p

ip local pool VPN 192.168.205.110 192.168.205.120

ip forward-protocol nd

ip route 0.0.0.0 0.0.0.0 x.x.x.13

ip route 192.168.147.0 255.255.255.0 192.168.146.1

ip route 192.168.149.0 255.255.255.0 192.168.146.1

ip route 192.168.156.0 255.255.255.0 192.168.146.1

!

!

ip nat inside source list 100 interface FastEthernet0/1 overload

ip nat inside source list 101 interface ATM0/1/0.1 overload

access-list 100 permit ip any 192.168.146.0 0.0.0.255

access-list 100 permit ip any 192.168.147.0 0.0.0.255

access-list 100 permit ip any 192.168.149.0 0.0.0.255

access-list 100 permit ip any 192.168.156.0 0.0.0.255

access-list 101 permit ip 192.168.205.0 0.0.0.255 any

access-list 103 permit tcp host 192.168.205.7 any eq smtp

access-list 103 permit tcp host 192.168.205.7 any eq 465

access-list 103 deny   tcp any any eq 465

access-list 103 deny   tcp any any eq smtp

access-list 103 permit ip any any

Eugene Khabarov Wed, 04/18/2012 - 05:56

Какой номер ошибки windows возникает у заказщика при подключении?

CSCO11219196 Wed, 04/18/2012 - 20:26

Номер ошибки 807: "Сетевое подключение компьютера к серверу виртеальной частной сети прервано."

В качестве клиента используется стандартный клиент MS Windows 2008 R2.

Eugene Khabarov Thu, 04/19/2012 - 04:43

С других клиентов пробовали? Неплохо было бы также debug ppp auth и debug ppp neg включить и посмотреть.

CSCO11219196 Thu, 04/19/2012 - 05:11

Что Вы подразумеваете под "другими клиентами"? Пробовали из MS Windows 7, результат тот же. Дебаги ничего не показывают, причем не только те что Вы прредложили, но и многие другие касаемые VPDN. Хочу обратить внимание, что при прочих равных условиях на внешний "белый" адрес все прекрасно работает.

Eugene Khabarov Thu, 04/19/2012 - 23:19

Что значит "ничего не показывают"? Вы вообще видите какие-либо сообщения? logging buffered включен? term mon?

CSCO11219196 Fri, 04/20/2012 - 04:47

Никаких сообщений не выводится при попытке подключения через интерфейс заказчика, а вот если подключаться через инетовскую сеть, то логов куча. Т.е. с включением loggin buffered проблем нет.

Eugene Khabarov Fri, 04/20/2012 - 04:51

Тогда давайте начнем проверку с самого начала.

Проходит ли от заказчика соединение на порт tcp 1723 вашего интерфейса?

Идет ли ping?

CSCO11219196 Sun, 04/22/2012 - 22:33

Пинг проходит без проблем, а вот с портом 1723 следующее:

если включить "debug ip tcp packet port 1723 in" то выходит -

.Apr 23 11:31:10: tcp0: I LISTEN 192.168.147.153:50498 192.168.146.250:1723 seq 726392257

        OPTS 12 SYN  WIN 8192

.Apr 23 11:31:13: tcp0: I SYNRCVD 192.168.147.153:50498 192.168.146.250:1723 seq 726392257

        OPTS 12 SYN  WIN 8192

.Apr 23 11:31:13: TCP0: bad seg from 192.168.147.153 -- bad sequence number: port 1723 seq 726392257 ack 0 rcvnxt 726392258 rcvwnd 4128 len 0

.Apr 23 11:31:19: tcp0: I SYNRCVD 192.168.147.153:50498 192.168.146.250:1723 seq 726392257

        OPTS 8 SYN  WIN 8192

.Apr 23 11:31:19: TCP0: bad seg from 192.168.147.153 -- bad sequence number: port 1723 seq 726392257 ack 0 rcvnxt 726392258 rcvwnd 4128 len 0

Eugene Khabarov Mon, 04/23/2012 - 23:05

Может у заказчика есть какой-то файрволл на пути следования трафика? Если да, можно попробовать на нем включить инсмпекцию pptp и выключить randimize sequence number, используется NAT. м.б. поможет, хотя это чисто интуитивное предположение.

CSCO11219196 Tue, 04/24/2012 - 21:23

На счет фильтрации трафика у заказчика, мысль была. Сильно поковыряться в чужой сети на дают, и чтобы обойти это момент попробовал поставить комп с клиентом VPN в тойже сети что и искомый интерфейс. Результат тот же:

Apr 25 10:19:05: tcp0: I LISTEN 192.168.146.152:49157 192.168.146.250:1723 seq 732348357

        OPTS 12 SYN  WIN 8192

.Apr 25 10:19:08: tcp0: I SYNRCVD 192.168.146.152:49157 192.168.146.250:1723 seq 732348357

        OPTS 12 SYN  WIN 8192

.Apr 25 10:19:08: TCP0: bad seg from 192.168.146.152 -- bad sequence number: port 1723 seq 732348357 ack 0 rcvnxt 732348358 rcvwnd 4128 len 0

.Apr 25 10:19:14: tcp0: I SYNRCVD 192.168.146.152:49157 192.168.146.250:1723 seq 732348357

        OPTS 8 SYN  WIN 8192

.Apr 25 10:19:14: TCP0: bad seg from 192.168.146.152 -- bad sequence number: port 1723 seq 732348357 ack 0 rcvnxt 732348358 rcvwnd 4128 len 0

CSCO11219196 Fri, 04/27/2012 - 23:35

Если убрать с  интерфейса  FastEthernet0/1 то что он внешний (nat outside) , все прекрасно работает.

Но мне так не подходит...

Actions

Login or Register to take actions

This Discussion

Posted April 4, 2012 at 2:12 AM
Stats:
Replies:13 Avg. Rating:
Views:1156 Votes:0
Shares:0
Tags: No tags.

Discussions Leaderboard