Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

не идет траффик из тунеля easyvpn в тунель ipsec

Здравствуйте.

Помогите пожалуйста разобраться. Есть 3825 циска. На ней поднят easyvpn сервер. cisco vpn client конектиться и работает со всеми сетями кроме той сети которая находиться за ipsec тунелем (10.0.0.0/16) который мы назовем Tunnel1. На 3825 так же настроен vpdn pptp. Так вот трафик от ППТП клиента прекрасно идет через Tunnel1 в сеть 10,0,0,0/16. А вот траффик от cisco vpn client`a никак не хочет идти через Tunnel1 к 10,0,0,0/16. Эту проблему всязываю только с тем что сталкиваются два ipsec уже голову словал ничего не получается и других версий у меня нет.

Маскированный кофиг выглядит так:

crypto isakmp policy 3

hash md5

authentication pre-share

group 2

!

crypto isakmp xauth timeout 90

!

crypto isakmp client configuration group WWgroup

key 123

dns 172.16.17.5

pool easyVPNpool

save-password

include-local-lan

max-logins 1

netmask 255.255.255.0

crypto isakmp profile WWprofile

   match identity group WWgroup

   client authentication list vpn_xauth

   isakmp authorization list default

   client configuration address respond

   client configuration group WWgroup

   accounting default

   virtual-template 2

crypto ipsec transform-set set esp-3des esp-sha-hmac

crypto ipsec profile WWipsec

set transform-set set

set isakmp-profile WWprofile

!

interface Virtual-Template2 type tunnel

ip unnumbered GigabitEthernet0/1.10

tunnel mode ipsec ipv4

tunnel path-mtu-discovery

tunnel protection ipsec profile WWipsec

В crypto isakmp client configuration group WWgroup умышленно отсутствует acl что бы весь траффик шел через VPN.

crypto keyring dgfgdfg

  local-address xx7.20.x8x.4x

  pre-shared-key address x2.2x.2xx.192 key sfgvs

!

crypto isakmp policy 200

encr aes

authentication pre-share

group 2

lifetime 28800

crypto isakmp keepalive 10 10

crypto isakmp profile isakmp-sxsdfsdfs

   keyring dgfgdfg

   match identity address x2.2x.2xx.192 255.255.255.255

   local-address xx7.20.x8x.4x

!

crypto ipsec security-association replay window-size 128

!

crypto ipsec transform-set ipsec-cccc esp-aes esp-sha-hmac

crypto ipsec df-bit clear

crypto ipsec profile ipsec-dds

set transform-set ipsec-cccc

set pfs group2

!

!

interface Tunnel1

ip address 16x.2xx.255.x6 255.255.255.252

ip virtual-reassembly

ip tcp adjust-mss 1387

tunnel source xx7.20.x8x.4x

tunnel destination x2.2x.2xx.192

tunnel mode ipsec ipv4

tunnel protection ipsec profile ipsec-dds

ip route 10.0.0.0 255.255.0.0 Tunnel1 track 100

4 ОТВЕТ.
New Member

Re: не идет траффик из тунеля easyvpn в т

Проблема исчезла. Именно исчезла, а не решилась, так как затык был в сети 10,0,0,0/16

Но результат этой проблемы привел к следующей проблеме. И вот уже не понятно, а не проблема ли это ИОСа.

И так. Заявлено что easyVPN может раздавать ИП через dhcp. Официально это называется DHCP Client Proxy.

Так же написано что работает это начиная с 12.4(9)T. В наличии 12.4(13r)T11. И что-то не работает. Убрал все другие способы получаения ИП. Поставил только DHCP Client Proxy. Включил дебаг debup ip dhcp server packet. В итоге ВПН не конектится в логах сообщение что не может получить ИП. Дебаг ДХЦП чист как высокогорная альпийская роса. Сейчас хочу провести эксперинт целью которого увидеть как будет уживаться вместе один и тот же пул адресов в ДХЦП (172.16.5.0/24) и в ip local pool easyVPNpool 172.16.5.2 172.16.5.254. Очень надеюсь на богатейший опыт и внеземную интуицию инженеров циско. О результах опишусь даже если это никому не интересно

New Member

Re: не идет траффик из тунеля easyvpn в т

результат эксперимента следующий. Не работает. ДХЦП и пул не согласовывают выдачу ИП из-за чего выдаются одинаковые ИП. Резлуьтат предсказуемый, но надежда умирает последней.

Может есть еще какие-то лазейки?

Re: не идет траффик из тунеля easyvpn в т

А вы helper адрес указали? ( В группе не видно этого)  Хотя у вас DHCP сервер - сам роутер.  DHCP Client Proxy - это для внешнего DHCP. А как оно будет работать когда он сам себе режисер, тут надо проверять. Может быть сыровато вполне.

New Member

Re: не идет траффик из тунеля easyvpn в т

в документации написано:

1. enable

2. configure terminal

3. crypto isakmp client configuration group group-name

4. dhcp server {ip-address | hostname}

5. dhcp timeout time

6. dhcp giaddr scope

именно эти команды я и применял.

520
Просмотры
0
Полезный материал
4
Ответы
СоздатьДля создания публикации, пожалуйста в систему