отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

PPTP VPN на 2811

Есть устройство в небольшом офисе в качестве голосового шлюза и шлюза в инет через DSL модуль. Кроме того настроен VPDN по PPTP. Все нормально, все работает. Появился еще один линк к заказчику (через FastEthernet)и настроили доступ к их сети через NAT. Эта часть тоже работает.

Не работает VPN от заказчика. Из инета подключается, а от заказчика нет, на клиенте обычная винда.

Скажите, что не так со вторым интерфейсом?

Вот настройки VPDN и интерфейсов.


vpdn enable

!

vpdn-group VPN-users

! Default PPTP VPDN group

  accept-dialin

    protocol pptp

    virtual-template 20


interface FastEthernet0/1

  description Zakazchik

  ip address 192.168.146.250 255.255.255.0

  ip nat outside

  ip virtual-reassembly

  duplex auto

  speed auto


interface ATM0/1/0.1 point-to-point

  description Internet

  bandwidth 2048

  ip address x.x.x.x 255.255.255.252

  ip access-group 104 in

  ip nbar protocol-discovery

  ip nat outside

  ip virtual-reassembly

  atm route-bridged ip

  service-policy input block_p2p

  pvc 0/40


interface Virtual-Template20

  description VPN-users

  ip dhcp relay information trusted

  ip unnumbered FastEthernet0/0

  ip nat inside

  ip virtual-reassembly

  peer ip address forced

  peer default ip address pool VPN

  keepalive 30

  ppp encrypt mppe auto passive stateful

  ppp authentication ms-chap-v2


Заранее спасибо.

13 ОТВЕТ.

PPTP VPN на 2811

Олег, не лишним будет привести здесь конфигурацию интерфейса F0/0 и NAT, маршрутизацию и настройки пула.

New Member

PPTP VPN на 2811

Спасибо Евгений за готовность помочь.

Вот дополнительная информация из конфигурации:

interface FastEthernet0/0

description Inside

ip address 192.168.205.1 255.255.255.0

ip access-group 103 in

ip accounting output-packets

ip nbar protocol-discovery

ip nat inside

ip virtual-reassembly

ip route-cache same-interface

duplex auto

speed auto

service-policy input block_p2p

ip local pool VPN 192.168.205.110 192.168.205.120

ip forward-protocol nd

ip route 0.0.0.0 0.0.0.0 x.x.x.13

ip route 192.168.147.0 255.255.255.0 192.168.146.1

ip route 192.168.149.0 255.255.255.0 192.168.146.1

ip route 192.168.156.0 255.255.255.0 192.168.146.1

!

!

ip nat inside source list 100 interface FastEthernet0/1 overload

ip nat inside source list 101 interface ATM0/1/0.1 overload

access-list 100 permit ip any 192.168.146.0 0.0.0.255

access-list 100 permit ip any 192.168.147.0 0.0.0.255

access-list 100 permit ip any 192.168.149.0 0.0.0.255

access-list 100 permit ip any 192.168.156.0 0.0.0.255

access-list 101 permit ip 192.168.205.0 0.0.0.255 any

access-list 103 permit tcp host 192.168.205.7 any eq smtp

access-list 103 permit tcp host 192.168.205.7 any eq 465

access-list 103 deny   tcp any any eq 465

access-list 103 deny   tcp any any eq smtp

access-list 103 permit ip any any

PPTP VPN на 2811

Какой номер ошибки windows возникает у заказщика при подключении?

New Member

PPTP VPN на 2811

Номер ошибки 807: "Сетевое подключение компьютера к серверу виртеальной частной сети прервано."

В качестве клиента используется стандартный клиент MS Windows 2008 R2.

PPTP VPN на 2811

С других клиентов пробовали? Неплохо было бы также debug ppp auth и debug ppp neg включить и посмотреть.

New Member

PPTP VPN на 2811

Что Вы подразумеваете под "другими клиентами"? Пробовали из MS Windows 7, результат тот же. Дебаги ничего не показывают, причем не только те что Вы прредложили, но и многие другие касаемые VPDN. Хочу обратить внимание, что при прочих равных условиях на внешний "белый" адрес все прекрасно работает.

PPTP VPN на 2811

Что значит "ничего не показывают"? Вы вообще видите какие-либо сообщения? logging buffered включен? term mon?

New Member

PPTP VPN на 2811

Никаких сообщений не выводится при попытке подключения через интерфейс заказчика, а вот если подключаться через инетовскую сеть, то логов куча. Т.е. с включением loggin buffered проблем нет.

PPTP VPN на 2811

Тогда давайте начнем проверку с самого начала.

Проходит ли от заказчика соединение на порт tcp 1723 вашего интерфейса?

Идет ли ping?

New Member

PPTP VPN на 2811

Пинг проходит без проблем, а вот с портом 1723 следующее:

если включить "debug ip tcp packet port 1723 in" то выходит -

.Apr 23 11:31:10: tcp0: I LISTEN 192.168.147.153:50498 192.168.146.250:1723 seq 726392257

        OPTS 12 SYN  WIN 8192

.Apr 23 11:31:13: tcp0: I SYNRCVD 192.168.147.153:50498 192.168.146.250:1723 seq 726392257

        OPTS 12 SYN  WIN 8192

.Apr 23 11:31:13: TCP0: bad seg from 192.168.147.153 -- bad sequence number: port 1723 seq 726392257 ack 0 rcvnxt 726392258 rcvwnd 4128 len 0

.Apr 23 11:31:19: tcp0: I SYNRCVD 192.168.147.153:50498 192.168.146.250:1723 seq 726392257

        OPTS 8 SYN  WIN 8192

.Apr 23 11:31:19: TCP0: bad seg from 192.168.147.153 -- bad sequence number: port 1723 seq 726392257 ack 0 rcvnxt 726392258 rcvwnd 4128 len 0

PPTP VPN на 2811

Может у заказчика есть какой-то файрволл на пути следования трафика? Если да, можно попробовать на нем включить инсмпекцию pptp и выключить randimize sequence number, используется NAT. м.б. поможет, хотя это чисто интуитивное предположение.

New Member

PPTP VPN на 2811

На счет фильтрации трафика у заказчика, мысль была. Сильно поковыряться в чужой сети на дают, и чтобы обойти это момент попробовал поставить комп с клиентом VPN в тойже сети что и искомый интерфейс. Результат тот же:

Apr 25 10:19:05: tcp0: I LISTEN 192.168.146.152:49157 192.168.146.250:1723 seq 732348357

        OPTS 12 SYN  WIN 8192

.Apr 25 10:19:08: tcp0: I SYNRCVD 192.168.146.152:49157 192.168.146.250:1723 seq 732348357

        OPTS 12 SYN  WIN 8192

.Apr 25 10:19:08: TCP0: bad seg from 192.168.146.152 -- bad sequence number: port 1723 seq 732348357 ack 0 rcvnxt 732348358 rcvwnd 4128 len 0

.Apr 25 10:19:14: tcp0: I SYNRCVD 192.168.146.152:49157 192.168.146.250:1723 seq 732348357

        OPTS 8 SYN  WIN 8192

.Apr 25 10:19:14: TCP0: bad seg from 192.168.146.152 -- bad sequence number: port 1723 seq 732348357 ack 0 rcvnxt 732348358 rcvwnd 4128 len 0

New Member

PPTP VPN на 2811

Если убрать с  интерфейса  FastEthernet0/1 то что он внешний (nat outside) , все прекрасно работает.

Но мне так не подходит...

1277
Просмотры
0
Полезный материал
13
Ответы