отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

cisco ipsec vpn не видиит внутренюю сеть

настраиваю cisco ipsec vpn на устройстве cisco 1841 при подключение клиента не вижу внутренних ресурсов

aaa new-model

aaa authentication login USER-AUTH local

aaa authorization network GROUP-AUTH local

ip local pool VPN-POOL 172.16.2.1 172.16.2.50

crypto isakmp policy 10

hash md5

authentication pre-share

group 2

crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac

access-list 110 permit ip 10.0.6.0 0.0.0.255 any

crypto isakmp client configuration group RA-VPN-GROUP

key pass

pool VPN-POOL

acl 110

crypto isakmp profile VPN-CLIENT

   match identity group RA-VPN-GROUP

   client authentication list USER-AUTH

   isakmp authorization list GROUP-AUTH

   client configuration address respond

crypto dynamic-map DYNMAP 10

set transform-set 3DES-MD5

set isakmp-profile VPN-CLIENT

reverse-route

crypto map DMAP 1 ipsec-isakmp dynamic DYNMAP

interface FastEthernet0/0/0

ip address 91.216.x.x 255.255.255.0

ip dns view-group 8.8.8.8

ip nat outside

ip virtual-reassembly in

duplex auto

speed auto

no mop enabled

crypto map DMAP

interface FastEthernet0/1

description $ES_LAN$

ip address 172.16.0.20 255.255.0.0

no ip redirects

no ip unreachables

no ip proxy-arp

ip flow ingress

ip nat inside

ip virtual-reassembly in

ip policy route-map clear-df

duplex auto

speed auto

no mop enabled

с клиента если запустить tracert  первый же хоп показывает *

19 ОТВЕТ.

cisco ipsec vpn не видиит внутренюю сеть

ACL переделайте на

access-list 110 permit ip any 172.16.2.0 0.0.0.255

New Member

cisco ipsec vpn не видиит внутренюю сеть

в access-list 110  нахотятся pptp   клиенты им из этой подсети  раздаются адресв  поробывал дописать в access-list 110 permit ip any 172.16.2.0 0.0.0.255 теперь с клиетв когда делаешь tracert первый хоп показывает 91.216.x.x  а дальше звездочки

cisco ipsec vpn не видиит внутренюю сеть

Те, кого пингуете, непосредственно подключены к gi0/1, и он у них основным шлюзом?

Покажите конфигурацию NAT и route-map clear-df.

New Member

cisco ipsec vpn не видиит внутренюю сеть

nat на устройстве не использыется

gi0/1 такого интерфейса у меня нет

вы имете в виду

interface FastEthernet0/0/0

то у них настройки

172.16.2.7

255.255.0.0

172.16.0.1

откуда он берет основной шлюс не пойму 

route-map clear-df permit 10

set ip df 0

!

route-map vpn permit 10

match ip address 10

New Member

cisco ipsec vpn не видиит внутренюю сеть

access-list 10 permit 10.0.6.0 0.0.0.255 провывал в него писать  access-list 10 permit 172.16.0.0 0.0.255.255 результат тот же

cisco ipsec vpn не видиит внутренюю сеть

Откуда взялся route-map vpn, куда он привязан?


Можно полную конфигурацию?

New Member

cisco ipsec vpn не видиит внутренюю сеть

1841_dm#show  run

Building configuration...

Current configuration : 10926 bytes

!

! Last configuration change at 08:30:29 Msk Wed Feb 19 2014 by s.antonov

! NVRAM config last updated at 08:30:31 Msk Wed Feb 19 2014 by s.antonov

!

version 15.1

no service pad

service tcp-keepalives-in

service tcp-keepalives-out

service timestamps debug datetime msec localtime show-timezone

service timestamps log datetime localtime

service password-encryption

service sequence-numbers

!

hostname 1841_dm

!

boot-start-marker

boot system flash c1841-ipbase-mz.124-24.T3.bin

boot system flash c1841-spservicesk9-mz.124-23.bin

boot system flash c1841-adventerprisek9-mz.151-2.T1.bin

boot-end-marker

!

!

logging buffered 4096

!

aaa new-model

!

!

aaa authentication login USER-AUTH local

aaa authentication ppp vpn local

aaa authorization network GROUP-AUTH local

!

!

!

!

!

aaa session-id common

!

clock timezone Msk 3 0

clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 2:00

dot11 syslog

ip source-route

!

!

!

!

ip dhcp pool pptp-users

   network 10.0.6.0 255.255.255.224

   dns-server 8.8.8.8

   default-router 172.16.1.1

!

!

ip cef

no ip bootp server

ip domain name host.ru

ip name-server 8.8.8.8

no ipv6 cef

ntp max-associations 1

!

multilink bundle-name authenticated

!

vpdn enable

!

vpdn-group TEST

! Default PPTP VPDN group

accept-dialin

  protocol pptp

  virtual-template 11

l2tp tunnel timeout no-session 15

!

password encryption aes

crypto pki token default removal timeout 0

!

crypto pki trustpoint TP-self-signed-1479394571

enrollment selfsigned

subject-name cn=IOS-Self-Signed-Certificate-1479394571

revocation-check none

!

!

!

license udi pid CISCO1841 sn FCZ1217930L

archive

log config

  hidekeys

object-group network ssh

range 10.0.6.1 10.0.6.50

!

!

redundancy

!

!

ip tcp synwait-time 10

no ip ftp passive

ip ssh version 2

!

!

crypto isakmp policy 1

encr 3des

hash md5

authentication pre-share

!

crypto isakmp policy 2

encr 3des

hash md5

authentication pre-share

!

crypto isakmp policy 3

encr aes 256

group 2

!

crypto isakmp policy 10

hash md5

authentication pre-share

group 2

crypto isakmp key 6 pass address 0.0.0.0 0.0.0.0

!

crypto isakmp client configuration group RA-VPN-GROUP

key 6 pass

pool VPN-POOL

acl 110

crypto isakmp profile ciscocp-ike-profile-1

! This profile is incomplete (no match identity statement)

crypto isakmp profile VPN-CLIENT

   match identity group RA-VPN-GROUP

   client authentication list USER-AUTH

   isakmp authorization list GROUP-AUTH

   client configuration address respond

!

!

crypto ipsec transform-set tr-3des esp-3des

crypto ipsec transform-set user esp-aes 256 esp-sha-hmac

crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac

!

crypto ipsec profile CiscoCP_Profile1

set security-association lifetime kilobytes 50000

set security-association lifetime seconds 86400

set transform-set user

set isakmp-profile ciscocp-ike-profile-1

!

crypto ipsec profile prof_tun

set security-association lifetime kilobytes 50000

set security-association lifetime seconds 86400

set transform-set tr-3des

!

!

crypto dynamic-map DYNMAP 10

set transform-set 3DES-MD5

set isakmp-profile VPN-CLIENT

reverse-route

!

!

crypto map DMAP 1 ipsec-isakmp dynamic DYNMAP

!

!

!

!

!

interface Tunnel3

bandwidth 30

ip address 10.0.76.25 255.255.255.252

ip virtual-reassembly in

ip route-cache policy

ip tcp adjust-mss 1024

ip ospf 100 area 10

tunnel source FastEthernet0/0/0

tunnel mode ipsec ipv4

tunnel destination 85.26.x.x

tunnel protection ipsec profile prof_tun

!

interface FastEthernet0/0

no ip address

no ip redirects

no ip unreachables

no ip proxy-arp

ip flow ingress

shutdown

duplex auto

speed auto

no mop enabled

!

interface FastEthernet0/1

description $ES_LAN$

ip address 172.16.0.20 255.255.0.0

no ip redirects

no ip unreachables

no ip proxy-arp

ip flow ingress

ip policy route-map clear-df

duplex auto

speed auto

no mop enabled

!

interface FastEthernet0/0/0

ip address 91.216.x.x 255.255.255.0

ip dns view-group 8.8.8.8

ip nat outside

ip virtual-reassembly in

duplex auto

speed auto

no mop enabled

crypto map DMAP

!

interface Virtual-Template1 type tunnel

no ip address

tunnel mode ipsec ipv4

tunnel protection ipsec profile CiscoCP_Profile1

!

interface Virtual-Template11

ip unnumbered FastEthernet0/1

peer default ip address dhcp-pool pptp-users

ppp encrypt mppe auto required

ppp authentication pap chap ms-chap

!

router ospf 100

router-id 172.16.0.20

redistribute connected subnets route-map vpn

network 10.0.6.0 0.0.0.255 area 10

network 172.16.0.0 0.0.255.255 area 10

!

ip local pool VPN-POOL 172.16.2.1 172.16.2.50

ip default-gateway 91.216.x.1

ip forward-protocol nd

no ip http server

no ip http secure-server

!

!

ip route 0.0.0.0 0.0.0.0 91.216.x.1

!

logging esm config

logging facility local0

logging source-interface FastEthernet0/1

access-list 1 permit 172.16.0.0 0.0.255.255

access-list 10 permit 10.0.6.0 0.0.0.255

access-list 101 permit tcp host 91.216.48.2 any eq 22 log

access-list 101 permit tcp host 91.216.48.1 any eq 22 log

access-list 101 permit tcp host 91.216.48.4 any eq 22 log

access-list 101 permit tcp host 83.167.101.76 any eq 22 log

access-list 101 permit tcp host 84.51.76.194 any eq 22 log

access-list 101 permit tcp host 178.217.96.105 any eq 22 log

access-list 101 permit tcp host 172.16.0.111 any eq 22 log

access-list 101 permit tcp host 85.26.153.130 any eq 22 log

access-list 101 permit tcp host 172.16.1.1 any eq 22 log

access-list 101 permit tcp host 172.16.0.4 any eq 22 log

access-list 110 permit ip any 172.16.2.0 0.0.0.255

access-list 110 permit ip 10.0.6.0 0.0.0.255 any

no cdp run

!

!

!

!

route-map clear-df permit 10

set ip df 0

!

route-map vpn permit 10

match ip address 10

!

snmp-server group pass v3 auth write cisco_dm access 1

snmp-server community private RO 1

!

!

!

control-plane

!

!

line con 0

line aux 0

line vty 0 4

exec-timeout 60 0

privilege level 15

transport input ssh

!

scheduler allocate 4000 1000

ntp server 195.239.199.18 version 2

end

cisco ipsec vpn не видиит внутренюю сеть

Я слепой.

У вас у клиентов за fa0/1 сеть 172.16.0.0/16.

Диапазон под VPN клиентов (172.16.2.1 - 172.16.2.50) полностью перекрывается первой сетью. Клиенты оттуда будут сразу слать arp запросы на 172.16.2.Х и никогда не получат ответа.

Самым разумным решением было бы уменьшить безумных размеров маску на fa0/1.

Или можно перенести пул VPN-POOL куда угодно кроме 172.16.Х.Х. На мой взгляд лучше всего рядом с pptp-users.

Есть еще один грязный прием, с которым всё теоретически может завестись и без смены адресации, но... В общем, не будем о грязных костылях, просто разберитесь с диапазонами сетей.

Потом приведите ACL 110 в порядок. Должны быть записи вида:

access-list 110 permit ip [внутренний диапазон] [диапазон VPN]. У вас почему-то местами наоборот.

New Member

cisco ipsec vpn не видиит внутренюю сеть

сделал

ip local pool VPN-POOL 10.0.15.1 10.0.15.30

access-list 110 permit ip 172.16.0.0 0.0.255.255 any

access-list 110 permit ip 10.0.15.0 0.0.0.255 any

могу только достучаться до FastEthernet0/1 он пингуется

а если пинговать внутренюю сеть то пакеты уходят на внешний интерфейс FastEthernet0/0/0 а дальше звездочки

cisco ipsec vpn не видиит внутренюю сеть

Уберите:

access-list 110 permit ip 10.0.15.0 0.0.0.255 any

Откуда куда слался пинг? Не вижу причин трафику от 10.0.15.Х до 172.16.Х.Х заворачивать в fa0/0/0.

New Member

cisco ipsec vpn не видиит внутренюю сеть

access-list 110 поправил

подключаюсь из внешке через cisco vpn client

Ethernet adapter Подключение по локальной сети 3:

   DNS-суффикс подключения . . . . . :

   Локальный IPv6-адрес канала . . . : fe80::29fc:2b39:f7f5:6aeb%23

   IPv4-адрес. . . . . . . . . . . . : 10.0.15.2

   Маска подсети . . . . . . . . . . : 255.0.0.0

   Основной шлюз. . . . . . . . . : 10.0.0.1

ping 172.16.0.20

Обмен пакетами с 172.16.0.20 по с 32 байтами данных:

Ответ от 172.16.0.20: число байт=32 время=86мс TTL=255

Ответ от 172.16.0.20: число байт=32 время=68мс TTL=255

^C

ping 172.16.0.111

Обмен пакетами с 172.16.0.111 по с 32 байтами данных:

Превышен интервал ожидания для запроса.

Превышен интервал ожидания для запроса.

^C

tracert 172.16.0.111

Трассировка маршрута к 172.16.0.111 с максимальным числом прыжков 30

  1    75 ms    59 ms    49 ms  91.216.x.x

  2     *        *        *     Превышен интервал ожидания для запроса.

  3     *     ^C

route  print

===========================================================================

Список интерфейсов

31...........................MTS Internet

23...00 05 9a 3c 78 00 ......Cisco Systems VPN Adapter for 64-bit Windows

  1...........................Software Loopback Interface 1

27...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface

14...00 00 00 00 00 00 00 e0 Адаптер Microsoft 6to4

25...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3

26...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #4

===========================================================================

IPv4 таблица маршрута

===========================================================================

Активные маршруты:

Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика

          0.0.0.0          0.0.0.0         On-link     10.206.73.242     31

          0.0.0.0          0.0.0.0         10.0.0.1        10.0.15.2     31

         10.0.0.0        255.0.0.0         On-link         10.0.15.2    286

        10.0.15.2  255.255.255.255         On-link         10.0.15.2    286

    10.206.73.242  255.255.255.255         On-link     10.206.73.242    286

   10.255.255.255  255.255.255.255         On-link         10.0.15.2    286

      91.216.x.x  255.255.255.255         On-link     10.206.73.242    100

        127.0.0.0        255.0.0.0         On-link         127.0.0.1   4531

        127.0.0.1  255.255.255.255         On-link         127.0.0.1   4531

  127.255.255.255  255.255.255.255         On-link         127.0.0.1   4531

        224.0.0.0        240.0.0.0         On-link         127.0.0.1   4531

        224.0.0.0        240.0.0.0         On-link     10.206.73.242     31

        224.0.0.0        240.0.0.0         On-link         10.0.15.2    286

  255.255.255.255  255.255.255.255         On-link         127.0.0.1   4531

  255.255.255.255  255.255.255.255         On-link     10.206.73.242    286

  255.255.255.255  255.255.255.255         On-link         10.0.15.2    286

===========================================================================

Постоянные маршруты:

  Сетевой адрес            Маска    Адрес шлюза      Метрика

          0.0.0.0          0.0.0.0     84.51.76.193  По умолчанию

          0.0.0.0          0.0.0.0         10.0.0.1       1

===========================================================================

IPv6 таблица маршрута

===========================================================================

Активные маршруты:

Метрика   Сетевой адрес            Шлюз

  1    306 ::1/128                  On-link

23    286 fe80::/64                On-link

23    286 fe80::29fc:2b39:f7f5:6aeb/128

                                    On-link

  1    306 ff00::/8                 On-link

23    286 ff00::/8                 On-link

===========================================================================

Постоянные маршруты:

  Отсутствует

cisco ipsec vpn не видиит внутренюю сеть

Следующий вопрос. Вы писали, что у клиентов основной шлюз - 172.16.0.1. Что это? Если OSPF сосед, то допишите в ACL 10 новую адресацию пула.

New Member

cisco ipsec vpn не видиит внутренюю сеть

я имел в виду что когда были настройки

ip local pool VPN-POOL 172.16.2.1 172.16.2.50

то на клиенте который конектился через cisco vpn client  было

172.16.2.7

255.255.0.0

172.16.0.1

cisco ipsec vpn не видиит внутренюю сеть

Хорошо, поговорим о 172.16.0.111. Если это - виндовая машина, то дайте ipconfig и route print. С роутера он доступен?

New Member

cisco ipsec vpn не видиит внутренюю сеть

H:\> ipconfig

Настройка протокола IP для Windows

Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . :

   IPv4-адрес. . . . . . . . . . . . : 172.16.0.111

   Маска подсети . . . . . . . . . . : 255.255.0.0

   Основной шлюз. . . . . . . . . : 172.16.0.7

H:\>route print

===========================================================================

Список интерфейсов

10...24 be 05 1a d3 ee ......Intel(R) 82579LM Gigabit Network Connection

  1...........................Software Loopback Interface 1

11...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP

12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface

===========================================================================

IPv4 таблица маршрута

===========================================================================

Активные маршруты:

Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика

          0.0.0.0          0.0.0.0       172.16.0.7     172.16.0.111    266

         10.0.0.0    255.255.255.0      172.16.0.20     172.16.0.111     11

         10.0.1.0    255.255.255.0      172.16.0.20     172.16.0.111     11

         10.0.2.0    255.255.255.0      172.16.0.20     172.16.0.111     11

         10.0.3.0    255.255.255.0      172.16.0.20     172.16.0.111     11

         10.0.4.0    255.255.255.0      172.16.0.20     172.16.0.111     11

         10.0.5.0    255.255.255.0      172.16.0.20     172.16.0.111     11

         10.0.6.0    255.255.255.0      172.16.0.20     172.16.0.111     11

         10.0.7.0    255.255.255.0      172.16.0.20     172.16.0.111     11

         10.0.8.0    255.255.255.0      172.16.0.20     172.16.0.111     11

        10.0.14.0    255.255.255.0      172.16.0.20     172.16.0.111     11

        10.0.15.0    255.255.255.0      172.16.0.20     172.16.0.111     11

        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306

        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306

  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306

       172.16.0.0      255.255.0.0         On-link      172.16.0.111    266

     172.16.0.111  255.255.255.255         On-link      172.16.0.111    266

   172.16.255.255  255.255.255.255         On-link      172.16.0.111    266

      192.168.0.0    255.255.255.0      172.16.0.20     172.16.0.111     11

      196.192.0.0    255.255.254.0      172.16.0.20     172.16.0.111     11

        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306

        224.0.0.0        240.0.0.0         On-link      172.16.0.111    266

  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306

  255.255.255.255  255.255.255.255         On-link      172.16.0.111    266

===========================================================================

Постоянные маршруты:

  Сетевой адрес            Маска    Адрес шлюза      Метрика

         10.0.0.0    255.255.255.0      172.16.0.20       1

         10.0.1.0    255.255.255.0      172.16.0.20       1

         10.0.2.0    255.255.255.0      172.16.0.20       1

         10.0.3.0    255.255.255.0      172.16.0.20       1

         10.0.4.0    255.255.255.0      172.16.0.20       1

         10.0.5.0    255.255.255.0      172.16.0.20       1

         10.0.6.0    255.255.255.0      172.16.0.20       1

         10.0.7.0    255.255.255.0      172.16.0.20       1

      196.192.0.0    255.255.254.0      172.16.0.20       1

      192.168.0.0    255.255.255.0      172.16.0.20       1

         10.0.8.0    255.255.255.0      172.16.0.20       1

        10.0.14.0    255.255.255.0      172.16.0.20       1

          0.0.0.0          0.0.0.0       172.16.0.7  По умолчанию

          0.0.0.0          0.0.0.0       172.16.0.7  По умолчанию

        10.0.15.0    255.255.255.0      172.16.0.20       1

===========================================================================

ping с cisco

1841_dm#ping 172.16.0.111

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.0.111, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

cisco ipsec vpn не видиит внутренюю сеть

Не вижу препятствий для доступности 172.16.0.111. Проверьте, не включен ли локальный файрвол, блокирующий пинги не из его сети. Если не включен, то запустите там wireshark и поймайте эти пинги, а также отклики.

New Member

cisco ipsec vpn не видиит внутренюю сеть

сделал проще в нутри сети есть  почтовый сервер  на freebsd на нем не включин firewall

с клинета пингую его

по прежмему ping не идет

делаю на сервере

tcpdump -i vtnet0  host 10.0.15.4

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on vtnet0, link-type EN10MB (Ethernet), capture size 65535 bytes

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on vtnet0, link-type EN10MB (Ethernet), capture size 65535 bytes

17:41:54.896103 IP 10.0.15.4 > mail.host.ru: ICMP echo request, id 1, seq 8, length 40

17:41:54.896166 IP mail.host.ru > 10.0.15.4: ICMP echo reply, id 1, seq 8, length 40

17:41:59.549935 IP 10.0.15.4 > mail.host.ru: ICMP echo request, id 1, seq 9, length 40

17:41:59.550004 IP mail.host.ru > 10.0.15.4: ICMP echo reply, id 1, seq 9, length 40

17:42:04.508221 IP 10.0.15.4 > mail.host.ru: ICMP echo request, id 1, seq 10, length 40

17:42:04.508278 IP mail.host.ru > 10.0.15.4: ICMP echo reply, id 1, seq 10, length 40

17:42:09.518745 IP 10.0.15.4 > mail.host.ru: ICMP echo request, id 1, seq 11, length 40

17:42:09.518786 IP mail.host.ru > 10.0.15.4: ICMP echo reply, id 1, seq 11, length 40

netstat -rn

Internet:

Destination        Gateway            Flags    Refs      Use  Netif Expire

default            172.16.0.7         UGS         0  5038184 vtnet0

10.0.3.0/24        172.16.0.20        UGS         0      775 vtnet0

10.0.6.0/24        172.16.0.20        UGS         0     9251 vtnet0

10.0.8.0/24        172.16.0.20        UGS         0  2307490 vtnet0

10.0.9.0/24        172.16.0.20        UGS         0        0 vtnet0

10.0.14.0/24       172.16.0.20        UGS         0        0 vtnet0

10.0.15.0/24       172.16.0.20        UGS         0        8 vtnet0

127.0.0.1          link#2             UH          0  3186630    lo0

172.1.0.0/24       172.16.0.20        UGS         0      802 vtnet0

172.16.0.0/16      link#1             U           0 64092790 vtnet0

172.16.0.250       link#1             UHS         0  1833270    lo0

192.168.0.0/24     172.16.0.20        UGS         0   832265 vtnet0

196.192.0.0/23     172.16.0.20        UGS         0  1532604 vtnet0

cisco ipsec vpn не видиит внутренюю сеть

Попробуйте вообще убрать ACL 110 из client configuration group для проверки.

Не поможет - поймайте reply на fa0/1. CEF, направление in, инструкция -

https://supportforums.cisco.com/docs/DOC-32870

Покажите на роутере show ip cef 10.0.15.4 (или тот адрес, который будет у клиента в момент проверки).

New Member

cisco ipsec vpn не видиит внутренюю сеть

1841_dm# show ip cef 10.0.15.5

10.0.15.5/32

  nexthop 213.87.131.219 FastEthernet0/0/0

318
Просмотры
0
Полезный материал
19
Ответы