форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"и опять cisco 2651 + cisco vpn client :-)"
Сообщение от Bagira (??) on 06-Дек-05, 16:48  (MSK)
помогите чайнику. сделал все по книжке :-). нету роутинга между vpn client'ом и внутренней сетью. клиент нормально коннектится, получает адрес, роутинг, все параметры, но дальше адреса 192.168.1.44 не уходит :-(, т е локалку за этим интерфейсом не видит. (ios 12.3, vpn client 4.5) aaa authentication login clientauth local aaa authorization network groupauthor local ! crypto isakmp client configuration group testgroup key cisco321 dns xxx.xxx.76.6 xxx.xxx.77.6 wins 192.168.1.1 domain блабла.ru pool ippool acl 100 crypto isakmp profile VPNclient    description VPN clients profile    match identity group testgroup    client authentication list clientauth    isakmp authorization list groupauthor    client configuration address respond interface FastEthernet0/0 ip address xxx.xxx.77.10 255.255.255.252 duplex auto speed auto crypto map mymap interface FastEthernet0/1 ip address 192.168.1.44 255.255.255.0 duplex auto speed auto ! ip local pool ippool 192.168.11.1 192.168.11.254 ip classless ip route 0.0.0.0 0.0.0.0 xxx.xxx.77.9 ip route 192.168.1.0 255.255.255.0 192.168.1.223 ! access-list 100 permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 вот что на клиенте, вроде все правильно: Network Destination        Netmask          Gateway       Interface  Metric           0.0.0.0          0.0.0.0     xxx.xxx.77.2    xxx.xxx.77.1       1         127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1       192.168.0.0      255.255.0.0     192.168.11.5    192.168.11.5       1      192.168.11.0    255.255.255.0     192.168.11.5    192.168.11.5       1      192.168.11.5  255.255.255.255        127.0.0.1       127.0.0.1       1    192.168.11.255  255.255.255.255     192.168.11.5    192.168.11.5       1      xxx.xxx.77.0  255.255.255.252     xxx.xxx.77.1    xxx.xxx.77.1       1      xxx.xxx.77.1  255.255.255.255        127.0.0.1       127.0.0.1       1     xxx.xxx.77.10  255.255.255.255     xxx.xxx.77.2    xxx.xxx.77.1       1    xxx.xxx.77.255  255.255.255.255     xxx.xxx.77.1    xxx.xxx.77.1       1         224.0.0.0        224.0.0.0     192.168.11.5    192.168.11.5       1         224.0.0.0        224.0.0.0     xxx.xxx.77.1    xxx.xxx.77.1       1   255.255.255.255  255.255.255.255     xxx.xxx.77.1    xxx.xxx.77.1       1 Default Gateway:      xxx.xxx.77.2
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Сообщения по теме

[Сортировка по времени, UBB]

1. "почему то нет local ident может в этом проблема ?"
Сообщение от Bagira (??) on 06-Дек-05, 18:19  (MSK)
cisco-2651xm#show crypto ipsec sa interface: FastEthernet0/0     Crypto map tag: mymap, local addr. xxx.xxx.77.10    protected vrf:    local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)    remote ident (addr/mask/prot/port): (192.168.11.10/255.255.255.255/0/0)    current_peer: xxx.xxx.77.1:500      PERMIT, flags={}     #pkts encaps: 2, #pkts encrypt: 2, #pkts digest 2     #pkts decaps: 72, #pkts decrypt: 72, #pkts verify 72     #pkts compressed: 0, #pkts decompressed: 0     #pkts not compressed: 0, #pkts compr. failed: 0     #pkts not decompressed: 0, #pkts decompress failed: 0     #send errors 0, #recv errors 0      local crypto endpt.: xxx.xxx.77.10, remote crypto endpt.: xxx.xxx.77.1      path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0      current outbound spi: FE9A3F93      inbound esp sas:       spi: 0xF6E4C26F(4142187119)         transform: esp-3des esp-sha-hmac ,         in use settings ={Tunnel, }         slot: 0, conn id: 2000, flow_id: 1, crypto map: mymap         sa timing: remaining key lifetime (k/sec): (4544742/3537)         IV size: 8 bytes         replay detection support: Y      inbound ah sas:      inbound pcp sas:      outbound esp sas:       spi: 0xFE9A3F93(4271521683)         transform: esp-3des esp-sha-hmac ,         in use settings ={Tunnel, }         slot: 0, conn id: 2001, flow_id: 2, crypto map: mymap         sa timing: remaining key lifetime (k/sec): (4544753/3537)         IV size: 8 bytes         replay detection support: Y      outbound ah sas:      outbound pcp sas:
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "почему то нет local ident может в этом проблема ?"
	Сообщение от Изгой (ok) on 07-Дек-05, 13:12  (MSK)
	>cisco-2651xm#show crypto ipsec sa > >interface: FastEthernet0/0 >    Crypto map tag: mymap, local addr. xxx.xxx.77.10 > >   protected vrf: >   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) >   remote ident (addr/mask/prot/port): (192.168.11.10/255.255.255.255/0/0) >   current_peer: xxx.xxx.77.1:500 >     PERMIT, flags={} >    #pkts encaps: 2, #pkts encrypt: 2, #pkts digest >2 >    #pkts decaps: 72, #pkts decrypt: 72, #pkts verify >72 >    #pkts compressed: 0, #pkts decompressed: 0 >    #pkts not compressed: 0, #pkts compr. failed: 0 > >    #pkts not decompressed: 0, #pkts decompress failed: 0 > >    #send errors 0, #recv errors 0 > >     local crypto endpt.: xxx.xxx.77.10, remote crypto endpt.: >xxx.xxx.77.1 >     path mtu 1500, ip mtu 1500, ip >mtu idb FastEthernet0/0 >     current outbound spi: FE9A3F93 > >     inbound esp sas: >      spi: 0xF6E4C26F(4142187119) >        transform: esp-3des esp-sha-hmac , > >        in use settings ={Tunnel, >} >        slot: 0, conn id: >2000, flow_id: 1, crypto map: mymap >        sa timing: remaining key >lifetime (k/sec): (4544742/3537) >        IV size: 8 bytes > >        replay detection support: Y > > >     inbound ah sas: > >     inbound pcp sas: > >     outbound esp sas: >      spi: 0xFE9A3F93(4271521683) >        transform: esp-3des esp-sha-hmac , > >        in use settings ={Tunnel, >} >        slot: 0, conn id: >2001, flow_id: 2, crypto map: mymap >        sa timing: remaining key >lifetime (k/sec): (4544753/3537) >        IV size: 8 bytes > >        replay detection support: Y > > >     outbound ah sas: > >     outbound pcp sas: Багира я уже иду )) Вот поднимаю старый ответ >>есть ПК+Инэт(с дешевым региональным трафиком и дорогим зарубежным) >>также в соседнем городе есть Cisco одним портом воткнутая в Инэт(анлим) >>ЗАДАЧА: >>..ходить в инэт с ПК через циску(тоесть просто слать пакеты в порт >>циски а они в свою очередь через тот же порт уходили >>дальше в инэт)..тоесть использование регионального трафика вместо заграничного!.. >>..подозреваю что по сути это как прозрачный прокси.. > >Нет, это скорее vpn + nat. > >VPN-ом на циску, с нее в инет через нат. aaa authentication login default local aaa authentication login UCL local aaa authorization exec default local aaa authorization network UCL local aaa session-id common ip subnet-zero no ip source-route no ip gratuitous-arps ip cef ! ! no ip domain lookup ! no ip bootp server ip audit po max-events 100 ! ! ! ! ! crypto isakmp policy 10 hash md5 authentication pre-share group 2 ! crypto isakmp client configuration group Cisco2621 key 1234567 pool POOL ! crypto isakmp client configuration group Roman key 123456789   pool POOL2 ! crypto ipsec transform-set TS esp-des esp-md5-hmac ! crypto dynamic-map DM 10 set transform-set TS reverse-route qos pre-classify ! ! crypto map CM client authentication list UCL crypto map CM isakmp authorization list UCL crypto map CM client configuration address respond crypto map CM 10 ipsec-isakmp dynamic DM ! ! ! ! interface Loopback1 ip address 172.17.1.1 255.255.255.255 ip nat inside interface FastEthernet0/1 bandwidth 100000 ip address 172.18.1.1 255.255.0.0 no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip policy route-map Loop duplex auto speed auto no cdp enable crypto map CM ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621 ip local pool POOL2 172.18.3.10 group Roman ip nat pool out 192.18.1.1 192.18.1.1 netmask 255.255.255.0 ip nat inside source list 11 pool out overload no ip http server no ip http secure-server ip classless access-list 11 permit 172.18.3.0 0.0.0.255 no cdp run ! ! route-map Loop permit 10 match ip address 11 set interface Loopback1 Вот испытывал вроде работает….. Циско впн клиент плюхаеться на сиску , получает айпи адресс , перескакивает на луппбек ,  там в инсайд потом в оутсайд и тутутутуту в инет …..  пробуй Убери роут мапы и лупбек, и нат убери,и акцесс лист acl 100 не вписывай потом впишешь) пробывать надо крутить так сяк , да и группу одну оставь на выбор.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "почему то нет local ident может в этом проблема ?"
	Сообщение от Изгой (??) on 07-Дек-05, 13:45  (MSK)
	>>cisco-2651xm#show crypto ipsec sa >> >>interface: FastEthernet0/0 >>    Crypto map tag: mymap, local addr. xxx.xxx.77.10 >> >>   protected vrf: >>   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) >>   remote ident (addr/mask/prot/port): (192.168.11.10/255.255.255.255/0/0) >>   current_peer: xxx.xxx.77.1:500 >>     PERMIT, flags={} >>    #pkts encaps: 2, #pkts encrypt: 2, #pkts digest >>2 >>    #pkts decaps: 72, #pkts decrypt: 72, #pkts verify >>72 >>    #pkts compressed: 0, #pkts decompressed: 0 >>    #pkts not compressed: 0, #pkts compr. failed: 0 >> >>    #pkts not decompressed: 0, #pkts decompress failed: 0 >> >>    #send errors 0, #recv errors 0 >> >>     local crypto endpt.: xxx.xxx.77.10, remote crypto endpt.: >>xxx.xxx.77.1 >>     path mtu 1500, ip mtu 1500, ip >>mtu idb FastEthernet0/0 >>     current outbound spi: FE9A3F93 >> >>     inbound esp sas: >>      spi: 0xF6E4C26F(4142187119) >>        transform: esp-3des esp-sha-hmac , >> >>        in use settings ={Tunnel, >>} >>        slot: 0, conn id: >>2000, flow_id: 1, crypto map: mymap >>        sa timing: remaining key >>lifetime (k/sec): (4544742/3537) >>        IV size: 8 bytes >> >>        replay detection support: Y >> >> >>     inbound ah sas: >> >>     inbound pcp sas: >> >>     outbound esp sas: >>      spi: 0xFE9A3F93(4271521683) >>        transform: esp-3des esp-sha-hmac , >> >>        in use settings ={Tunnel, >>} >>        slot: 0, conn id: >>2001, flow_id: 2, crypto map: mymap >>        sa timing: remaining key >>lifetime (k/sec): (4544753/3537) >>        IV size: 8 bytes >> >>        replay detection support: Y >> >> >>     outbound ah sas: >> >>     outbound pcp sas: >Багира я уже иду )) > >Вот поднимаю старый ответ > >>>есть ПК+Инэт(с дешевым региональным трафиком и дорогим зарубежным) >>>также в соседнем городе есть Cisco одним портом воткнутая в Инэт(анлим) >>>ЗАДАЧА: >>>..ходить в инэт с ПК через циску(тоесть просто слать пакеты в порт >>>циски а они в свою очередь через тот же порт уходили >>>дальше в инэт)..тоесть использование регионального трафика вместо заграничного!.. >>>..подозреваю что по сути это как прозрачный прокси.. >> >>Нет, это скорее vpn + nat. >> >>VPN-ом на циску, с нее в инет через нат. >aaa authentication login default local >aaa authentication login UCL local >aaa authorization exec default local >aaa authorization network UCL local >aaa session-id common >ip subnet-zero >no ip source-route >no ip gratuitous-arps >ip cef >! >! >no ip domain lookup >! >no ip bootp server >ip audit po max-events 100 >! >! >! >! ! >crypto isakmp policy 10 >hash md5 >authentication pre-share >group 2 >! >crypto isakmp client configuration group Cisco2621 >key 1234567 >pool POOL >! >crypto isakmp client configuration group Roman >key 123456789 > >pool POOL2 > >! >crypto ipsec transform-set TS esp-des esp-md5-hmac >! >crypto dynamic-map DM 10 >set transform-set TS >reverse-route >qos pre-classify >! >! >crypto map CM client authentication list UCL >crypto map CM isakmp authorization list UCL >crypto map CM client configuration address respond >crypto map CM 10 ipsec-isakmp dynamic DM >! >! >! >! >interface Loopback1 >ip address 172.17.1.1 255.255.255.255 >ip nat inside > >interface FastEthernet0/1 >bandwidth 100000 >ip address 172.18.1.1 255.255.0.0 >no ip redirects >no ip unreachables >no ip proxy-arp >ip nat outside >ip policy route-map Loop >duplex auto >speed auto >no cdp enable >crypto map CM > >ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621 >ip local pool POOL2 172.18.3.10 group Roman >ip nat pool out 192.18.1.1 192.18.1.1 netmask 255.255.255.0 >ip nat inside source list 11 pool out overload >no ip http server >no ip http secure-server >ip classless > >access-list 11 permit 172.18.3.0 0.0.0.255 >no cdp run >! >! >route-map Loop permit 10 >match ip address 11 >set interface Loopback1 > > >Вот испытывал вроде работает….. >Циско впн клиент плюхаеться на сиску , получает айпи адресс , перескакивает >на луппбек ,  там в инсайд потом в оутсайд и >тутутутуту в инет …..  пробуй > >Убери роут мапы и лупбек, и нат убери,и акцесс лист acl 100 >не вписывай потом впишешь) пробывать надо крутить так сяк , да >и группу одну оставь на выбор. Кстати не Организация защиты сетей Cisco книжка ?? видел я этот пример - правда он сумбурно разобран был ... как бы надо было из кусочков собирать , из разных глав, может ты какой кусочек забыл например динамическую карту прописать . В принципе я смотрел по форумам и на cisco.com
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "почему то нет local ident может в этом проблема ?"
	Сообщение от Bagira (??) on 07-Дек-05, 14:11  (MSK)
	>Кстати не Организация защиты сетей Cisco книжка ?? видел я этот пример >- правда он сумбурно разобран был ... как бы надо было >из кусочков собирать , из разных глав, может ты какой кусочек >забыл например динамическую карту прописать . В принципе я смотрел по >форумам и на cisco.com да нет, это статья с cisco.com отконфигурить не забыл, забыл сюда вставить в письмо :-) сам то тунель работает, все коннектится.. не работает роутинг в локальную сеть.. я уж и так и сяк... странно, 100% мой пример (ну кроме радиуса) вот здесь http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a00800949ba.shtml там чуть другим путем мапу обозначили, но суть не меняется... все также работает, роутинг не идет. crypto isakmp policy 10 encr 3des authentication pre-share group 2 ! crypto isakmp client configuration group testgroup key cisco321 dns xxx.xxx.76.6 xxx.xxx.77.6 wins 192.168.1.1 domain logika.ru pool ippool acl 100 crypto isakmp profile VPNclient    description VPN clients profile    match identity group testgroup    client authentication list clientauth    isakmp authorization list groupauthor    client configuration address respond ! ! crypto ipsec transform-set myset esp-3des esp-sha-hmac ! crypto dynamic-map dynmap 5 set transform-set myset set isakmp-profile VPNclient ! ! crypto map mymap 10 ipsec-isakmp dynamic dynmap
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "вот блин... :-("
	Сообщение от Bagira (??) on 07-Дек-05, 16:18  (MSK)
	нат построил - в локалку пустили... а без ната никак нельзя ???????? :-(((((((((
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "почему то нет local ident может в этом проблема ?"
	Сообщение от Изгой (??) on 07-Дек-05, 16:25  (MSK)
	>>Кстати не Организация защиты сетей Cisco книжка ?? видел я этот пример >>- правда он сумбурно разобран был ... как бы надо было >>из кусочков собирать , из разных глав, может ты какой кусочек >>забыл например динамическую карту прописать . В принципе я смотрел по >>форумам и на cisco.com > > >да нет, это статья с cisco.com >отконфигурить не забыл, забыл сюда вставить в письмо :-) >сам то тунель работает, все коннектится.. не работает роутинг в локальную сеть.. >я уж и так и сяк... > >странно, 100% мой пример (ну кроме радиуса) вот здесь http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a00800949ba.shtml > >там чуть другим путем мапу обозначили, но суть не меняется... все также >работает, роутинг не идет. > > > >crypto isakmp policy 10 > encr 3des > authentication pre-share > group 2 >! >crypto isakmp client configuration group testgroup > key cisco321 > dns xxx.xxx.76.6 xxx.xxx.77.6 > wins 192.168.1.1 > domain logika.ru > pool ippool > acl 100 >crypto isakmp profile VPNclient >   description VPN clients profile >   match identity group testgroup >   client authentication list clientauth >   isakmp authorization list groupauthor >   client configuration address respond >! >! >crypto ipsec transform-set myset esp-3des esp-sha-hmac >! >crypto dynamic-map dynmap 5 > set transform-set myset > set isakmp-profile VPNclient >! >! >crypto map mymap 10 ipsec-isakmp dynamic dynmap Вот в динамическую карту добавь, crypto dynamic-map DM 10 set transform-set TS reverse-route  - вот это qos pre-classify  - вот это Пулл адресов задай фейковый ченить там бла бла бла маршрут один оставь по умолчанию , команды в крипто мапе сделают своё дело,  и убери этот ACL 100 я пока в нём не разобрался как работает тоже ничё не ходило. У тебя адреса с пула роли никакой не играют они идут по туннелю в зашифрованном виде , на клиенте создаёться новоё соединение с адресом  из пула , но всё идёт всё равно по туннелю, можешь хоть 1.1.1.1 поставить всё равно должно работать , и роутиться это будет нормально, связь будет внутрянняя сеть с этими фейковыми адресами , а вообще чем конфиг мой не устраивает ? попробуй и посмотри разницу.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "почему то нет local ident может в этом проблема ?"
	Сообщение от Изгой (??) on 07-Дек-05, 16:31  (MSK)
	>>>Кстати не Организация защиты сетей Cisco книжка ?? видел я этот пример >>>- правда он сумбурно разобран был ... как бы надо было >>>из кусочков собирать , из разных глав, может ты какой кусочек >>>забыл например динамическую карту прописать . В принципе я смотрел по >>>форумам и на cisco.com >> >> >>да нет, это статья с cisco.com >>отконфигурить не забыл, забыл сюда вставить в письмо :-) >>сам то тунель работает, все коннектится.. не работает роутинг в локальную сеть.. >>я уж и так и сяк... >> >>странно, 100% мой пример (ну кроме радиуса) вот здесь http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a00800949ba.shtml >> >>там чуть другим путем мапу обозначили, но суть не меняется... все также >>работает, роутинг не идет. >> >> >> >>crypto isakmp policy 10 >> encr 3des >> authentication pre-share >> group 2 >>! >>crypto isakmp client configuration group testgroup >> key cisco321 >> dns xxx.xxx.76.6 xxx.xxx.77.6 >> wins 192.168.1.1 >> domain logika.ru >> pool ippool >> acl 100 >>crypto isakmp profile VPNclient >>   description VPN clients profile >>   match identity group testgroup >>   client authentication list clientauth >>   isakmp authorization list groupauthor >>   client configuration address respond >>! >>! >>crypto ipsec transform-set myset esp-3des esp-sha-hmac >>! >>crypto dynamic-map dynmap 5 >> set transform-set myset >> set isakmp-profile VPNclient >>! >>! >>crypto map mymap 10 ipsec-isakmp dynamic dynmap > >Вот в динамическую карту добавь, > >crypto dynamic-map DM 10 >set transform-set TS >reverse-route  - вот это > >qos pre-classify  - вот это > >Пулл адресов задай фейковый ченить там бла бла бла >маршрут один оставь по умолчанию , команды в крипто мапе сделают своё >дело,  и убери этот ACL 100 я пока в нём >не разобрался как работает тоже ничё не ходило. У тебя адреса >с пула роли никакой не играют они идут по туннелю в >зашифрованном виде , на клиенте создаёться новоё соединение с адресом   >из пула , но всё идёт всё равно по туннелю, можешь >хоть 1.1.1.1 поставить всё равно должно работать , и роутиться это >будет нормально, связь будет внутрянняя сеть с этими фейковыми адресами , >а вообще чем конфиг мой не устраивает ? попробуй и посмотри >разницу. Хахахахахах ) блин ты назначал адреса пула такие же как у тебя в локалке ))) кхе представь на двух интервейсах одна и та же сетка прописана маршрутизатор этого не допустит., я тоже мучался долго пока не понял в чём вишка, пример с натом у меня для разворота написан был . Может я не прав и можно выдавать адреса из пула внутренней сети но у меня не вышло. Через нат я думаю можно пробиваться на твой внутьренний адрес. Да и покажи пожалуйста какой у тебя конфиг теперь , я их для потомства отбираю) Ну в основном для себя.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "почему то нет local ident может в этом проблема ?"
	Сообщение от Bagira (??) on 07-Дек-05, 18:01  (MSK)
	все заработало с поднятием ната на интерфейсе 192.168.1.44 fe0/1 ну и фиг с ним.. работает и ладно.. :-)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Помогите"
	Сообщение от Сергей (??) on 07-Дек-05, 19:17  (MSK)
	! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname SUPERROUTER ! boot-start-marker boot-end-marker ! logging buffered 51200 warnings logging monitor informational ! username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0 username cisco password 0 cisco mmi polling-interval 60 ! no mmi auto-configure no mmi pvc mmi snmp-timeout 180 aaa new-model ! ! aaa authentication login userauthen local aaa authorization network groupauthor local aaa session-id common ip subnet-zero ! ! no ip domain lookup ip domain name SS7UA ! ! ip cef ip audit po max-events 100 no ftp-server write-enable ! ! ! ! ! ! crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2 ! crypto isakmp client configuration group user key password pool ippool ! ! crypto ipsec transform-set Table1 esp-3des esp-sha-hmac crypto ipsec df-bit clear ! ! crypto dynamic-map DYN_CKV_LPM 3 set transform-set Table1 ! ! crypto map CKV_LPM client authentication list userauthen crypto map CKV_LPM isakmp authorization list groupauthor crypto map CKV_LPM client configuration address respond crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM ! ! ! ! interface Ethernet0 ip address 12.13.14.1 255.255.255.0 no ip redirects no ip proxy-arp ip route-cache flow no ip route-cache cef half-duplex crypto map CKV_LPM ! interface FastEthernet0 ip address 172.19.9.1 255.255.0.0 no ip redirects no ip proxy-arp ip route-cache flow no ip route-cache cef speed auto ! ip local pool ippool 222.19.9.11 222.19.9.21 ip classless ip route 0.0.0.0 0.0.0.0 10.5.8.105 no ip http server ip http authentication local no ip http secure-server ! ! ! ! ! control-plane ! ! line con 0 privilege level 15 no exec line aux 0 privilege level 15 no exec line vty 0 4 privilege level 15 transport input ssh line vty 5 15 privilege level 15 transport input telnet ssh ! ! end При такой конфигурации не пускает в локальную сетку (172.19.0.0/16). Что не так, подскажи, пожалуйста...
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Помогите"
	Сообщение от Изгой (??) on 08-Дек-05, 09:29  (MSK)
	>! >version 12.3 >service timestamps debug datetime msec >service timestamps log datetime msec >no service password-encryption >! >hostname SUPERROUTER >! >boot-start-marker >boot-end-marker >! >logging buffered 51200 warnings >logging monitor informational >! >username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0 >username cisco password 0 cisco >mmi polling-interval 60 >! >no mmi auto-configure >no mmi pvc >mmi snmp-timeout 180 >aaa new-model >! >! >aaa authentication login userauthen local >aaa authorization network groupauthor local >aaa session-id common >ip subnet-zero >! >! >no ip domain lookup >ip domain name SS7UA >! >! >ip cef >ip audit po max-events 100 >no ftp-server write-enable >! >! >! >! >! >! >crypto isakmp policy 10 > encr 3des > hash md5 > authentication pre-share > group 2 >! >crypto isakmp client configuration group user > key password > pool ippool >! >! >crypto ipsec transform-set Table1 esp-3des esp-sha-hmac >crypto ipsec df-bit clear >! >! >crypto dynamic-map DYN_CKV_LPM 3 > set transform-set Table1 >! >! >crypto map CKV_LPM client authentication list userauthen >crypto map CKV_LPM isakmp authorization list groupauthor >crypto map CKV_LPM client configuration address respond >crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM >! >! >! >! >interface Ethernet0 > ip address 12.13.14.1 255.255.255.0 > no ip redirects > no ip proxy-arp > ip route-cache flow > no ip route-cache cef > half-duplex > crypto map CKV_LPM >! >interface FastEthernet0 > ip address 172.19.9.1 255.255.0.0 > no ip redirects > no ip proxy-arp > ip route-cache flow > no ip route-cache cef > speed auto >! >ip local pool ippool 222.19.9.11 222.19.9.21 >ip classless >ip route 0.0.0.0 0.0.0.0 10.5.8.105 >no ip http server >ip http authentication local >no ip http secure-server >! >! >! >! >! >control-plane >! >! >line con 0 > privilege level 15 > no exec >line aux 0 > privilege level 15 > no exec >line vty 0 4 > privilege level 15 > transport input ssh >line vty 5 15 > privilege level 15 > transport input telnet ssh >! >! >end > >При такой конфигурации не пускает в локальную сетку (172.19.0.0/16). Что не так, >подскажи, пожалуйста... Как я понял снифер у тебя не стоит, то есть у тебя афторизация проходит нормально туннель поднимаеться но с с выданными адресами дальше в локалку не проходит Думаю что пакеты входящие у тебя проходят в локальную сеть но вот обратно с пакетами получаеться проблемы , не прописываються маршруты к удалённым хостам , при чём трафик по этим маршрутам должен завернуться в туннель. crypto dynamic-map DM 10 set transform-set TS reverse-route ( вот в крипто мап добавь ) qos pre-classify ( и это тоже.) crypto dynamic-map DM 10 set transform-set TS reverse-route qos pre-classify А вообще при создание конфигурации старайтесь начать с простенького , с самого простого примера или заранее рабочего , и вот от него и надо плясать , добавлять и пробывать, то что работает нормально с одним иосом , может глючить с другим, и вообще списывая конфиг старайтесь разобраться в нём досканально , и если начинаете его дополнять пишите или запоминайте что когда работало а когда перестало работать. То что я вам советую это моё ИМХО потому как я самоучка и желательно чтоб конечно писали здесь наши гуру . Вот к примеру вам бы я посоветовал переписать мой конфиг практически в чистом виде, и дописать команды ip classless , и включить всё таки cef на интерфейсах.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Помогите"
	Сообщение от Изгой (??) on 08-Дек-05, 09:37  (MSK)
	>>! >>version 12.3 >>service timestamps debug datetime msec >>service timestamps log datetime msec >>no service password-encryption >>! >>hostname SUPERROUTER >>! >>boot-start-marker >>boot-end-marker >>! >>logging buffered 51200 warnings >>logging monitor informational >>! >>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0 >>username cisco password 0 cisco >>mmi polling-interval 60 >>! >>no mmi auto-configure >>no mmi pvc >>mmi snmp-timeout 180 >>aaa new-model >>! >>! >>aaa authentication login userauthen local >>aaa authorization network groupauthor local >>aaa session-id common >>ip subnet-zero >>! >>! >>no ip domain lookup >>ip domain name SS7UA >>! >>! >>ip cef >>ip audit po max-events 100 >>no ftp-server write-enable >>! >>! >>! >>! >>! >>! >>crypto isakmp policy 10 >> encr 3des >> hash md5 >> authentication pre-share >> group 2 >>! >>crypto isakmp client configuration group user >> key password >> pool ippool >>! >>! >>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac >>crypto ipsec df-bit clear >>! >>! >>crypto dynamic-map DYN_CKV_LPM 3 >> set transform-set Table1 >>! >>! >>crypto map CKV_LPM client authentication list userauthen >>crypto map CKV_LPM isakmp authorization list groupauthor >>crypto map CKV_LPM client configuration address respond >>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM >>! >>! >>! >>! >>interface Ethernet0 >> ip address 12.13.14.1 255.255.255.0 >> no ip redirects >> no ip proxy-arp >> ip route-cache flow >> no ip route-cache cef >> half-duplex >> crypto map CKV_LPM >>! >>interface FastEthernet0 >> ip address 172.19.9.1 255.255.0.0 >> no ip redirects >> no ip proxy-arp >> ip route-cache flow >> no ip route-cache cef >> speed auto >>! >>ip local pool ippool 222.19.9.11 222.19.9.21 >>ip classless >>ip route 0.0.0.0 0.0.0.0 10.5.8.105 >>no ip http server >>ip http authentication local >>no ip http secure-server >>! >>! >>! >>! >>! >>control-plane >>! >>! >>line con 0 >> privilege level 15 >> no exec >>line aux 0 >> privilege level 15 >> no exec >>line vty 0 4 >> privilege level 15 >> transport input ssh >>line vty 5 15 >> privilege level 15 >> transport input telnet ssh >>! >>! >>end >> >>При такой конфигурации не пускает в локальную сетку (172.19.0.0/16). Что не так, >>подскажи, пожалуйста... >Как я понял снифер у тебя не стоит, то есть у тебя >афторизация проходит нормально туннель поднимаеться но с с выданными адресами дальше >в локалку не проходит >Думаю что пакеты входящие у тебя проходят в локальную сеть но вот >обратно с пакетами получаеться проблемы , не прописываються маршруты к удалённым >хостам , при чём трафик по этим маршрутам должен завернуться в >туннель. >crypto dynamic-map DM 10 >set transform-set TS >reverse-route ( вот в крипто мап добавь ) >qos pre-classify ( и это тоже.) > >crypto dynamic-map DM 10 >set transform-set TS >reverse-route >qos pre-classify > >А вообще при создание конфигурации старайтесь начать с простенького , с самого >простого примера или заранее рабочего , и вот от него и >надо плясать , добавлять и пробывать, то что работает нормально с >одним иосом , может глючить с другим, и вообще списывая конфиг >старайтесь разобраться в нём досканально , и если начинаете его дополнять >пишите или запоминайте что когда работало а когда перестало работать. >То что я вам советую это моё ИМХО потому как я самоучка >и желательно >чтоб конечно писали здесь наши гуру . >Вот к примеру вам бы я посоветовал переписать мой конфиг практически в >чистом виде, и дописать команды ip classless , и включить всё >таки cef на интерфейсах. aaa authentication login UCL local aaa authorization network UCL local aaa session-id common ip subnet-zero no ip source-route no ip gratuitous-arps ip cef ! ! no ip domain lookup ! no ip bootp server ip audit po max-events 100 ! ! ! ! ! crypto isakmp policy 10 hash md5 authentication pre-share group 2 ! crypto isakmp client configuration group Cisco2621 key 1234567 pool POOL ! ! crypto ipsec transform-set TS esp-des esp-md5-hmac ! crypto dynamic-map DM 10 set transform-set TS reverse-route qos pre-classify ! ! crypto map CM client authentication list UCL crypto map CM isakmp authorization list UCL crypto map CM client configuration address respond crypto map CM 10 ipsec-isakmp dynamic DM ! ! ! ! interface FastEthernet0/1 bandwidth 100000 ip address 172.18.1.1 255.255.0.0 no ip redirects no ip unreachables no ip proxy-arp duplex auto speed auto no cdp enable crypto map CM ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621 no ip http server no ip http secure-server ip classless no cdp run ! ! Вот конфиг для вас пробный , потом делайте что хотите , адреса естесственно свои поставте.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Помогите"
	Сообщение от Сергей (??) on 08-Дек-05, 13:05  (MSK)
	Спасибо, попробую
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Помогите"
	Сообщение от Сергей (??) on 12-Дек-05, 17:54  (MSK)
	С последним конфигом пингует даже дальний интерфейс роутера, а машины за ним не хочет. Может, надо добавить еще ACL какой? Спасибо
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "вопрос"
	Сообщение от fatfatfat (ok) on 12-Дек-05, 20:09  (MSK)
	а как сделать VPN если нет крипртозащиты?!..
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "вопрос"
	Сообщение от fatfatfat (ok) on 12-Дек-05, 20:22  (MSK)
	можно, например, сделать по локалке соединение по vpdn? .. ато криптозащиты нет, VPN то хочется!!
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "Помогите"
	Сообщение от Bagira (??) on 12-Дек-05, 22:58  (MSK)
	>С последним конфигом пингует даже дальний интерфейс роутера, а машины за ним >не хочет. Может, надо добавить еще ACL какой? >Спасибо что делает acl ? в даном случае самую нужную вещь - генерит на клиенте правильный роутинг. сколько я не повторял примеры других - у меня так и не заработал вход в локальную сеть пока я не сделал nat.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "Помогите"
	Сообщение от Сергей (??) on 13-Дек-05, 10:24  (MSK)
	Здравствуйте. Подскажите, плиз, как совсем просто организовать на такой конфигурации NAT? Обидно, что производитель не дает нормальных примеров. Да и дыры не закрывает.... Microsoft-2, блин.. Спасибо
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "Помогите"
	Сообщение от Изгой (??) on 13-Дек-05, 10:55  (MSK)
	>Здравствуйте. >Подскажите, плиз, как совсем просто организовать на такой конфигурации NAT? >Обидно, что производитель не дает нормальных примеров. Да и дыры не закрывает.... >Microsoft-2, блин.. >Спасибо Сергей привиди свой конфиг в полном виде, кстати про ACL на крипто мапе , у меня роутинг прописываеться нормально и без ACL , ещё Сергей выведите Show route , адреса какие выдаёте по пулу ? в общем полный конфиг и т.д,
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	19. "Помогите"
	Сообщение от Изгой (??) on 13-Дек-05, 11:08  (MSK)
	>>С последним конфигом пингует даже дальний интерфейс роутера, а машины за ним >>не хочет. Может, надо добавить еще ACL какой? >>Спасибо > > >что делает acl ? в даном случае самую нужную вещь - генерит >на клиенте правильный роутинг. > >сколько я не повторял примеры других - у меня так и не >заработал вход в локальную сеть пока я не сделал nat. Как раз нат и служит у вас мостом , даже уверен без ACL ,  у вас будет работать.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	20. "Помогите"
	Сообщение от Изгой (??) on 13-Дек-05, 11:12  (MSK)
	>>>С последним конфигом пингует даже дальний интерфейс роутера, а машины за ним >>>не хочет. Может, надо добавить еще ACL какой? >>>Спасибо >> >> >>что делает acl ? в даном случае самую нужную вещь - генерит >>на клиенте правильный роутинг. >> >>сколько я не повторял примеры других - у меня так и не >>заработал вход в локальную сеть пока я не сделал nat. > >Как раз нат и служит у вас мостом , даже уверен без >ACL ,  у вас будет работать. Первый пост Багире , второй фатфатфат , http://www.cisco.com/en/US/tech/tk801/tk703/tech_configuration_examples_list.html
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	21. "Помогите"
	Сообщение от Сергей (??) on 13-Дек-05, 12:15  (MSK)
	Current configuration : 2064 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname SUPERROUTER ! boot-start-marker boot-end-marker ! logging buffered 51200 warnings logging monitor informational ! username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0 username cisco password 0 cisco mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 aaa new-model ! ! aaa authentication login UCL local aaa authorization network UCL local aaa session-id common ip subnet-zero no ip source-route no ip gratuitous-arps ! ! no ip domain lookup ip domain name SS7UA ! ! ip cef ip audit po max-events 100 no ftp-server write-enable ! ! ! ! ! ! crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2 ! crypto isakmp client configuration group Cisco2621 key 1234567 pool POOL ! ! crypto ipsec transform-set Table1 esp-3des esp-sha-hmac crypto ipsec df-bit clear ! ! crypto dynamic-map DYN_CKV_LPM 5 set transform-set Table1 reverse-route qos pre-classify ! ! crypto map CKV_LPM client authentication list UCL crypto map CKV_LPM isakmp authorization list UCL crypto map CKV_LPM client configuration address respond crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM ! ! ! ! interface Ethernet0 ip address 12.13.14.1 255.255.255.0 no ip redirects no ip proxy-arp ip route-cache flow no ip route-cache cef half-duplex crypto map CKV_LPM ! interface FastEthernet0 ip address 172.19.9.1 255.255.0.0 no ip redirects no ip proxy-arp ip route-cache flow no ip route-cache cef speed auto ! ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621 ip classless ip route 0.0.0.0 0.0.0.0 10.5.8.105 ip route 172.19.0.0 255.255.0.0 FastEthernet0 no ip http server ip http authentication local no ip http secure-server ! ! ! ! ! control-plane ! ! line con 0 privilege level 15 no exec line aux 0 privilege level 15 no exec line vty 0 4 privilege level 15 transport input ssh line vty 5 15 privilege level 15 transport input telnet ssh ! ! end SUPERROUTER#show route-map all STATIC routemaps DYNAMIC routemaps Current active dynamic routemaps = 0 SUPERROUTER#                           Show Route - не хочет понимать
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	22. "Помогите"
	Сообщение от Изгой (??) on 13-Дек-05, 12:55  (MSK)
	>Current configuration : 2064 bytes >! >version 12.3 >service timestamps debug datetime msec >service timestamps log datetime msec >no service password-encryption >! >hostname SUPERROUTER >! >boot-start-marker >boot-end-marker >! >logging buffered 51200 warnings >logging monitor informational >! >username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0 >username cisco password 0 cisco >mmi polling-interval 60 >no mmi auto-configure >no mmi pvc >mmi snmp-timeout 180 >aaa new-model >! >! >aaa authentication login UCL local >aaa authorization network UCL local >aaa session-id common >ip subnet-zero >no ip source-route >no ip gratuitous-arps >! >! >no ip domain lookup >ip domain name SS7UA >! >! >ip cef >ip audit po max-events 100 >no ftp-server write-enable >! >! >! >! >! >! >crypto isakmp policy 10 > encr 3des > hash md5 > authentication pre-share > group 2 >! >crypto isakmp client configuration group Cisco2621 > key 1234567 > pool POOL >! >! >crypto ipsec transform-set Table1 esp-3des esp-sha-hmac >crypto ipsec df-bit clear >! >! >crypto dynamic-map DYN_CKV_LPM 5 > set transform-set Table1 > reverse-route > qos pre-classify >! >! >crypto map CKV_LPM client authentication list UCL >crypto map CKV_LPM isakmp authorization list UCL >crypto map CKV_LPM client configuration address respond >crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM >! >! >! >! >interface Ethernet0 > ip address 12.13.14.1 255.255.255.0 > no ip redirects > no ip proxy-arp > ip route-cache flow > no ip route-cache cef > half-duplex > crypto map CKV_LPM >! >interface FastEthernet0 > ip address 172.19.9.1 255.255.0.0 > no ip redirects > no ip proxy-arp > ip route-cache flow > no ip route-cache cef > speed auto >! >ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621 >ip classless >ip route 0.0.0.0 0.0.0.0 10.5.8.105 >ip route 172.19.0.0 255.255.0.0 FastEthernet0 >no ip http server >ip http authentication local >no ip http secure-server >! >! >! >! >! >control-plane >! >! >line con 0 > privilege level 15 > no exec >line aux 0 > privilege level 15 > no exec >line vty 0 4 > privilege level 15 > transport input ssh >line vty 5 15 > privilege level 15 > transport input telnet ssh >! >! >end > >SUPERROUTER#show route-map all >STATIC routemaps >DYNAMIC routemaps > Current active dynamic routemaps = 0 >SUPERROUTER# > >Show Route - не хочет понимать Ну ё моё , вы сами этот конфиг делали , я не имею в виду что я вам писал , у вас роутер пограничный??? за ним локалка так - так.... Теперь по порядку
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	24. "Помогите"
	Сообщение от Изгой (??) on 13-Дек-05, 13:18  (MSK)
	>>Current configuration : 2064 bytes >>! >>version 12.3 >>service timestamps debug datetime msec >>service timestamps log datetime msec >>no service password-encryption >>! >>hostname SUPERROUTER >>! >>boot-start-marker >>boot-end-marker >>! >>logging buffered 51200 warnings >>logging monitor informational >>! >>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0 >>username cisco password 0 cisco >>mmi polling-interval 60 >>no mmi auto-configure >>no mmi pvc >>mmi snmp-timeout 180 >>aaa new-model >>! >>! >>aaa authentication login UCL local >>aaa authorization network UCL local >>aaa session-id common >>ip subnet-zero >>no ip source-route >>no ip gratuitous-arps >>! >>! >>no ip domain lookup >>ip domain name SS7UA >>! >>! >>ip cef >>ip audit po max-events 100 >>no ftp-server write-enable >>! >>! >>! >>! >>! >>! >>crypto isakmp policy 10 >> encr 3des >> hash md5 >> authentication pre-share >> group 2 >>! >>crypto isakmp client configuration group Cisco2621 >> key 1234567 >> pool POOL >>! >>! >>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac >>crypto ipsec df-bit clear >>! >>! >>crypto dynamic-map DYN_CKV_LPM 5 >> set transform-set Table1 >> reverse-route >> qos pre-classify >>! >>! >>crypto map CKV_LPM client authentication list UCL >>crypto map CKV_LPM isakmp authorization list UCL >>crypto map CKV_LPM client configuration address respond >>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM >>! >>! >>! >>! >>interface Ethernet0 >> ip address 12.13.14.1 255.255.255.0 >> no ip redirects >> no ip proxy-arp >> ip route-cache flow >> no ip route-cache cef >> half-duplex >> crypto map CKV_LPM >>! >>interface FastEthernet0 >> ip address 172.19.9.1 255.255.0.0 >> no ip redirects >> no ip proxy-arp >> ip route-cache flow >> no ip route-cache cef >> speed auto >>! >>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621 >>ip classless >>ip route 0.0.0.0 0.0.0.0 10.5.8.105 >>ip route 172.19.0.0 255.255.0.0 FastEthernet0 >>no ip http server >>ip http authentication local >>no ip http secure-server >>! >>! >>! >>! >>! >>control-plane >>! >>! >>line con 0 >> privilege level 15 >> no exec >>line aux 0 >> privilege level 15 >> no exec >>line vty 0 4 >> privilege level 15 >> transport input ssh >>line vty 5 15 >> privilege level 15 >> transport input telnet ssh >>! >>! >>end >> >>SUPERROUTER#show route-map all >>STATIC routemaps >>DYNAMIC routemaps >> Current active dynamic routemaps = 0 >>SUPERROUTER# >> >>Show Route - не хочет понимать > >Ну ё моё , вы сами этот конфиг делали , я не >имею в виду что я вам писал , у вас роутер >пограничный??? за ним локалка так - так.... >Теперь по порядку Current configuration : 2064 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname SUPERROUTER ! boot-start-marker boot-end-marker ! logging buffered 51200 warnings logging monitor informational ! username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0 username cisco password 0 cisco mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 aaa new-model ! ! aaa authentication login UCL local aaa authorization network UCL local aaa session-id common ip subnet-zero no ip source-route no ip gratuitous-arps ! ! no ip domain lookup ip domain name SS7UA ! ! ip cef ip audit po max-events 100 no ftp-server write-enable ! ! ! ! ! ! crypto isakmp policy 10 encr 3des hash md5 – вот это пока убрать пока не заработает потом попробуешь дописать authentication pre-share group 2 ! crypto isakmp client configuration group Cisco2621 key 1234567 pool POOL ! ! crypto ipsec transform-set Table1 esp-3des esp-sha-hmac crypto ipsec df-bit clear  - вот это пока убрать ( я даже не знаю что это – если можно мне напиши что это делает , сбивает df бит  в нуль? И  что это даёт. ! ! crypto dynamic-map DYN_CKV_LPM 5 set transform-set Table1 reverse-route qos pre-classify ! ! crypto map CKV_LPM client authentication list UCL crypto map CKV_LPM isakmp authorization list UCL crypto map CKV_LPM client configuration address respond crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM ! ! ! ! interface Ethernet0 ip address 12.13.14.1 255.255.255.0 no ip redirects no ip proxy-arp ip route-cache flow  - зачем тебе FLOW ты статистику собираешь , не вижу где ,  сервер не прописан. no ip route-cache cef  - вот это пока убери half-duplex crypto map CKV_LPM  - вот здесь что это за криптомап такой ??? когда имя твоего крипто мапа DYN_CKV_LPM ! interface FastEthernet0 ip address 172.19.9.1 255.255.0.0 no ip redirects no ip proxy-arp убрал пока speed auto ! ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621 ip classless ip route 0.0.0.0 0.0.0.0 10.5.8.105  я надеюсь здесь всё верно хоп следующего роутера . ip route 172.19.0.0 255.255.0.0 FastEthernet0  у тебя следующий роутер или сразу локалка , если локалка эта запись не  нужна….  И тогда включи            ip proxy arp пока Если же у тебя следующий роутер  то куда ты хочешь попасть Значит обрати внимание на эту запись , и убери её и включи на интерфейсе ip proxy arp no ip http server ip http authentication local   no ip http secure-server ! ! ! ! ! control-plane ! ! line con 0 privilege level 15 no exec line aux 0 privilege level 15 no exec line vty 0 4 privilege level 15 transport input ssh line vty 5 15 privilege level 15 transport input telnet ssh ! ! end SUPERROUTER#show route-map all STATIC routemaps DYNAMIC routemaps Current active dynamic routemaps = 0 SUPERROUTER#                           Show Route - не хочет понимать Да Серёж извини писать надо show ip route )  просто забываю иногда Итак – Первое – крипто мап повесь нормально – с правильным именем 2 Маршрут убери или  если у тебя за ним следующий роут пропиши ip route 172.19.0.0 255.255.0.0 адресс следующего роута. Да и если у тебя так все непонятно пиши топологию) а если в москве то по пиву ) Делаешь пробуешь пишешь. http://www.cisco.com/univercd/cc/td/doc/product/vpn/client/4_6/index.htm посмотри вот это окей )
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	25. "Помогите"
	Сообщение от Изгой (??) on 13-Дек-05, 14:11  (MSK)
	>>>Current configuration : 2064 bytes >>>! >>>version 12.3 >>>service timestamps debug datetime msec >>>service timestamps log datetime msec >>>no service password-encryption >>>! >>>hostname SUPERROUTER >>>! >>>boot-start-marker >>>boot-end-marker >>>! >>>logging buffered 51200 warnings >>>logging monitor informational >>>! >>>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0 >>>username cisco password 0 cisco >>>mmi polling-interval 60 >>>no mmi auto-configure >>>no mmi pvc >>>mmi snmp-timeout 180 >>>aaa new-model >>>! >>>! >>>aaa authentication login UCL local >>>aaa authorization network UCL local >>>aaa session-id common >>>ip subnet-zero >>>no ip source-route >>>no ip gratuitous-arps >>>! >>>! >>>no ip domain lookup >>>ip domain name SS7UA >>>! >>>! >>>ip cef >>>ip audit po max-events 100 >>>no ftp-server write-enable >>>! >>>! >>>! >>>! >>>! >>>! >>>crypto isakmp policy 10 >>> encr 3des >>> hash md5 >>> authentication pre-share >>> group 2 >>>! >>>crypto isakmp client configuration group Cisco2621 >>> key 1234567 >>> pool POOL >>>! >>>! >>>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac >>>crypto ipsec df-bit clear >>>! >>>! >>>crypto dynamic-map DYN_CKV_LPM 5 >>> set transform-set Table1 >>> reverse-route >>> qos pre-classify >>>! >>>! >>>crypto map CKV_LPM client authentication list UCL >>>crypto map CKV_LPM isakmp authorization list UCL >>>crypto map CKV_LPM client configuration address respond >>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM >>>! >>>! >>>! >>>! >>>interface Ethernet0 >>> ip address 12.13.14.1 255.255.255.0 >>> no ip redirects >>> no ip proxy-arp >>> ip route-cache flow >>> no ip route-cache cef >>> half-duplex >>> crypto map CKV_LPM >>>! >>>interface FastEthernet0 >>> ip address 172.19.9.1 255.255.0.0 >>> no ip redirects >>> no ip proxy-arp >>> ip route-cache flow >>> no ip route-cache cef >>> speed auto >>>! >>>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621 >>>ip classless >>>ip route 0.0.0.0 0.0.0.0 10.5.8.105 >>>ip route 172.19.0.0 255.255.0.0 FastEthernet0 >>>no ip http server >>>ip http authentication local >>>no ip http secure-server >>>! >>>! >>>! >>>! >>>! >>>control-plane >>>! >>>! >>>line con 0 >>> privilege level 15 >>> no exec >>>line aux 0 >>> privilege level 15 >>> no exec >>>line vty 0 4 >>> privilege level 15 >>> transport input ssh >>>line vty 5 15 >>> privilege level 15 >>> transport input telnet ssh >>>! >>>! >>>end >>> >>>SUPERROUTER#show route-map all >>>STATIC routemaps >>>DYNAMIC routemaps >>> Current active dynamic routemaps = 0 >>>SUPERROUTER# >>> >>>Show Route - не хочет понимать >> >>Ну ё моё , вы сами этот конфиг делали , я не >>имею в виду что я вам писал , у вас роутер >>пограничный??? за ним локалка так - так.... >>Теперь по порядку > >Current configuration : 2064 bytes >! >version 12.3 >service timestamps debug datetime msec >service timestamps log datetime msec >no service password-encryption >! >hostname SUPERROUTER >! >boot-start-marker >boot-end-marker >! >logging buffered 51200 warnings >logging monitor informational >! >username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0 >username cisco password 0 cisco >mmi polling-interval 60 >no mmi auto-configure >no mmi pvc >mmi snmp-timeout 180 >aaa new-model >! >! >aaa authentication login UCL local >aaa authorization network UCL local >aaa session-id common >ip subnet-zero >no ip source-route >no ip gratuitous-arps >! >! >no ip domain lookup >ip domain name SS7UA >! >! >ip cef >ip audit po max-events 100 >no ftp-server write-enable >! >! >! >! >! >! >crypto isakmp policy 10 >encr 3des >hash md5 – вот это пока убрать пока не заработает потом попробуешь >дописать >authentication pre-share >group 2 >! >crypto isakmp client configuration group Cisco2621 >key 1234567 >pool POOL >! >! >crypto ipsec transform-set Table1 esp-3des esp-sha-hmac >crypto ipsec df-bit clear  - вот это пока убрать ( я >даже не знаю что это – если можно мне напиши что >это делает , сбивает df бит  в нуль? И   >что это даёт. >! >! >crypto dynamic-map DYN_CKV_LPM 5 >set transform-set Table1 >reverse-route >qos pre-classify >! >! >crypto map CKV_LPM client authentication list UCL >crypto map CKV_LPM isakmp authorization list UCL >crypto map CKV_LPM client configuration address respond >crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM >! >! >! >! >interface Ethernet0 >ip address 12.13.14.1 255.255.255.0 >no ip redirects >no ip proxy-arp >ip route-cache flow  - зачем тебе FLOW ты статистику собираешь , >не вижу где ,  сервер не прописан. >no ip route-cache cef  - вот это пока убери >half-duplex >crypto map CKV_LPM  - вот здесь что это за криптомап такой >??? когда имя твоего крипто мапа DYN_CKV_LPM >! >interface FastEthernet0 >ip address 172.19.9.1 255.255.0.0 >no ip redirects >no ip proxy-arp >убрал пока >speed auto >! >ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621 >ip classless >ip route 0.0.0.0 0.0.0.0 10.5.8.105  я надеюсь здесь всё верно хоп >следующего роутера . >ip route 172.19.0.0 255.255.0.0 FastEthernet0  у тебя следующий роутер или сразу >локалка , если локалка эта запись не  нужна….  И >тогда включи           >  ip proxy arp пока >Если же у тебя следующий роутер  то куда ты хочешь попасть > >Значит обрати внимание на эту запись , и убери её и включи >на интерфейсе ip proxy arp > >no ip http server >ip http authentication local >no ip http secure-server >! >! >! >! >! >control-plane >! >! >line con 0 >privilege level 15 >no exec >line aux 0 >privilege level 15 >no exec >line vty 0 4 >privilege level 15 >transport input ssh >line vty 5 15 >privilege level 15 >transport input telnet ssh >! >! >end >SUPERROUTER#show route-map all >STATIC routemaps >DYNAMIC routemaps >Current active dynamic routemaps = 0 >SUPERROUTER# >Show Route - не хочет понимать >Да Серёж извини писать надо show ip route )  просто забываю >иногда > >Итак – Первое – крипто мап повесь нормально – с правильным именем > >2 Маршрут убери или  если у тебя за ним следующий роут >пропиши ip route 172.19.0.0 255.255.0.0 адресс следующего роута. > >Да и если у тебя так все непонятно пиши топологию) а если >в москве то по пиву ) >Делаешь пробуешь пишешь. >http://www.cisco.com/univercd/cc/td/doc/product/vpn/client/4_6/index.htm >посмотри вот это окей ) Итак – Первое – крипто мап повесь нормально – с правильным именем - это не надо погоричился запутался в названиях
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	26. "Помогите"
	Сообщение от Изгой (??) on 13-Дек-05, 14:17  (MSK)
	>>>>Current configuration : 2064 bytes >>>>! >>>>version 12.3 >>>>service timestamps debug datetime msec >>>>service timestamps log datetime msec >>>>no service password-encryption >>>>! >>>>hostname SUPERROUTER >>>>! >>>>boot-start-marker >>>>boot-end-marker >>>>! >>>>logging buffered 51200 warnings >>>>logging monitor informational >>>>! >>>>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0 >>>>username cisco password 0 cisco >>>>mmi polling-interval 60 >>>>no mmi auto-configure >>>>no mmi pvc >>>>mmi snmp-timeout 180 >>>>aaa new-model >>>>! >>>>! >>>>aaa authentication login UCL local >>>>aaa authorization network UCL local >>>>aaa session-id common >>>>ip subnet-zero >>>>no ip source-route >>>>no ip gratuitous-arps >>>>! >>>>! >>>>no ip domain lookup >>>>ip domain name SS7UA >>>>! >>>>! >>>>ip cef >>>>ip audit po max-events 100 >>>>no ftp-server write-enable >>>>! >>>>! >>>>! >>>>! >>>>! >>>>! >>>>crypto isakmp policy 10 >>>> encr 3des >>>> hash md5 >>>> authentication pre-share >>>> group 2 >>>>! >>>>crypto isakmp client configuration group Cisco2621 >>>> key 1234567 >>>> pool POOL >>>>! >>>>! >>>>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac >>>>crypto ipsec df-bit clear >>>>! >>>>! >>>>crypto dynamic-map DYN_CKV_LPM 5 >>>> set transform-set Table1 >>>> reverse-route >>>> qos pre-classify >>>>! >>>>! >>>>crypto map CKV_LPM client authentication list UCL >>>>crypto map CKV_LPM isakmp authorization list UCL >>>>crypto map CKV_LPM client configuration address respond >>>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM >>>>! >>>>! >>>>! >>>>! >>>>interface Ethernet0 >>>> ip address 12.13.14.1 255.255.255.0 >>>> no ip redirects >>>> no ip proxy-arp >>>> ip route-cache flow >>>> no ip route-cache cef >>>> half-duplex >>>> crypto map CKV_LPM >>>>! >>>>interface FastEthernet0 >>>> ip address 172.19.9.1 255.255.0.0 >>>> no ip redirects >>>> no ip proxy-arp >>>> ip route-cache flow >>>> no ip route-cache cef >>>> speed auto >>>>! >>>>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621 >>>>ip classless >>>>ip route 0.0.0.0 0.0.0.0 10.5.8.105 >>>>ip route 172.19.0.0 255.255.0.0 FastEthernet0 >>>>no ip http server >>>>ip http authentication local >>>>no ip http secure-server >>>>! >>>>! >>>>! >>>>! >>>>! >>>>control-plane >>>>! >>>>! >>>>line con 0 >>>> privilege level 15 >>>> no exec >>>>line aux 0 >>>> privilege level 15 >>>> no exec >>>>line vty 0 4 >>>> privilege level 15 >>>> transport input ssh >>>>line vty 5 15 >>>> privilege level 15 >>>> transport input telnet ssh >>>>! >>>>! >>>>end >>>> >>>>SUPERROUTER#show route-map all >>>>STATIC routemaps >>>>DYNAMIC routemaps >>>> Current active dynamic routemaps = 0 >>>>SUPERROUTER# >>>> >>>>Show Route - не хочет понимать >>> >>>Ну ё моё , вы сами этот конфиг делали , я не >>>имею в виду что я вам писал , у вас роутер >>>пограничный??? за ним локалка так - так.... >>>Теперь по порядку >> >>Current configuration : 2064 bytes >>! >>version 12.3 >>service timestamps debug datetime msec >>service timestamps log datetime msec >>no service password-encryption >>! >>hostname SUPERROUTER >>! >>boot-start-marker >>boot-end-marker >>! >>logging buffered 51200 warnings >>logging monitor informational >>! >>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0 >>username cisco password 0 cisco >>mmi polling-interval 60 >>no mmi auto-configure >>no mmi pvc >>mmi snmp-timeout 180 >>aaa new-model >>! >>! >>aaa authentication login UCL local >>aaa authorization network UCL local >>aaa session-id common >>ip subnet-zero >>no ip source-route >>no ip gratuitous-arps >>! >>! >>no ip domain lookup >>ip domain name SS7UA >>! >>! >>ip cef >>ip audit po max-events 100 >>no ftp-server write-enable >>! >>! >>! >>! >>! >>! >>crypto isakmp policy 10 >>encr 3des >>hash md5 – вот это пока убрать пока не заработает потом попробуешь >>дописать >>authentication pre-share >>group 2 >>! >>crypto isakmp client configuration group Cisco2621 >>key 1234567 >>pool POOL >>! >>! >>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac >>crypto ipsec df-bit clear  - вот это пока убрать ( я >>даже не знаю что это – если можно мне напиши что >>это делает , сбивает df бит  в нуль? И   >>что это даёт. >>! >>! >>crypto dynamic-map DYN_CKV_LPM 5 >>set transform-set Table1 >>reverse-route >>qos pre-classify >>! >>! >>crypto map CKV_LPM client authentication list UCL >>crypto map CKV_LPM isakmp authorization list UCL >>crypto map CKV_LPM client configuration address respond >>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM >>! >>! >>! >>! >>interface Ethernet0 >>ip address 12.13.14.1 255.255.255.0 >>no ip redirects >>no ip proxy-arp >>ip route-cache flow  - зачем тебе FLOW ты статистику собираешь , >>не вижу где ,  сервер не прописан. >>no ip route-cache cef  - вот это пока убери >>half-duplex >>crypto map CKV_LPM  - вот здесь что это за криптомап такой >>??? когда имя твоего крипто мапа DYN_CKV_LPM >>! >>interface FastEthernet0 >>ip address 172.19.9.1 255.255.0.0 >>no ip redirects >>no ip proxy-arp >>убрал пока >>speed auto >>! >>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621 >>ip classless >>ip route 0.0.0.0 0.0.0.0 10.5.8.105  я надеюсь здесь всё верно хоп >>следующего роутера . >>ip route 172.19.0.0 255.255.0.0 FastEthernet0  у тебя следующий роутер или сразу >>локалка , если локалка эта запись не  нужна….  И >>тогда включи           >>  ip proxy arp пока >>Если же у тебя следующий роутер  то куда ты хочешь попасть >> >>Значит обрати внимание на эту запись , и убери её и включи >>на интерфейсе ip proxy arp >> >>no ip http server >>ip http authentication local >>no ip http secure-server >>! >>! >>! >>! >>! >>control-plane >>! >>! >>line con 0 >>privilege level 15 >>no exec >>line aux 0 >>privilege level 15 >>no exec >>line vty 0 4 >>privilege level 15 >>transport input ssh >>line vty 5 15 >>privilege level 15 >>transport input telnet ssh >>! >>! >>end >>SUPERROUTER#show route-map all >>STATIC routemaps >>DYNAMIC routemaps >>Current active dynamic routemaps = 0 >>SUPERROUTER# >>Show Route - не хочет понимать >>Да Серёж извини писать надо show ip route )  просто забываю >>иногда >> >>Итак – Первое – крипто мап повесь нормально – с правильным именем >> >>2 Маршрут убери или  если у тебя за ним следующий роут >>пропиши ip route 172.19.0.0 255.255.0.0 адресс следующего роута. >> >>Да и если у тебя так все непонятно пиши топологию) а если >>в москве то по пиву ) >>Делаешь пробуешь пишешь. >>http://www.cisco.com/univercd/cc/td/doc/product/vpn/client/4_6/index.htm >>посмотри вот это окей ) > >Итак – Первое – крипто мап повесь нормально – с правильным именем >- это не надо погоричился запутался в названиях crypto map CKV_LPM client authentication list UCL >crypto map CKV_LPM- вот здесь у тебя команды clientmap нету ??( я просто не помню оно залаеться или нет ) isakmp authorization list UCL >crypto map CKV_LPM client configuration address respond >crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	27. "Помогите"
	Сообщение от Изгой (??) on 13-Дек-05, 14:48  (MSK)
	>>>>>Current configuration : 2064 bytes >>>>>! >>>>>version 12.3 >>>>>service timestamps debug datetime msec >>>>>service timestamps log datetime msec >>>>>no service password-encryption >>>>>! >>>>>hostname SUPERROUTER >>>>>! >>>>>boot-start-marker >>>>>boot-end-marker >>>>>! >>>>>logging buffered 51200 warnings >>>>>logging monitor informational >>>>>! >>>>>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0 >>>>>username cisco password 0 cisco >>>>>mmi polling-interval 60 >>>>>no mmi auto-configure >>>>>no mmi pvc >>>>>mmi snmp-timeout 180 >>>>>aaa new-model >>>>>! >>>>>! >>>>>aaa authentication login UCL local >>>>>aaa authorization network UCL local >>>>>aaa session-id common >>>>>ip subnet-zero >>>>>no ip source-route >>>>>no ip gratuitous-arps >>>>>! >>>>>! >>>>>no ip domain lookup >>>>>ip domain name SS7UA >>>>>! >>>>>! >>>>>ip cef >>>>>ip audit po max-events 100 >>>>>no ftp-server write-enable >>>>>! >>>>>! >>>>>! >>>>>! >>>>>! >>>>>! >>>>>crypto isakmp policy 10 >>>>> encr 3des >>>>> hash md5 >>>>> authentication pre-share >>>>> group 2 >>>>>! >>>>>crypto isakmp client configuration group Cisco2621 >>>>> key 1234567 >>>>> pool POOL >>>>>! >>>>>! >>>>>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac >>>>>crypto ipsec df-bit clear >>>>>! >>>>>! >>>>>crypto dynamic-map DYN_CKV_LPM 5 >>>>> set transform-set Table1 >>>>> reverse-route >>>>> qos pre-classify >>>>>! >>>>>! >>>>>crypto map CKV_LPM client authentication list UCL >>>>>crypto map CKV_LPM isakmp authorization list UCL >>>>>crypto map CKV_LPM client configuration address respond >>>>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM >>>>>! >>>>>! >>>>>! >>>>>! >>>>>interface Ethernet0 >>>>> ip address 12.13.14.1 255.255.255.0 >>>>> no ip redirects >>>>> no ip proxy-arp >>>>> ip route-cache flow >>>>> no ip route-cache cef >>>>> half-duplex >>>>> crypto map CKV_LPM >>>>>! >>>>>interface FastEthernet0 >>>>> ip address 172.19.9.1 255.255.0.0 >>>>> no ip redirects >>>>> no ip proxy-arp >>>>> ip route-cache flow >>>>> no ip route-cache cef >>>>> speed auto >>>>>! >>>>>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621 >>>>>ip classless >>>>>ip route 0.0.0.0 0.0.0.0 10.5.8.105 >>>>>ip route 172.19.0.0 255.255.0.0 FastEthernet0 >>>>>no ip http server >>>>>ip http authentication local >>>>>no ip http secure-server >>>>>! >>>>>! >>>>>! >>>>>! >>>>>! >>>>>control-plane >>>>>! >>>>>! >>>>>line con 0 >>>>> privilege level 15 >>>>> no exec >>>>>line aux 0 >>>>> privilege level 15 >>>>> no exec >>>>>line vty 0 4 >>>>> privilege level 15 >>>>> transport input ssh >>>>>line vty 5 15 >>>>> privilege level 15 >>>>> transport input telnet ssh >>>>>! >>>>>! >>>>>end >>>>> >>>>>SUPERROUTER#show route-map all >>>>>STATIC routemaps >>>>>DYNAMIC routemaps >>>>> Current active dynamic routemaps = 0 >>>>>SUPERROUTER# >>>>> >>>>>Show Route - не хочет понимать >>>> >>>>Ну ё моё , вы сами этот конфиг делали , я не >>>>имею в виду что я вам писал , у вас роутер >>>>пограничный??? за ним локалка так - так.... >>>>Теперь по порядку >>> >>>Current configuration : 2064 bytes >>>! >>>version 12.3 >>>service timestamps debug datetime msec >>>service timestamps log datetime msec >>>no service password-encryption >>>! >>>hostname SUPERROUTER >>>! >>>boot-start-marker >>>boot-end-marker >>>! >>>logging buffered 51200 warnings >>>logging monitor informational >>>! >>>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0 >>>username cisco password 0 cisco >>>mmi polling-interval 60 >>>no mmi auto-configure >>>no mmi pvc >>>mmi snmp-timeout 180 >>>aaa new-model >>>! >>>! >>>aaa authentication login UCL local >>>aaa authorization network UCL local >>>aaa session-id common >>>ip subnet-zero >>>no ip source-route >>>no ip gratuitous-arps >>>! >>>! >>>no ip domain lookup >>>ip domain name SS7UA >>>! >>>! >>>ip cef >>>ip audit po max-events 100 >>>no ftp-server write-enable >>>! >>>! >>>! >>>! >>>! >>>! >>>crypto isakmp policy 10 >>>encr 3des >>>hash md5 – вот это пока убрать пока не заработает потом попробуешь >>>дописать >>>authentication pre-share >>>group 2 >>>! >>>crypto isakmp client configuration group Cisco2621 >>>key 1234567 >>>pool POOL >>>! >>>! >>>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac >>>crypto ipsec df-bit clear  - вот это пока убрать ( я >>>даже не знаю что это – если можно мне напиши что >>>это делает , сбивает df бит  в нуль? И   >>>что это даёт. >>>! >>>! >>>crypto dynamic-map DYN_CKV_LPM 5 >>>set transform-set Table1 >>>reverse-route >>>qos pre-classify >>>! >>>! >>>crypto map CKV_LPM client authentication list UCL >>>crypto map CKV_LPM isakmp authorization list UCL >>>crypto map CKV_LPM client configuration address respond >>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM >>>! >>>! >>>! >>>! >>>interface Ethernet0 >>>ip address 12.13.14.1 255.255.255.0 >>>no ip redirects >>>no ip proxy-arp >>>ip route-cache flow  - зачем тебе FLOW ты статистику собираешь , >>>не вижу где ,  сервер не прописан. >>>no ip route-cache cef  - вот это пока убери >>>half-duplex >>>crypto map CKV_LPM  - вот здесь что это за криптомап такой >>>??? когда имя твоего крипто мапа DYN_CKV_LPM >>>! >>>interface FastEthernet0 >>>ip address 172.19.9.1 255.255.0.0 >>>no ip redirects >>>no ip proxy-arp >>>убрал пока >>>speed auto >>>! >>>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621 >>>ip classless >>>ip route 0.0.0.0 0.0.0.0 10.5.8.105  я надеюсь здесь всё верно хоп >>>следующего роутера . >>>ip route 172.19.0.0 255.255.0.0 FastEthernet0  у тебя следующий роутер или сразу >>>локалка , если локалка эта запись не  нужна….  И >>>тогда включи           >>>  ip proxy arp пока >>>Если же у тебя следующий роутер  то куда ты хочешь попасть >>> >>>Значит обрати внимание на эту запись , и убери её и включи >>>на интерфейсе ip proxy arp >>> >>>no ip http server >>>ip http authentication local >>>no ip http secure-server >>>! >>>! >>>! >>>! >>>! >>>control-plane >>>! >>>! >>>line con 0 >>>privilege level 15 >>>no exec >>>line aux 0 >>>privilege level 15 >>>no exec >>>line vty 0 4 >>>privilege level 15 >>>transport input ssh >>>line vty 5 15 >>>privilege level 15 >>>transport input telnet ssh >>>! >>>! >>>end >>>SUPERROUTER#show route-map all >>>STATIC routemaps >>>DYNAMIC routemaps >>>Current active dynamic routemaps = 0 >>>SUPERROUTER# >>>Show Route - не хочет понимать >>>Да Серёж извини писать надо show ip route )  просто забываю >>>иногда >>> >>>Итак – Первое – крипто мап повесь нормально – с правильным именем >>> >>>2 Маршрут убери или  если у тебя за ним следующий роут >>>пропиши ip route 172.19.0.0 255.255.0.0 адресс следующего роута. >>> >>>Да и если у тебя так все непонятно пиши топологию) а если >>>в москве то по пиву ) >>>Делаешь пробуешь пишешь. >>>http://www.cisco.com/univercd/cc/td/doc/product/vpn/client/4_6/index.htm >>>посмотри вот это окей ) >> >>Итак – Первое – крипто мап повесь нормально – с правильным именем >>- это не надо погоричился запутался в названиях >crypto map CKV_LPM client authentication list UCL >>crypto map CKV_LPM- вот здесь у тебя команды clientmap нету ??( я просто не помню оно залаеться или нет ) isakmp authorization list UCL >>crypto map CKV_LPM client configuration address respond >>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM Насчёт ACL на крипто мапе пишут вот что Enabling Split Tunneling To enable split tunneling for the VPN connections, make sure that you have an access list configured on the router. In the example below, the access-list 108 command is associated with the group for split-tunneling purposes, and the tunnel is formed to the 14.38.X.X /16 network. Traffic flows unencrypted to devices not in access list 108 (for example, the Internet). access-list 108 permit ip 14.38.0.0 0.0.255.255    14.1.1.0 0.0.0.255 Then apply the access list on the group properties. crypto isakmp client configuration group 3000client key cisco123 dns 14.38.100.10 wins 14.38.100.20 domain cisco.com pool ippool acl 108
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	28. "Помогите"
	Сообщение от Сергей (??) on 13-Дек-05, 15:13  (MSK)
	Здравствуйте. Я не из Москвы, из Винницы (Украина) :) crypto ipsec df-bit clear - когда по туннелю идет Remote Admin, он ставит бит Dont Fragment и пускает здоровенные пакеты. С учетом шифрования получается глюк - работает через раз, поэтому посоветовали принудительно его (флаг) чистить. крипто мапы: CKV_LPM - она, собственно, вешается на интерфейс, а в нее может входить несколько, в том числе и DYN_CKV_LPM - для VPN клиентов. Кроме этого, потом (когда заработает), будут подниматься туннели между этой и другими цисками. А VPN клиент сможет заходить только на эту циску. Такая система, но без VPN клиента, уже работает (8 цисок). Щас потребовали, чтобы можно было заходить в эту сеть еще и с VPN клиентом... Ссылки почитаю, спасибо
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

23. "и опять cisco 2651 + cisco vpn client :-)"
Сообщение от Изгой (??) on 13-Дек-05, 12:56  (MSK)
>Погоди чутка я разберу твой конфиг ок в редакторе.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	29. "и опять cisco 2651 + cisco vpn client :-)"
	Сообщение от Сергей (??) on 13-Дек-05, 15:14  (MSK)
	>>Погоди чутка я разберу твой конфиг ок в редакторе. Да, и еще Gateway of last resort is not set C    172.19.0.0/16 is directly connected, FastEthernet0      172.18.0.0/32 is subnetted, 1 subnets S       172.18.3.6 [1/0] via 12.13.14.10      12.0.0.0/24 is subnetted, 1 subnets C       12.13.14.0 is directly connected, Ethernet0 Вот
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	30. "и опять cisco 2651 + cisco vpn client :-)"
	Сообщение от Сергей (??) on 13-Дек-05, 15:15  (MSK)
	>>Погоди чутка я разберу твой конфиг ок в редакторе. Я могу ошибаться, но Split Tunneling - это возможность для клиента выходить из туннеля в сеть, по которой он (туннель) проходит :(
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	31. "и опять cisco 2651 + cisco vpn client :-)"
	Сообщение от Изгой (??) on 13-Дек-05, 15:55  (MSK)
	>>>>Current configuration : 2064 bytes >>>>! >>>>version 12.3 >>>>service timestamps debug datetime msec >>>>service timestamps log datetime msec >>>>no service password-encryption >>>>! >>>>hostname SUPERROUTER >>>>! >>>>boot-start-marker >>>>boot-end-marker >>>>! >>>>logging buffered 51200 warnings >>>>logging monitor informational >>>>! >>>>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0 >>>>username cisco password 0 cisco >>>>mmi polling-interval 60 >>>>no mmi auto-configure >>>>no mmi pvc >>>>mmi snmp-timeout 180 >>>>aaa new-model >>>>! >>>>! >>>>aaa authentication login UCL local >>>>aaa authorization network UCL local >>>>aaa session-id common >>>>ip subnet-zero >>>>no ip source-route >>>>no ip gratuitous-arps >>>>! >>>>! >>>>no ip domain lookup >>>>ip domain name SS7UA >>>>! >>>>! >>>>ip cef >>>>ip audit po max-events 100 >>>>no ftp-server write-enable >>>>! >>>>! >>>>! >>>>! >>>>! >>>>! >>>>crypto isakmp policy 10 >>>> encr 3des >>>> hash md5 >>>> authentication pre-share >>>> group 2 >>>>! >>>>crypto isakmp client configuration group Cisco2621 >>>> key 1234567 >>>> pool POOL >>>>! >>>>! >>>>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac >>>>crypto ipsec df-bit clear >>>>! >>>>! >>>>crypto dynamic-map DYN_CKV_LPM 5 >>>> set transform-set Table1 >>>> reverse-route >>>> qos pre-classify >>>>! >>>>! >>>>crypto map CKV_LPM client authentication list UCL >>>>crypto map CKV_LPM isakmp authorization list UCL >>>>crypto map CKV_LPM client configuration address respond >>>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM >>>>! >>>>! >>>>! >>>>! >>>>interface Ethernet0 >>>> ip address 12.13.14.1 255.255.255.0 >>>> no ip redirects >>>> no ip proxy-arp >>>> ip route-cache flow >>>> no ip route-cache cef >>>> half-duplex >>>> crypto map CKV_LPM >>>>! >>>>interface FastEthernet0 >>>> ip address 172.19.9.1 255.255.0.0 >>>> no ip redirects >>>> no ip proxy-arp >>>> ip route-cache flow >>>> no ip route-cache cef >>>> speed auto >>>>! >>>>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621 >>>>ip classless >>>>ip route 0.0.0.0 0.0.0.0 10.5.8.105 >>>>ip route 172.19.0.0 255.255.0.0 FastEthernet0 >>>>no ip http server >>>>ip http authentication local >>>>no ip http secure-server >>>>! >>>>! >>>>! >>>>! >>>>! >>>>control-plane >>>>! >>>>! >>>>line con 0 >>>> privilege level 15 >>>> no exec >>>>line aux 0 >>>> privilege level 15 >>>> no exec >>>>line vty 0 4 >>>> privilege level 15 >>>> transport input ssh >>>>line vty 5 15 >>>> privilege level 15 >>>> transport input telnet ssh >>>>! >>>>! >>>>end >>>> >>>>SUPERROUTER#show route-map all >>>>STATIC routemaps >>>>DYNAMIC routemaps >>>> Current active dynamic routemaps = 0 >>>>SUPERROUTER# >>>> >>>>Show Route - не хочет понимать >>> >>>Ну ё моё , вы сами этот конфиг делали , я не >>>имею в виду что я вам писал , у вас роутер >>>пограничный??? за ним локалка так - так.... >>>Теперь по порядку >> >>Current configuration : 2064 bytes >>! >>version 12.3 >>service timestamps debug datetime msec >>service timestamps log datetime msec >>no service password-encryption >>! >>hostname SUPERROUTER >>! >>boot-start-marker >>boot-end-marker >>! >>logging buffered 51200 warnings >>logging monitor informational >>! >>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0 >>username cisco password 0 cisco >>mmi polling-interval 60 >>no mmi auto-configure >>no mmi pvc >>mmi snmp-timeout 180 >>aaa new-model >>! >>! >>aaa authentication login UCL local >>aaa authorization network UCL local >>aaa session-id common >>ip subnet-zero >>no ip source-route >>no ip gratuitous-arps >>! >>! >>no ip domain lookup >>ip domain name SS7UA >>! >>! >>ip cef >>ip audit po max-events 100 >>no ftp-server write-enable >>! >>! >>! >>! >>! >>! >>crypto isakmp policy 10 >>encr 3des >>hash md5 – вот это пока убрать пока не заработает потом попробуешь >>дописать >>authentication pre-share >>group 2 >>! >>crypto isakmp client configuration group Cisco2621 >>key 1234567 >>pool POOL >>! >>! >>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac >>crypto ipsec df-bit clear  - вот это пока убрать ( я >>>> >>! >>crypto dynamic-map DYN_CKV_LPM 5 >>set transform-set Table1 >>reverse-route >>qos pre-classify >>! >>! >>crypto map CKV_LPM client authentication list UCL >>crypto map CKV_LPM isakmp authorization list UCL >>crypto map CKV_LPM client configuration address respond >>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM >>! >>! >>! >>! >>interface Ethernet0 >>ip address 12.13.14.1 255.255.255.0 >>no ip redirects >>no ip proxy-arp >>ip route-cache flow  - зачем тебе FLOW ты статистику собираешь , >>не вижу где ,  сервер не прописан. >>no ip route-cache cef  - вот это пока убери >>half-duplex >>crypto map CKV_LPM   >>! >>interface FastEthernet0 >>ip address 172.19.9.1 255.255.0.0 >>no ip redirects >>no ip proxy-arp >>убрал пока >>speed auto >>! >>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621 >>ip classless >>ip route 0.0.0.0 0.0.0.0 10.5.8.105  я надеюсь здесь всё верно хоп >>следующего роутера . >>ip route 172.19.0.0 255.255.0.0 FastEthernet0  у тебя следующий роутер или сразу >>локалка , если локалка эта запись не  нужна….  И >>тогда включи           >>  ip proxy arp пока >>Если же у тебя следующий роутер  то куда ты хочешь попасть >> >>Значит обрати внимание на эту запись , и убери её и включи >>на интерфейсе ip proxy arp >> >>no ip http server >>ip http authentication local >>no ip http secure-server >>! >>! >>! >>! >>! >>control-plane >>! >>! >>line con 0 >>privilege level 15 >>no exec >>line aux 0 >>privilege level 15 >>no exec >>line vty 0 4 >>privilege level 15 >>transport input ssh >>line vty 5 15 >>privilege level 15 >>transport input telnet ssh >>! >>! >>end >>SUPERROUTER#show route-map all >>STATIC routemaps >>DYNAMIC routemaps >>Current active dynamic routemaps = 0 >>SUPERROUTER# >>Show Route - не хочет понимать >>Да Серёж извини писать надо show ip route )  просто забываю >>иногда >> >> >>2 Маршрут убери или  если у тебя за ним следующий роут >>пропиши ip route 172.19.0.0 255.255.0.0 адресс следующего роута. >> >>Да и если у тебя так все непонятно пиши топологию) Посмотрел по маршрутизации всё нормуль , маршрут прописываеться правильно, насчёт Сплит туннеля я это понимаю так что то что у тебя прописано в акцесс листе тот трафик шифруеться ,остальной проходит мимо в интернет. если так как приведено выще работать не будет , пропиши акцесс лист >>crypto isakmp client configuration group Cisco2621 >>key 1234567 >>pool POOL acl 100 acl 100 permit ip 172.19.0.0 0.0.255.255 172.18.3.0 0.0.0.255  пока так сделай так пока как я написал в точности ,сначала без acl потом если не заработает добавь, кстати у тебя версия cisco vpn client какая и как настроена и под что , у меня под винды версия 4.6.3, да а без шифрования машины пингуют друг друга . всё пока.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	32. "и опять cisco 2651 + cisco vpn client :-)"
	Сообщение от Изгой (??) on 13-Дек-05, 16:04  (MSK)
	>>>>>Current configuration : 2064 bytes >>>>>! >>>>>version 12.3 >>>>>service timestamps debug datetime msec >>>>>service timestamps log datetime msec >>>>>no service password-encryption >>>>>! >>>>>hostname SUPERROUTER >>>>>! >>>>>boot-start-marker >>>>>boot-end-marker >>>>>! >>>>>logging buffered 51200 warnings >>>>>logging monitor informational >>>>>! >>>>>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0 >>>>>username cisco password 0 cisco >>>>>mmi polling-interval 60 >>>>>no mmi auto-configure >>>>>no mmi pvc >>>>>mmi snmp-timeout 180 >>>>>aaa new-model >>>>>! >>>>>! >>>>>aaa authentication login UCL local >>>>>aaa authorization network UCL local >>>>>aaa session-id common >>>>>ip subnet-zero >>>>>no ip source-route >>>>>no ip gratuitous-arps >>>>>! >>>>>! >>>>>no ip domain lookup >>>>>ip domain name SS7UA >>>>>! >>>>>! >>>>>ip cef >>>>>ip audit po max-events 100 >>>>>no ftp-server write-enable >>>>>! >>>>>! >>>>>! >>>>>! >>>>>! >>>>>! >>>>>crypto isakmp policy 10 >>>>> encr 3des >>>>> hash md5 >>>>> authentication pre-share >>>>> group 2 >>>>>! >>>>>crypto isakmp client configuration group Cisco2621 >>>>> key 1234567 >>>>> pool POOL >>>>>! >>>>>! >>>>>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac >>>>>crypto ipsec df-bit clear >>>>>! >>>>>! >>>>>crypto dynamic-map DYN_CKV_LPM 5 >>>>> set transform-set Table1 >>>>> reverse-route >>>>> qos pre-classify >>>>>! >>>>>! >>>>>crypto map CKV_LPM client authentication list UCL >>>>>crypto map CKV_LPM isakmp authorization list UCL >>>>>crypto map CKV_LPM client configuration address respond >>>>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM >>>>>! >>>>>! >>>>>! >>>>>! >>>>>interface Ethernet0 >>>>> ip address 12.13.14.1 255.255.255.0 >>>>> no ip redirects >>>>> no ip proxy-arp >>>>> ip route-cache flow >>>>> no ip route-cache cef >>>>> half-duplex >>>>> crypto map CKV_LPM >>>>>! >>>>>interface FastEthernet0 >>>>> ip address 172.19.9.1 255.255.0.0 >>>>> no ip redirects >>>>> no ip proxy-arp >>>>> ip route-cache flow >>>>> no ip route-cache cef >>>>> speed auto >>>>>! >>>>>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621 >>>>>ip classless >>>>>ip route 0.0.0.0 0.0.0.0 10.5.8.105 >>>>>ip route 172.19.0.0 255.255.0.0 FastEthernet0 >>>>>no ip http server >>>>>ip http authentication local >>>>>no ip http secure-server >>>>>! >>>>>! >>>>>! >>>>>! >>>>>! >>>>>control-plane >>>>>! >>>>>! >>>>>line con 0 >>>>> privilege level 15 >>>>> no exec >>>>>line aux 0 >>>>> privilege level 15 >>>>> no exec >>>>>line vty 0 4 >>>>> privilege level 15 >>>>> transport input ssh >>>>>line vty 5 15 >>>>> privilege level 15 >>>>> transport input telnet ssh >>>>>! >>>>>! >>>>>end >>>>> >>>>>SUPERROUTER#show route-map all >>>>>STATIC routemaps >>>>>DYNAMIC routemaps >>>>> Current active dynamic routemaps = 0 >>>>>SUPERROUTER# >>>>> >>>>>Show Route - не хочет понимать >>>> >>>>Ну ё моё , вы сами этот конфиг делали , я не >>>>имею в виду что я вам писал , у вас роутер >>>>пограничный??? за ним локалка так - так.... >>>>Теперь по порядку >>> >>>Current configuration : 2064 bytes >>>! >>>version 12.3 >>>service timestamps debug datetime msec >>>service timestamps log datetime msec >>>no service password-encryption >>>! >>>hostname SUPERROUTER >>>! >>>boot-start-marker >>>boot-end-marker >>>! >>>logging buffered 51200 warnings >>>logging monitor informational >>>! >>>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0 >>>username cisco password 0 cisco >>>mmi polling-interval 60 >>>no mmi auto-configure >>>no mmi pvc >>>mmi snmp-timeout 180 >>>aaa new-model >>>! >>>! >>>aaa authentication login UCL local >>>aaa authorization network UCL local >>>aaa session-id common >>>ip subnet-zero >>>no ip source-route >>>no ip gratuitous-arps >>>! >>>! >>>no ip domain lookup >>>ip domain name SS7UA >>>! >>>! >>>ip cef >>>ip audit po max-events 100 >>>no ftp-server write-enable >>>! >>>! >>>! >>>! >>>! >>>! >>>crypto isakmp policy 10 >>>encr 3des >>>hash md5 – вот это пока убрать пока не заработает потом попробуешь >>>дописать >>>authentication pre-share >>>group 2 >>>! >>>crypto isakmp client configuration group Cisco2621 >>>key 1234567 >>>pool POOL >>>! >>>! >>>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac >>>crypto ipsec df-bit clear  - вот это пока убрать ( я >>>>> >>>! >>>crypto dynamic-map DYN_CKV_LPM 5 >>>set transform-set Table1 >>>reverse-route >>>qos pre-classify >>>! >>>! >>>crypto map CKV_LPM client authentication list UCL >>>crypto map CKV_LPM isakmp authorization list UCL >>>crypto map CKV_LPM client configuration address respond >>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM >>>! >>>! >>>! >>>! >>>interface Ethernet0 >>>ip address 12.13.14.1 255.255.255.0 >>>no ip redirects >>>no ip proxy-arp >>>ip route-cache flow  - зачем тебе FLOW ты статистику собираешь , >>>не вижу где ,  сервер не прописан. >>>no ip route-cache cef  - вот это пока убери >>>half-duplex >>>crypto map CKV_LPM   >>>! >>>interface FastEthernet0 >>>ip address 172.19.9.1 255.255.0.0 >>>no ip redirects >>>no ip proxy-arp >>>убрал пока >>>speed auto >>>! >>>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621 >>>ip classless >>>ip route 0.0.0.0 0.0.0.0 10.5.8.105  я надеюсь здесь всё верно хоп >>>следующего роутера . >>>ip route 172.19.0.0 255.255.0.0 FastEthernet0  у тебя следующий роутер или сразу >>>локалка , если локалка эта запись не  нужна….  И >>>тогда включи           >>>  ip proxy arp пока >>>Если же у тебя следующий роутер  то куда ты хочешь попасть >>> >>>Значит обрати внимание на эту запись , и убери её и включи >>>на интерфейсе ip proxy arp >>> >>>no ip http server >>>ip http authentication local >>>no ip http secure-server >>>! >>>! >>>! >>>! >>>! >>>control-plane >>>! >>>! >>>line con 0 >>>privilege level 15 >>>no exec >>>line aux 0 >>>privilege level 15 >>>no exec >>>line vty 0 4 >>>privilege level 15 >>>transport input ssh >>>line vty 5 15 >>>privilege level 15 >>>transport input telnet ssh >>>! >>>! >>>end >>>SUPERROUTER#show route-map all >>>STATIC routemaps >>>DYNAMIC routemaps >>>Current active dynamic routemaps = 0 >>>SUPERROUTER# >>>Show Route - не хочет понимать >>>Да Серёж извини писать надо show ip route )  просто забываю >>>иногда >>> > >>> >>>2 Маршрут убери или  если у тебя за ним следующий роут >>>пропиши ip route 172.19.0.0 255.255.0.0 адресс следующего роута. >>> >>>Да и если у тебя так все непонятно пиши топологию) >Посмотрел по маршрутизации всё нормуль , маршрут прописываеться правильно, >насчёт Сплит туннеля я это понимаю так что то что у тебя >прописано в акцесс листе тот трафик шифруеться ,остальной проходит мимо в >интернет. >если так как приведено выще работать не будет , пропиши акцесс лист > >>>crypto isakmp client configuration group Cisco2621 >>>key 1234567 >>>pool POOL >acl 100 > >acl 100 permit ip 172.19.0.0 0.0.255.255 172.18.3.0 0.0.0.255  пока так > >сделай так пока как я написал в точности ,сначала без acl потом >если не заработает добавь, кстати у тебя версия cisco vpn client >какая и как настроена и под что , у меня под >винды версия 4.6.3, да а без шифрования машины пингуют друг друга >. >всё пока. Стоп Да, и еще Gateway of last resort is not set C    172.19.0.0/16 is directly connected, FastEthernet0      172.18.0.0/32 is subnetted, 1 subnets А вот это что за висюн???? Ты мне конфиг весь напечатал?? S       172.18.3.6 [1/0] via 12.13.14.10      12.0.0.0/24 is subnetted, 1 subnets C       12.13.14.0 is directly connected, Ethernet0 Вот
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	33. "и опять cisco 2651 + cisco vpn client :-)"
	Сообщение от Изгой (??) on 13-Дек-05, 16:41  (MSK)
	>>>>>>Current configuration : 2064 bytes >>>>>>! >>>>>>version 12.3 >>>>>>service timestamps debug datetime msec >>>>>>service timestamps log datetime msec >>>>>>no service password-encryption >>>>>>! >>>>>>hostname SUPERROUTER >>>>>>! >>>>>>boot-start-marker >>>>>>boot-end-marker >>>>>>! >>>>>>logging buffered 51200 warnings >>>>>>logging monitor informational >>>>>>! >>>>>>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0 >>>>>>username cisco password 0 cisco >>>>>>mmi polling-interval 60 >>>>>>no mmi auto-configure >>>>>>no mmi pvc >>>>>>mmi snmp-timeout 180 >>>>>>aaa new-model >>>>>>! >>>>>>! >>>>>>aaa authentication login UCL local >>>>>>aaa authorization network UCL local >>>>>>aaa session-id common >>>>>>ip subnet-zero >>>>>>no ip source-route >>>>>>no ip gratuitous-arps >>>>>>! >>>>>>! >>>>>>no ip domain lookup >>>>>>ip domain name SS7UA >>>>>>! >>>>>>! >>>>>>ip cef >>>>>>ip audit po max-events 100 >>>>>>no ftp-server write-enable >>>>>>! >>>>>>! >>>>>>! >>>>>>! >>>>>>! >>>>>>! >>>>>>crypto isakmp policy 10 >>>>>> encr 3des >>>>>> hash md5 >>>>>> authentication pre-share >>>>>> group 2 >>>>>>! >>>>>>crypto isakmp client configuration group Cisco2621 >>>>>> key 1234567 >>>>>> pool POOL >>>>>>! >>>>>>! >>>>>>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac >>>>>>crypto ipsec df-bit clear >>>>>>! >>>>>>! >>>>>>crypto dynamic-map DYN_CKV_LPM 5 >>>>>> set transform-set Table1 >>>>>> reverse-route >>>>>> qos pre-classify >>>>>>! >>>>>>! >>>>>>crypto map CKV_LPM client authentication list UCL >>>>>>crypto map CKV_LPM isakmp authorization list UCL >>>>>>crypto map CKV_LPM client configuration address respond >>>>>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM >>>>>>! >>>>>>! >>>>>>! >>>>>>! >>>>>>interface Ethernet0 >>>>>> ip address 12.13.14.1 255.255.255.0 >>>>>> no ip redirects >>>>>> no ip proxy-arp >>>>>> ip route-cache flow >>>>>> no ip route-cache cef >>>>>> half-duplex >>>>>> crypto map CKV_LPM >>>>>>! >>>>>>interface FastEthernet0 >>>>>> ip address 172.19.9.1 255.255.0.0 >>>>>> no ip redirects >>>>>> no ip proxy-arp >>>>>> ip route-cache flow >>>>>> no ip route-cache cef >>>>>> speed auto >>>>>>! >>>>>>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621 >>>>>>ip classless >>>>>>ip route 0.0.0.0 0.0.0.0 10.5.8.105 >>>>>>ip route 172.19.0.0 255.255.0.0 FastEthernet0 >>>>>>no ip http server >>>>>>ip http authentication local >>>>>>no ip http secure-server >>>>>>! >>>>>>! >>>>>>! >>>>>>! >>>>>>! >>>>>>control-plane >>>>>>! >>>>>>! >>>>>>line con 0 >>>>>> privilege level 15 >>>>>> no exec >>>>>>line aux 0 >>>>>> privilege level 15 >>>>>> no exec >>>>>>line vty 0 4 >>>>>> privilege level 15 >>>>>> transport input ssh >>>>>>line vty 5 15 >>>>>> privilege level 15 >>>>>> transport input telnet ssh >>>>>>! >>>>>>! >>>>>>end >>>>>> >>>>>>SUPERROUTER#show route-map all >>>>>>STATIC routemaps >>>>>>DYNAMIC routemaps >>>>>> Current active dynamic routemaps = 0 >>>>>>SUPERROUTER# >>>>>> >>>>>>Show Route - не хочет понимать >>>>> >>>>>Ну ё моё , вы сами этот конфиг делали , я не >>>>>имею в виду что я вам писал , у вас роутер >>>>>пограничный??? за ним локалка так - так.... >>>>>Теперь по порядку >>>> >>>>Current configuration : 2064 bytes >>>>! >>>>version 12.3 >>>>service timestamps debug datetime msec >>>>service timestamps log datetime msec >>>>no service password-encryption >>>>! >>>>hostname SUPERROUTER >>>>! >>>>boot-start-marker >>>>boot-end-marker >>>>! >>>>logging buffered 51200 warnings >>>>logging monitor informational >>>>! >>>>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0 >>>>username cisco password 0 cisco >>>>mmi polling-interval 60 >>>>no mmi auto-configure >>>>no mmi pvc >>>>mmi snmp-timeout 180 >>>>aaa new-model >>>>! >>>>! >>>>aaa authentication login UCL local >>>>aaa authorization network UCL local >>>>aaa session-id common >>>>ip subnet-zero >>>>no ip source-route >>>>no ip gratuitous-arps >>>>! >>>>! >>>>no ip domain lookup >>>>ip domain name SS7UA >>>>! >>>>! >>>>ip cef >>>>ip audit po max-events 100 >>>>no ftp-server write-enable >>>>! >>>>! >>>>! >>>>! >>>>! >>>>! >>>>crypto isakmp policy 10 >>>>encr 3des >>>>hash md5 – вот это пока убрать пока не заработает потом попробуешь >>>>дописать >>>>authentication pre-share >>>>group 2 >>>>! >>>>crypto isakmp client configuration group Cisco2621 >>>>key 1234567 >>>>pool POOL >>>>! >>>>! >>>>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac >>>>crypto ipsec df-bit clear  - вот это пока убрать ( я >>>>>> >>>>! >>>>crypto dynamic-map DYN_CKV_LPM 5 >>>>set transform-set Table1 >>>>reverse-route >>>>qos pre-classify >>>>! >>>>! >>>>crypto map CKV_LPM client authentication list UCL >>>>crypto map CKV_LPM isakmp authorization list UCL >>>>crypto map CKV_LPM client configuration address respond >>>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM >>>>! >>>>! >>>>! >>>>! >>>>interface Ethernet0 >>>>ip address 12.13.14.1 255.255.255.0 >>>>no ip redirects >>>>no ip proxy-arp >>>>ip route-cache flow  - зачем тебе FLOW ты статистику собираешь , >>>>не вижу где ,  сервер не прописан. >>>>no ip route-cache cef  - вот это пока убери >>>>half-duplex >>>>crypto map CKV_LPM   >>>>! >>>>interface FastEthernet0 >>>>ip address 172.19.9.1 255.255.0.0 >>>>no ip redirects >>>>no ip proxy-arp >>>>убрал пока >>>>speed auto >>>>! >>>>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621 >>>>ip classless >>>>ip route 0.0.0.0 0.0.0.0 10.5.8.105  я надеюсь здесь всё верно хоп >>>>следующего роутера . >>>>ip route 172.19.0.0 255.255.0.0 FastEthernet0  у тебя следующий роутер или сразу >>>>локалка , если локалка эта запись не  нужна….  И >>>>тогда включи           >>>>  ip proxy arp пока >>>>Если же у тебя следующий роутер  то куда ты хочешь попасть >>>> >>>>Значит обрати внимание на эту запись , и убери её и включи >>>>на интерфейсе ip proxy arp >>>> >>>>no ip http server >>>>ip http authentication local >>>>no ip http secure-server >>>>! >>>>! >>>>! >>>>! >>>>! >>>>control-plane >>>>! >>>>! >>>>line con 0 >>>>privilege level 15 >>>>no exec >>>>line aux 0 >>>>privilege level 15 >>>>no exec >>>>line vty 0 4 >>>>privilege level 15 >>>>transport input ssh >>>>line vty 5 15 >>>>privilege level 15 >>>>transport input telnet ssh >>>>! >>>>! >>>>end >>>>SUPERROUTER#show route-map all >>>>STATIC routemaps >>>>DYNAMIC routemaps >>>>Current active dynamic routemaps = 0 >>>>SUPERROUTER# >>>>Show Route - не хочет понимать >>>>Да Серёж извини писать надо show ip route )  просто забываю >>>>иногда >>>> >> >>>> >>>>2 Маршрут убери или  если у тебя за ним следующий роут >>>>пропиши ip route 172.19.0.0 255.255.0.0 адресс следующего роута. >>>> >>>>Да и если у тебя так все непонятно пиши топологию) >>Посмотрел по маршрутизации всё нормуль , маршрут прописываеться правильно, >>насчёт Сплит туннеля я это понимаю так что то что у тебя >>прописано в акцесс листе тот трафик шифруеться ,остальной проходит мимо в >>интернет. >>если так как приведено выще работать не будет , пропиши акцесс лист >> >>>>crypto isakmp client configuration group Cisco2621 >>>>key 1234567 >>>>pool POOL >>acl 100 >> >>acl 100 permit ip 172.19.0.0 0.0.255.255 172.18.3.0 0.0.0.255  пока так >> >>сделай так пока как я написал в точности ,сначала без acl потом >>если не заработает добавь, кстати у тебя версия cisco vpn client >>какая и как настроена и под что , у меня под >>винды версия 4.6.3, да а без шифрования машины пингуют друг друга >>. >>всё пока. > >Стоп >Да, и еще > >Gateway of last resort is not set > >C    172.19.0.0/16 is directly connected, FastEthernet0 >     172.18.0.0/32 is subnetted, 1 subnets А вот >это что за висюн???? >Ты мне конфиг весь напечатал?? >S       172.18.3.6 [1/0] via 12.13.14.10 >     12.0.0.0/24 is subnetted, 1 subnets >C       12.13.14.0 is directly connected, Ethernet0 > > >Вот Всё нормально это меня сглючило , перессидел я за компом, завтра время будет включю стенд.ещё раз проверю всё.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	34. "и опять cisco 2651 + cisco vpn client :-)"
	Сообщение от Сергей (??) on 13-Дек-05, 16:54  (MSK)
	Вот новый крнфиг, с Вашими исправлениями :) aaa session-id common ip subnet-zero no ip source-route no ip gratuitous-arps ! ! no ip domain lookup ip domain name SS7UA ! ! ip cef ip audit po max-events 100 no ftp-server write-enable ! ! ! ! ! ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 ! crypto isakmp client configuration group Cisco2621 key 1234567 pool POOL acl 100 ! ! crypto ipsec transform-set Table1 esp-3des esp-sha-hmac crypto ipsec df-bit clear ! ! crypto dynamic-map DYN_CKV_LPM 5 set transform-set Table1 reverse-route qos pre-classify ! ! crypto map CKV_LPM client authentication list UCL crypto map CKV_LPM isakmp authorization list UCL crypto map CKV_LPM client configuration address respond crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM ! ! ! ! interface Ethernet0 ip address 12.13.14.1 255.255.255.0 no ip redirects half-duplex crypto map CKV_LPM ! interface FastEthernet0 ip address 172.19.9.1 255.255.0.0 no ip redirects speed auto ! ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621 ip classless ip route 0.0.0.0 0.0.0.0 10.5.8.105 no ip http server ip http authentication local no ip http secure-server ! ! ! access-list 100 permit ip 172.19.0.0 0.0.255.255 172.18.3.0 0.0.0.255 Cisco VPN Client 4.7.00.0533 Cisco IOS Software, C1700 Software (C1700-K9O3SY7-M), Version 12.3(7)T6, RELEASE SOFTWARE (fc2) - это циска Все осталось пока по прежнему. Подключается чуть дольше - это наверное, из-за убранного md5. Дальний интерфейс роутера пингует, ближний - тоже. Роутер видит оба компа. Жду советов Спасибо за помощь
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	35. "и опять cisco 2651 + cisco vpn client :-)"
	Сообщение от Изгой (??) on 14-Дек-05, 09:56  (MSK)
	>Вот новый крнфиг, с Вашими исправлениями :) > >aaa session-id common >ip subnet-zero >no ip source-route >no ip gratuitous-arps >! >! >no ip domain lookup >ip domain name SS7UA >! >! >ip cef >ip audit po max-events 100 >no ftp-server write-enable >! >! >! >! >! >! >crypto isakmp policy 10 > encr 3des > authentication pre-share > group 2 >! >crypto isakmp client configuration group Cisco2621 > key 1234567 > pool POOL > acl 100 >! >! >crypto ipsec transform-set Table1 esp-3des esp-sha-hmac >crypto ipsec df-bit clear >! >! >crypto dynamic-map DYN_CKV_LPM 5 > set transform-set Table1 > reverse-route > qos pre-classify >! >! >crypto map CKV_LPM client authentication list UCL >crypto map CKV_LPM isakmp authorization list UCL >crypto map CKV_LPM client configuration address respond >crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM >! >! >! >! >interface Ethernet0 > ip address 12.13.14.1 255.255.255.0 > no ip redirects > half-duplex > crypto map CKV_LPM >! >interface FastEthernet0 > ip address 172.19.9.1 255.255.0.0 > no ip redirects > speed auto >! >ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621 >ip classless >ip route 0.0.0.0 0.0.0.0 10.5.8.105 >no ip http server >ip http authentication local >no ip http secure-server >! >! >! >access-list 100 permit ip 172.19.0.0 0.0.255.255 172.18.3.0 0.0.0.255 > >Cisco VPN Client 4.7.00.0533 >Cisco IOS Software, C1700 Software (C1700-K9O3SY7-M), Version 12.3(7)T6, RELEASE SOFTWARE (fc2) - >это циска > >Все осталось пока по прежнему. Подключается чуть дольше - это наверное, из-за >убранного md5. Дальний интерфейс роутера пингует, ближний - тоже. Роутер видит >оба компа. Жду советов >Спасибо за помощь И так за внутренним шлюзом сразу идёт локалка , так сниффер есть возможность воткнуть на линии? если пингует внутренний шлюз это хорошо, мне хотелось бы знать не пингует ли роутер два компа а пингуют ли друг друга компы )) Ну давайте попробуем вариант с натом сначало без лупбека. interface Ethernet0 > ip address 12.13.14.1 255.255.255.0 > no ip redirects > half-duplex > crypto map CKV_LPM >! ip nat inside >interface FastEthernet0 > ip address 172.19.9.1 255.255.0.0 > no ip redirects ip nat outsaid speed auto ip nat inside sourse list 1 pool out overload ip nat pool out 192.18.1.1 192.18.1.1 netmask 255.255.255.0 access-list 1 permit 172.18.3.0 0.0.0.255 Пробуем так , потом пробуем с лупбеком interface Loopback1 ip address 12.13.13.1 255.255.255.255 ip nat inside interface FastEthernet0 > ip address 172.19.9.1 255.255.0.0 > no ip redirects ip nat outsaid speed auto interface Ethernet0 > ip address 12.13.14.1 255.255.255.0 > no ip redirects > half-duplex > crypto map CKV_LPM ip policy route-map Loop route-map Loop permit 10 match ip address 11 set interface Loopback1 access-list 11 permit 172.18.3.0 0.0.0.255 Вот вроде бы всё , в обоих случаях пробуешь отключать ACL 100 и включать на клиенте Ну а на последок если всё это не помогает , оставляешь без ната и прописываешь просто обратный маршрут ip route 172.18.3.0 255.255.255.0 inter eth 0 ip route 172.18.3.0 255.255.0.0 inter eth 0 или так на крайняк или на крайнеи случай уже к каждому хосту ip route 172.18.3.3 255.255.255.255 inter eth 0 ip route 172.18.3.4 255.255.255.255 inter eth 0 ip route 172.18.3.5 255.255.255.255 inter eth 0 ip route 172.18.3.6 255.255.255.255 inter eth 0 вот меня распирает )) но пробывать надо всё ) нов общем твой случай очень странный ) да кстати настройки у тебя стандартные на клиенте  - ipsec/udp вначале IOS  потом группа ключ , без всяких прибамбасов ?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	36. "и опять cisco 2651 + cisco vpn client :-)"
	Сообщение от Изгой (??) on 14-Дек-05, 09:58  (MSK)
	>>Вот новый крнфиг, с Вашими исправлениями :) >> >>aaa session-id common >>ip subnet-zero >>no ip source-route >>no ip gratuitous-arps >>! >>! >>no ip domain lookup >>ip domain name SS7UA >>! >>! >>ip cef >>ip audit po max-events 100 >>no ftp-server write-enable >>! >>! >>! >>! >>! >>! >>crypto isakmp policy 10 >> encr 3des >> authentication pre-share >> group 2 >>! >>crypto isakmp client configuration group Cisco2621 >> key 1234567 >> pool POOL >> acl 100 >>! >>! >>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac >>crypto ipsec df-bit clear >>! >>! >>crypto dynamic-map DYN_CKV_LPM 5 >> set transform-set Table1 >> reverse-route >> qos pre-classify >>! >>! >>crypto map CKV_LPM client authentication list UCL >>crypto map CKV_LPM isakmp authorization list UCL >>crypto map CKV_LPM client configuration address respond >>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM >>! >>! >>! >>! >>interface Ethernet0 >> ip address 12.13.14.1 255.255.255.0 >> no ip redirects >> half-duplex >> crypto map CKV_LPM >>! >>interface FastEthernet0 >> ip address 172.19.9.1 255.255.0.0 >> no ip redirects >> speed auto >>! >>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621 >>ip classless >>ip route 0.0.0.0 0.0.0.0 10.5.8.105 >>no ip http server >>ip http authentication local >>no ip http secure-server >>! >>! >>! >>access-list 100 permit ip 172.19.0.0 0.0.255.255 172.18.3.0 0.0.0.255 >> >>Cisco VPN Client 4.7.00.0533 >>Cisco IOS Software, C1700 Software (C1700-K9O3SY7-M), Version 12.3(7)T6, RELEASE SOFTWARE (fc2) - >>это циска >> >>Все осталось пока по прежнему. Подключается чуть дольше - это наверное, из-за >>убранного md5. Дальний интерфейс роутера пингует, ближний - тоже. Роутер видит >>оба компа. Жду советов >>Спасибо за помощь > >И так за внутренним шлюзом сразу идёт локалка , так сниффер есть >возможность воткнуть на линии? если пингует внутренний шлюз это хорошо, мне >хотелось бы знать не пингует ли роутер два компа а пингуют >ли друг друга компы )) Ну давайте попробуем вариант с натом >сначало без лупбека. > >interface Ethernet0 >> ip address 12.13.14.1 255.255.255.0 >> no ip redirects >> half-duplex >> crypto map CKV_LPM >>! ip nat inside >>interface FastEthernet0 >> ip address 172.19.9.1 255.255.0.0 >> no ip redirects >ip nat outsaid >speed auto > >ip nat inside sourse list 1 pool out overload >ip nat pool out 192.18.1.1 192.18.1.1 netmask 255.255.255.0 >access-list 1 permit 172.18.3.0 0.0.0.255 > >Пробуем так , >потом пробуем с лупбеком > >interface Loopback1 > ip address 12.13.13.1 255.255.255.255 > ip nat inside >interface FastEthernet0 >> ip address 172.19.9.1 255.255.0.0 >> no ip redirects >ip nat outsaid >speed auto > interface Ethernet0 >> ip address 12.13.14.1 255.255.255.0 >> no ip redirects >> half-duplex >> crypto map CKV_LPM > >ip policy route-map Loop > > >route-map Loop permit 10 > match ip address 11 > set interface Loopback1 > >access-list 11 permit 172.18.3.0 0.0.0.255 > >Вот вроде бы всё , в обоих случаях пробуешь отключать ACL 100 >и включать на клиенте > >Ну а на последок если всё это не помогает , оставляешь без >ната и прописываешь просто обратный маршрут >ip route 172.18.3.0 255.255.255.0 inter eth 0 > >ip route 172.18.3.0 255.255.0.0 inter eth 0 или так на крайняк >или на крайнеи случай уже к каждому хосту >ip route 172.18.3.3 255.255.255.255 inter eth 0 >ip route 172.18.3.4 255.255.255.255 inter eth 0 >ip route 172.18.3.5 255.255.255.255 inter eth 0 >ip route 172.18.3.6 255.255.255.255 inter eth 0 >вот меня распирает )) но пробывать надо всё ) >нов общем твой случай очень странный ) > >да кстати настройки у тебя стандартные на клиенте  - ipsec/udp >вначале IOS  потом группа ключ , без всяких прибамбасов ? попробуй поиграть с этим   reverse-route > qos pre-classify при каждом варианте включай выключай может глючит что ( То есть решай
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	37. "и опять cisco 2651 + cisco vpn client :-)"
	Сообщение от Изгой (??) on 14-Дек-05, 09:59  (MSK)
	>>Вот новый крнфиг, с Вашими исправлениями :) >> >>aaa session-id common >>ip subnet-zero >>no ip source-route >>no ip gratuitous-arps >>! >>! >>no ip domain lookup >>ip domain name SS7UA >>! >>! >>ip cef >>ip audit po max-events 100 >>no ftp-server write-enable >>! >>! >>! >>! >>! >>! >>crypto isakmp policy 10 >> encr 3des >> authentication pre-share >> group 2 >>! >>crypto isakmp client configuration group Cisco2621 >> key 1234567 >> pool POOL >> acl 100 >>! >>! >>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac >>crypto ipsec df-bit clear >>! >>! >>crypto dynamic-map DYN_CKV_LPM 5 >> set transform-set Table1 >> reverse-route >> qos pre-classify >>! >>! >>crypto map CKV_LPM client authentication list UCL >>crypto map CKV_LPM isakmp authorization list UCL >>crypto map CKV_LPM client configuration address respond >>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM >>! >>! >>! >>! >>interface Ethernet0 >> ip address 12.13.14.1 255.255.255.0 >> no ip redirects >> half-duplex >> crypto map CKV_LPM >>! >>interface FastEthernet0 >> ip address 172.19.9.1 255.255.0.0 >> no ip redirects >> speed auto >>! >>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621 >>ip classless >>ip route 0.0.0.0 0.0.0.0 10.5.8.105 >>no ip http server >>ip http authentication local >>no ip http secure-server >>! >>! >>! >>access-list 100 permit ip 172.19.0.0 0.0.255.255 172.18.3.0 0.0.0.255 >> >>Cisco VPN Client 4.7.00.0533 >>Cisco IOS Software, C1700 Software (C1700-K9O3SY7-M), Version 12.3(7)T6, RELEASE SOFTWARE (fc2) - >>это циска >> >>Все осталось пока по прежнему. Подключается чуть дольше - это наверное, из-за >>убранного md5. Дальний интерфейс роутера пингует, ближний - тоже. Роутер видит >>оба компа. Жду советов >>Спасибо за помощь > >И так за внутренним шлюзом сразу идёт локалка , так сниффер есть >возможность воткнуть на линии? если пингует внутренний шлюз это хорошо, мне >хотелось бы знать не пингует ли роутер два компа а пингуют >ли друг друга компы )) Ну давайте попробуем вариант с натом >сначало без лупбека. > >interface Ethernet0 >> ip address 12.13.14.1 255.255.255.0 >> no ip redirects >> half-duplex >> crypto map CKV_LPM >>! ip nat inside >>interface FastEthernet0 >> ip address 172.19.9.1 255.255.0.0 >> no ip redirects >ip nat outsaid >speed auto > >ip nat inside sourse list 1 pool out overload >ip nat pool out 192.18.1.1 192.18.1.1 netmask 255.255.255.0 >access-list 1 permit 172.18.3.0 0.0.0.255 > >Пробуем так , >потом пробуем с лупбеком > >interface Loopback1 > ip address 12.13.13.1 255.255.255.255 > ip nat inside >interface FastEthernet0 >> ip address 172.19.9.1 255.255.0.0 >> no ip redirects >ip nat outsaid >speed auto > interface Ethernet0 >> ip address 12.13.14.1 255.255.255.0 >> no ip redirects >> half-duplex >> crypto map CKV_LPM > >ip policy route-map Loop > > >route-map Loop permit 10 > match ip address 11 > set interface Loopback1 > >access-list 11 permit 172.18.3.0 0.0.0.255 > >Вот вроде бы всё , в обоих случаях пробуешь отключать ACL 100 >и включать на клиенте > >Ну а на последок если всё это не помогает , оставляешь без >ната и прописываешь просто обратный маршрут >ip route 172.18.3.0 255.255.255.0 inter eth 0 > >ip route 172.18.3.0 255.255.0.0 inter eth 0 или так на крайняк >или на крайнеи случай уже к каждому хосту >ip route 172.18.3.3 255.255.255.255 inter eth 0 >ip route 172.18.3.4 255.255.255.255 inter eth 0 >ip route 172.18.3.5 255.255.255.255 inter eth 0 >ip route 172.18.3.6 255.255.255.255 inter eth 0 >вот меня распирает )) но пробывать надо всё ) >нов общем твой случай очень странный ) > >да кстати настройки у тебя стандартные на клиенте  - ipsec/udp >вначале IOS  потом группа ключ , без всяких прибамбасов ? попробуй поиграть с этим   reverse-route > qos pre-classify при каждом варианте включай выключай может глючит что ( То есть решай задачу методом исключения ) Что делать надо искать, я надеюсь всё получиться.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	38. "и опять cisco 2651 + cisco vpn client :-)"
	Сообщение от Сергей (??) on 16-Дек-05, 15:53  (MSK)
	Всем спасибо, заработало. Стер циску полностью, поставил reverse-route. В статических криптомапах добавил no-xauth. После этого заработали и туннели межцу цисками, и с VPN клиента
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	39. "и опять cisco 2651 + cisco vpn client :-)"
	Сообщение от Изгой (??) on 16-Дек-05, 16:03  (MSK)
	>Всем спасибо, заработало. >Стер циску полностью, поставил reverse-route. >В статических криптомапах добавил no-xauth. >После этого заработали и туннели межцу цисками, и с VPN клиента Серёж погодь выложи конфиг ,  ну про туннели между цисками в конфиге не значится , а но хаут применяется для соединения без авторизации по моему , ну типа туннель циска - циска )  ну и клиент рядом сидит )) Давай конфиг показывай , не жадничай всё что секретно сотри )
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	40. "и опять cisco 2651 + cisco vpn client :-)"
	Сообщение от Сергей (??) on 16-Дек-05, 18:11  (MSK)
	Ловите: Current configuration : 1972 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname TEST1 ! boot-start-marker boot-end-marker ! ! username cisco password 0 ofp username configurator privilege 15 secret 5 $1$OBq9$hafryCx8EKj6WQRvDtKRu. mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 aaa new-model ! ! aaa authentication login userauthen local aaa authorization network groupauthor local aaa session-id common ip subnet-zero ! ! ip domain name TTTTT ! ! ip cef ip audit po max-events 100 no ftp-server write-enable ! ! ! ! ! ! crypto isakmp policy 3 encr 3des hash md5 authentication pre-share group 2 ! crypto isakmp policy 10 encr 3des hash md5 authentication pre-share crypto isakmp key HHHHHYYTTT address 172.19.9.2 no-xauth ! crypto isakmp client configuration group monitor key monitor pool ippool ! ! crypto ipsec transform-set Table1 esp-3des esp-sha-hmac crypto ipsec df-bit clear ! crypto dynamic-map dynmap 1 set transform-set Table1 reverse-route ! ! crypto map CKV_LPM client authentication list userauthen crypto map CKV_LPM isakmp authorization list groupauthor crypto map CKV_LPM client configuration address respond crypto map CKV_LPM 2 ipsec-isakmp dynamic dynmap crypto map CKV_LPM 10 ipsec-isakmp set peer 172.19.9.2 set transform-set Table1 match address TEST2 ! ! ! interface Ethernet0 ip address 172.19.9.1 255.255.0.0 half-duplex no cdp enable crypto map CKV_LPM ! interface FastEthernet0 ip address 182.19.10.1 255.255.255.0 speed auto no cdp enable ! ip local pool ippool 11.11.11.1 11.11.11.101 ip classless ip route 0.0.0.0 0.0.0.0 172.19.0.1 ip route 182.19.11.0 255.255.255.0 172.19.9.2 no ip http server no ip http secure-server ! ! ! ip access-list extended TEST2 permit ip 182.19.10.0 0.0.0.255 182.19.11.0 0.0.0.255 no cdp run ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 privilege level 15 transport input ssh ! ! end Второй роутер 172.19.9.2, сетка за ним - 182.19.11.0 VPN клиент подключается, туннель между роутерами тоже поднимается Наверное, какая-то опция была неправильно установлена перед этим... Легче оказалось полностью переконфигурировать.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]