The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"подключение EasyVPN IPSEC"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"подключение EasyVPN IPSEC"  +/
Сообщение от ll75 email(ok) on 23-Ноя-09, 13:52 
подключение с помощью CiscoVPN-клиента получается но дальше не пускает....такое впечатление, что как и при PPTP VPN нужно на компе в локальной сети, к которому подключаемся прописывать явно статический маршрут.

Но вообще-то было впечатление от EasyVPN, что после подключения клиентом сразу можно просмотреть локальную сеть, т.к. в настройках циски присутствовали параметры:
dns .......
domain .....
в
crypto isakmp client configuration group sgroup
Как на самом деле можно без прописывания статического маршрута обойтись? Кусок конфига:

!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login uzerlizt local
aaa authorization exec default local
aaa authorization network sgroup local
aaa session-id common
.....................
.....................
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group 3klient
key 123
dns 192.168.1.xx
domain my_domain
pool ukpool
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
!
crypto dynamic-map dynmap 1
set transform-set myset
!
!
crypto map clientmap client authentication list uzerlizt
crypto map clientmap isakmp authorization list sgroup
crypto map clientmap client configuration address respond
crypto map clientmap 1 ipsec-isakmp dynamic dynmap
!
!
!
!
!
!
interface FastEthernet0
description $ETH-LAN$
ip address 81.90.xxx.7 255.255.255.128
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip tcp adjust-mss 1412
duplex auto
speed auto
!
interface FastEthernet1
description $ETH-WAN$
no ip address
ip access-group Inbound in
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface FastEthernet9
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-FE 2$$ES_LAN$
ip address 192.168.1.13 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Async1
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
encapsulation slip
!
interface Async5
no ip address
encapsulation ppp
dialer in-band
dialer pool-member 2
async mode dedicated
no fair-queue
!
interface Dialer3
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username my_username password 7 1332454A1F0D343228
crypto map clientmap
!
....................
....................
ip local pool ukpool 192.168.1.204 192.168.1.206
.....................
.....................

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "подключение EasyVPN IPSEC"  +/
Сообщение от Stell email(??) on 23-Ноя-09, 14:33 
Выдавайте VPN клиентам адреса из сети отличной от LAN (192.168.1.0/24)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "подключение EasyVPN IPSEC"  +/
Сообщение от ll75 email(ok) on 23-Ноя-09, 14:42 
>Выдавайте VPN клиентам адреса из сети отличной от LAN (192.168.1.0/24)

попробовал-теперь вот так
C:\Users>ipconfig

Настройка протокола IP для Windows


Ethernet adapter Подключение по локальной сети 4:

   DNS-суффикс подключения . . . . . : my_domain
   Локальный IPv6-адрес канала . . . : fe80::ed64:88f3:7e95:8af2%15
   IPv4-адрес. . . . . . . . . . . . : 192.168.2.204
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . :

Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . :
   Локальный IPv6-адрес канала . . . : fe80::1552:87b7:7732:8220%8
   IPv4-адрес. . . . . . . . . . . . : 81.90.xxx.7
   Маска подсети . . . . . . . . . . : 255.255.255.128
   Основной шлюз. . . . . . . . . : 81.90.xxx.1

Туннельный адаптер Подключение по локальной сети* 9:

   DNS-суффикс подключения . . . . . : my_domain
   Локальный IPv6-адрес канала . . . : fe80::5efe:192.168.2.204%24
   Основной шлюз. . . . . . . . . :

инет при этом работает - Split Tunneling работает...
но пингуется только инт-с Vlan1, машины из LAN не пингуются ....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "подключение EasyVPN IPSEC"  +/
Сообщение от Stell email(??) on 23-Ноя-09, 14:44 
На этих машинах стоит дефолтным маршрутом 192.168.1.13 ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "подключение EasyVPN IPSEC"  +/
Сообщение от ll75 email(ok) on 23-Ноя-09, 14:50 
>На этих машинах стоит дефолтным маршрутом 192.168.1.13 ?

нет, стоит по дефолту на них маршрут 192.168.1.1

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "подключение EasyVPN IPSEC"  +/
Сообщение от Stell email(??) on 23-Ноя-09, 14:51 
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-FE 2$$ES_LAN$
ip address 192.168.1.13 255.255.255.0

А на интерфейсе роутера у вас 192.168.1.13
Дефолтный маршрут должен смотреть на интерфейс роутера, поправьте.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "подключение EasyVPN IPSEC"  +/
Сообщение от ll75 email(ok) on 23-Ноя-09, 14:58 

>А на интерфейсе роутера у вас 192.168.1.13
>Дефолтный маршрут должен смотреть на интерфейс роутера, поправьте.

т.е. по-любому на машинах в LAN должен стоять шлюз - 192.168.1.13?
а вот, чтобы получить доступ к всей сети - прийдётся перебивать на каждой машине шлюз?
и ещё поправил новый шлюз 192.168.1.13 на ё машине из локалки-она стала пинговаться от vpn-клиента по адресу, но по имени не хочет, хотя я указывал в конфиге и адрес днс-севера и домен:

crypto isakmp client configuration group 3klient
key my_key
dns 192.168.1.xx
domain my_domain
pool ukpool
!
В чём может быть трабл?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "подключение EasyVPN IPSEC"  +/
Сообщение от Stell email(??) on 23-Ноя-09, 15:08 
Если у вас на всех машинах шлюз 192.168.1.1 - сделайте такой IP на интерфейсе роутера.
Проверяйте работу ДНС.
nslookup <hostname> <dns_ip>
Попробуйте так же по полному имени: hostname.domain


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "подключение EasyVPN IPSEC"  +/
Сообщение от ll75 email(ok) on 23-Ноя-09, 15:17 

>nslookup <hostname> <dns_ip>
>Попробуйте так же по полному имени: hostname.domain

C:\Users>nslookup host.domain
DNS request timed out.
    timeout was 2 seconds.
Server:  UnKnown
Address:  192.168.1.хх:53

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Request to UnKnown timed-out

C:\Users>ping 192.168.1.хх

Обмен пакетами с 192.168.1.хх по с 32 байт данных:

Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 192.168.1.51:
    Пакетов: отправлено = 2, получено = 0, потеряно = 2
    (100% потерь)
Control-C
^C

т.е. получается я от клиента не пингую сам ДНС-сервер, хотя его айпишник циска назначила впн-клиенту верно...т.е. нужно или на инт-се Vlan1 на роутере прописать адрес 192.168.1.1 вместо 192.168.1.13 или на самом ДНС-сервере 192.168.1.хх прописать маршрут статический на 192.168.1.13-я правильно представляю ситуацию?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру