форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Вопрос по транспортному VPN"

Сообщение от велин on 06-Мрт-08, 01:41

Приветствую. Объясните чайнику. В офисе есть циска 1841. Хочеться поднять VPN между моим домашним компьютером и циской. Что в данном случае лучше пытаться организовать, PPTP или IPSec в транспортном режиме? На циске IPSec в транспортном режиме я скорее всего смогу поднять сам. А вот что надо иметь или сделать на компе для этого (ось Windows XP)? Я слышал у циски есть какой-то свой клиент, специально предназначенный для этого, но у меня его нет, к сожалению. Может быть кто-нибудь поделиться им, если он мне конечно нужен и поможет? Или есть какой-то другой вариант? Заранее благодарен за любой совет.

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Вопрос по транспортному VPN"

Сообщение от CrAzOiD (ok) on 06-Мрт-08, 08:45

>[оверквотинг удален] >Объясните чайнику. В офисе есть циска 1841. Хочеться поднять VPN между моим >домашним компьютером и циской. Что в данном случае лучше пытаться организовать, >PPTP или IPSec в транспортном режиме? На циске IPSec в транспортном >режиме я скорее всего смогу поднять сам. А вот что надо >иметь или сделать на компе для этого (ось Windows XP)? Я >слышал у циски есть какой-то свой клиент, специально предназначенный для этого, >но у меня его нет, к сожалению. Может быть кто-нибудь поделиться >им, если он мне конечно нужен и поможет? >Или есть какой-то другой вариант? >Заранее благодарен за любой совет. 1. Eazyvpn на 1811 +  Cisco VPN Client 2. PPTP на 1811 + встроенный клиент в Win во втором случае есть свои ограничения связанные с маршрутизацией цисковский клиент гуглицо

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Вопрос по транспортному VPN"
	Сообщение от велин on 10-Мрт-08, 01:08
	>[оверквотинг удален] >>слышал у циски есть какой-то свой клиент, специально предназначенный для этого, >>но у меня его нет, к сожалению. Может быть кто-нибудь поделиться >>им, если он мне конечно нужен и поможет? >>Или есть какой-то другой вариант? >>Заранее благодарен за любой совет. > >1. Eazyvpn на 1811 +  Cisco VPN Client >2. PPTP на 1811 + встроенный клиент в Win >во втором случае есть свои ограничения связанные с маршрутизацией >цисковский клиент гуглицо А цисковский VPN клиент не потребует случайно каких-нибудь ключей для использования или регистрации у cisco ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Вопрос по транспортному VPN"
	Сообщение от darksid (ok) on 10-Мрт-08, 08:50
	>[оверквотинг удален] >>>Или есть какой-то другой вариант? >>>Заранее благодарен за любой совет. >> >>1. Eazyvpn на 1811 +  Cisco VPN Client >>2. PPTP на 1811 + встроенный клиент в Win >>во втором случае есть свои ограничения связанные с маршрутизацией >>цисковский клиент гуглицо > >А цисковский VPN клиент не потребует случайно каких-нибудь ключей для использования или >регистрации у cisco ? снет. им же надо продвигать свою технологию:)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Вопрос по транспортному VPN"
	Сообщение от bda (ok) on 10-Мрт-08, 19:29
	>[оверквотинг удален] >>слышал у циски есть какой-то свой клиент, специально предназначенный для этого, >>но у меня его нет, к сожалению. Может быть кто-нибудь поделиться >>им, если он мне конечно нужен и поможет? >>Или есть какой-то другой вариант? >>Заранее благодарен за любой совет. > >1. Eazyvpn на 1811 +  Cisco VPN Client >2. PPTP на 1811 + встроенный клиент в Win >во втором случае есть свои ограничения связанные с маршрутизацией >цисковский клиент гуглицо По первому варианту - можно по-подробнее пожалуйста?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Вопрос по транспортному VPN"
	Сообщение от darksid (ok) on 10-Мрт-08, 19:37
	>[оверквотинг удален] >>>им, если он мне конечно нужен и поможет? >>>Или есть какой-то другой вариант? >>>Заранее благодарен за любой совет. >> >>1. Eazyvpn на 1811 +  Cisco VPN Client >>2. PPTP на 1811 + встроенный клиент в Win >>во втором случае есть свои ограничения связанные с маршрутизацией >>цисковский клиент гуглицо > >По первому варианту - можно по-подробнее пожалуйста? никогда не поднимал но завтра думаю что смогу написать как это делать:)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Вопрос по транспортному VPN"
	Сообщение от bda (ok) on 10-Мрт-08, 19:39
	>[оверквотинг удален] >>> >>>1. Eazyvpn на 1811 +  Cisco VPN Client >>>2. PPTP на 1811 + встроенный клиент в Win >>>во втором случае есть свои ограничения связанные с маршрутизацией >>>цисковский клиент гуглицо >> >>По первому варианту - можно по-подробнее пожалуйста? > >никогда не поднимал но завтра думаю что смогу написать как это делать:) > благодарю, и очень ожидаю... Просто у меня возникали большие проблемы с cisco vpn-клиентом, правда аппарат был 2801 в качестве концентратора, и пытался я поднять ipsec remote access vpn... Большого толка не вышло...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Вопрос по транспортному VPN"
	Сообщение от CrAzOiD (ok) on 11-Мрт-08, 01:58
	>[оверквотинг удален] >>>им, если он мне конечно нужен и поможет? >>>Или есть какой-то другой вариант? >>>Заранее благодарен за любой совет. >> >>1. Eazyvpn на 1811 +  Cisco VPN Client >>2. PPTP на 1811 + встроенный клиент в Win >>во втором случае есть свои ограничения связанные с маршрутизацией >>цисковский клиент гуглицо > >По первому варианту - можно по-подробнее пожалуйста? В смысле пример привести? Ну как-то так: ======================== aaa new-model aaa authentication login userauthen group radius aaa authentication ppp default if-needed group radius local aaa authorization network groupauthor local aaa session-id common ! crypto isakmp policy 3 encr 3des authentication pre-share group 2 ! crypto isakmp client configuration group SECRET_GROUP key SECRET_KEY dns 172.24.0.254 192.168.1.24 wins 172.24.3.5 192.168.1.25 domain company.loc pool ippool acl 108 ! ! crypto ipsec transform-set myset esp-3des esp-sha-hmac comp-lzs crypto ipsec df-bit clear ! crypto dynamic-map dynmap 10 set security-association lifetime kilobytes 46080 set security-association lifetime seconds 10800 set transform-set myset ! crypto map clientmap client authentication list userauthen crypto map clientmap isakmp authorization list groupauthor crypto map clientmap client configuration address respond crypto map clientmap 10 ipsec-isakmp dynamic dynmap ! interface Ethernet0/0 ip address xxx.xxx.xxx.xxx 255.255.255.224 crypto map clientmap ! ip local pool ippool 192.168.5.1 192.168.5.20 ! access-list 108 permit ip 172.24.0.0 0.0.255.255 192.168.5.0 0.0.0.255 ! radius-server host 172.24.3.5 auth-port 1645 acct-port 1646 key radius-server host 172.24.1.2 auth-port 1645 acct-port 1646 key ======== и не забыть про маршрутизацию клиентских подключений, т.е. 192.168.5.х куда требуется Это вариант с PSK и авторизацией через внешний радиус
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Вопрос по транспортному VPN"
	Сообщение от bda (ok) on 12-Мрт-08, 23:41
	>[оверквотинг удален] >ip local pool ippool 192.168.5.1 192.168.5.20 >! >access-list 108 permit ip 172.24.0.0 0.0.255.255 192.168.5.0 0.0.0.255 >! >radius-server host 172.24.3.5 auth-port 1645 acct-port 1646 key >radius-server host 172.24.1.2 auth-port 1645 acct-port 1646 key > >======== >и не забыть про маршрутизацию клиентских подключений, т.е. 192.168.5.х куда требуется >Это вариант с PSK и авторизацией через внешний радиус Спасибо за пример... Но много непонятного. Если можно - по-порядку: 1. Что такое "PSK"? 2. Для чего 108-ой ACL? Если это роут, то что такое 192.168.5.0 0.0.0.255? 3. Зачем df-bit clear? 4. Какой радиус у вас использовался? Так, для интереса...5 5. Ваш последний комментарий, не понял, наверное из-за того что непонятен момент в п.2
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Вопрос по транспортному VPN"
	Сообщение от велин on 13-Мрт-08, 00:31
	>[оверквотинг удален] > >Спасибо за пример... Но много непонятного. Если можно - по-порядку: > >1. Что такое "PSK"? >2. Для чего 108-ой ACL? Если это роут, то что такое 192.168.5.0 >0.0.0.255? >3. Зачем df-bit clear? >4. Какой радиус у вас использовался? Так, для интереса...5 >5. Ваш последний комментарий, не понял, наверное из-за того что непонятен момент >в п.2 1. У меня есть предположение, что это pre-share key, но сильно не уверен в этом. 2. Здесь как раз частично понятно. Циска этот список доступа называет split tunneling, как это красиво сказать по-русский - я хз. Но вот мне не полностью ясно его предназначение, т.е. догадки есть, но ясного понимая нет. Автор, если можно, напишите, пожалуйста, по-русский что делает этот список доступа и для чего он нужен. Тут мне еще не ясно, почему написано так: access-list 108 permit ip 172.24.0.0 0.0.255.255 192.168.5.0 0.0.0.255 а не так: access-list 108 permit ip 172.24.0.0 0.0.255.255 any 3. По этому пункту поддерживаю. Тоже было бы неплохо услышать комментарий.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Вопрос по транспортному VPN"
	Сообщение от oleg_matroskin (??) on 13-Мрт-08, 05:55
	посмотри на ciscolab.ru там есть пример как подобное сделать и настройка самого клиента!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Вопрос по транспортному VPN"
	Сообщение от CrAzOiD (ok) on 13-Мрт-08, 09:03
	>[оверквотинг удален] > >Спасибо за пример... Но много непонятного. Если можно - по-порядку: > >1. Что такое "PSK"? >2. Для чего 108-ой ACL? Если это роут, то что такое 192.168.5.0 >0.0.0.255? >3. Зачем df-bit clear? >4. Какой радиус у вас использовался? Так, для интереса...5 >5. Ваш последний комментарий, не понял, наверное из-за того что непонятен момент >в п.2 1. PreShared Key. Групповая авторизация на прешаренном ключе.  Скажем посто пароль на группу. Прописывается и в клиенте тоже. 2. 108 это есть split tunneling. Маршруты которые будут назначены на клиенте. Если не указать то у клиента дефолтом станет туннель и весь трафик пойдет через кошку. Иногда надо и так делать в целях безопасноти 3. решает часть проблем с фрагметацией пакетов. подробности на цискоком http://www.cisco.com/en/US/docs/ios/12_2t/12_2t13/feature/gu... грубо говоря фрагментация происходит ДО криптования. Если после, то для сборки пакетов требуется много процессорных ресурсов 4. M$, тот что в комплекте с Win2003. С интеграцией в домене 5. Очень просто. Клиенту назначаются адреса из сети 192.168.5.0 Если у тебя не один маршрутизатор, тогда надо позаботиться что бы все сетевые устройства знали как попасть в эту сеть или куда направлять ответные пакеты.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Вопрос по транспортному VPN"
	Сообщение от велин on 13-Мрт-08, 10:48
	>[оверквотинг удален] >безопасноти >3. решает часть проблем с фрагметацией пакетов. подробности на цискоком http://www.cisco.com/en/US/docs/ios/12_2t/12_2t13/feature/gu... >грубо говоря фрагментация происходит ДО криптования. Если после, то для сборки пакетов >требуется много процессорных ресурсов >4. M$, тот что в комплекте с Win2003. С интеграцией в домене > >5. Очень просто. Клиенту назначаются адреса из сети 192.168.5.0 Если у тебя >не один маршрутизатор, тогда надо позаботиться что бы все сетевые устройства >знали как попасть в эту сеть или куда направлять ответные пакеты. > 2. У меня было подозрение, что делается именно для этого, но все-таки не совсем понятно.  Это ж список просто разрешает выход из корпоративной сети. Каким образом он влияет на то, что будет или не будет клиент иметь доступ в интернет помимо тунеля на циску? Просто физика процесса не очень ясна. Не могли бы поподробнее написать?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Вопрос по транспортному VPN"
	Сообщение от CrAzOiD (ok) on 13-Мрт-08, 12:52
	>[оверквотинг удален] >>5. Очень просто. Клиенту назначаются адреса из сети 192.168.5.0 Если у тебя >>не один маршрутизатор, тогда надо позаботиться что бы все сетевые устройства >>знали как попасть в эту сеть или куда направлять ответные пакеты. >> > >2. У меня было подозрение, что делается именно для этого, но все-таки >не совсем понятно.  Это ж список просто разрешает выход из >корпоративной сети. Каким образом он влияет на то, что будет или >не будет клиент иметь доступ в интернет помимо тунеля на циску? >Просто физика процесса не очень ясна. Не могли бы поподробнее написать? Физика процесса очень проста, равно как и логика. Если нет этого ACL, тогда на клиенте дефолтный маршрут будет поднят в туннель. И еще останется маршрут до VPN сервера через текущее подключение интернет (что бы собственно туннель работал). Получается что весь трафик с клиента пойдет в туннель. А если описать ACL, тогда на стороне клиента в таблицу маршрутизации будут добавлены строчки с указанными маршрутами через туннель, а все остальное пойдет о дефолту, т.е. через текущего провайдера просто в интернет. Итого, смысл в автоматической модификации таблицы маршрутизации на стороне клиента. Это, кстати, не умеет делать встроенный Win VPN клиент, поэтому часто пишут батники для ручного добавления необходимых маршрутов. Часто сплит туннелинг не включают по соображениям безопасности: что бы машина-клиент не была транзитом Интернет - Локальная сеть. Но, как сам понимаешь, защита эта лишь видимость. Того кто знает как подправить таблицу маршрутизации это не остановит :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Вопрос по транспортному VPN"

Сообщение от bda (ok) on 15-Мрт-08, 00:39

>[оверквотинг удален] >Объясните чайнику. В офисе есть циска 1841. Хочеться поднять VPN между моим >домашним компьютером и циской. Что в данном случае лучше пытаться организовать, >PPTP или IPSec в транспортном режиме? На циске IPSec в транспортном >режиме я скорее всего смогу поднять сам. А вот что надо >иметь или сделать на компе для этого (ось Windows XP)? Я >слышал у циски есть какой-то свой клиент, специально предназначенный для этого, >но у меня его нет, к сожалению. Может быть кто-нибудь поделиться >им, если он мне конечно нужен и поможет? >Или есть какой-то другой вариант? >Заранее благодарен за любой совет. Коллеги, большое спасибо за развернутые ответы... Хотя пока не достиг успеха, но пытаюсь...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	26. "Вопрос по транспортному VPN"
	Сообщение от bda_ext on 17-Мрт-08, 07:58
	>[оверквотинг удален] >>режиме я скорее всего смогу поднять сам. А вот что надо >>иметь или сделать на компе для этого (ось Windows XP)? Я >>слышал у циски есть какой-то свой клиент, специально предназначенный для этого, >>но у меня его нет, к сожалению. Может быть кто-нибудь поделиться >>им, если он мне конечно нужен и поможет? >>Или есть какой-то другой вариант? >>Заранее благодарен за любой совет. > >Коллеги, большое спасибо за развернутые ответы... Хотя пока не достиг успеха, но >пытаюсь... В настоящее время, выяснил суть проблемы, с которой сталкивался: шлюз возникал из-за отсутствия acl в настройке crypto isakmp client configuration group. В связи с этим вопрос, можно ли сделать так, что бы при поднятии туннеля - поднимался интерфейс с соответствующим адресом? Вопрос из-за того, что  у меня пул адресов для VPN находится в той же сети, что и интерфейс, который смотрит  ЛВС. Просьба подсказать... PS Делать отдельную сеть, из которой vpn-клиенты будут получать адреса - в моем случае очень нежелательно, т.к. на всех ресурсах, к которым можно юудет получить доступ из этой сети ее придется явно прописывать, что не вариант на данный момент...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	27. "Вопрос по транспортному VPN"
	Сообщение от philippov on 17-Мрт-08, 19:17
	>Коллеги, большое спасибо за развернутые ответы... Хотя пока не достиг успеха, но >пытаюсь... Какой клиент используешь, от Cisco ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	28. "Вопрос по транспортному VPN"
	Сообщение от bda (ok) on 17-Мрт-08, 22:07
	>>Коллеги, большое спасибо за развернутые ответы... Хотя пока не достиг успеха, но >>пытаюсь... > >Какой клиент используешь, от Cisco ? Использую 5.0.02.0090. А есть какие-то нюансы?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	29. "Вопрос по транспортному VPN"
	Сообщение от philippov on 17-Мрт-08, 22:37
	>>Какой клиент используешь, от Cisco ? > >Использую 5.0.02.0090. А есть какие-то нюансы? Нет, никаких нюансов. Просто, также пытаюсь (безуспешно) подключиться по IPSec VPN-у к офису, клиентом 4.8.02.0010. Но у меня ситуация другая - мне были выданы данные для подключения и я ищу чем бы подключиться.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Вопрос по транспортному VPN"

Сообщение от bda (ok) on 15-Мрт-08, 14:10

>[оверквотинг удален] >Объясните чайнику. В офисе есть циска 1841. Хочеться поднять VPN между моим >домашним компьютером и циской. Что в данном случае лучше пытаться организовать, >PPTP или IPSec в транспортном режиме? На циске IPSec в транспортном >режиме я скорее всего смогу поднять сам. А вот что надо >иметь или сделать на компе для этого (ось Windows XP)? Я >слышал у циски есть какой-то свой клиент, специально предназначенный для этого, >но у меня его нет, к сожалению. Может быть кто-нибудь поделиться >им, если он мне конечно нужен и поможет? >Или есть какой-то другой вариант? >Заранее благодарен за любой совет. Коллеги, все-таки необходима помощь. Суть следующая: после поднятия vpn`а - дефолт остается на локальный рутер, т.е. не в впн. И еще вопрос: почему, при использовании acl в crypto isakmp client configuration group - нельзя  настроить шлюз! Если это роуты, то скаким гейтвеем они встают?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "Вопрос по транспортному VPN"
	Сообщение от CrAzOiD (ok) on 15-Мрт-08, 19:28
	>[оверквотинг удален] >>им, если он мне конечно нужен и поможет? >>Или есть какой-то другой вариант? >>Заранее благодарен за любой совет. > >Коллеги, все-таки необходима помощь. Суть следующая: после поднятия vpn`а - дефолт остается >на локальный рутер, т.е. не в впн. > >И еще вопрос: почему, при использовании acl в crypto isakmp client configuration >group - нельзя  настроить шлюз! Если это роуты, то скаким >гейтвеем они встают? в моем примере обратите внимание на 108 ACL и на подробное разьяснение ниже...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "Вопрос по транспортному VPN"
	Сообщение от bda (ok) on 15-Мрт-08, 20:14
	>[оверквотинг удален] >> >>Коллеги, все-таки необходима помощь. Суть следующая: после поднятия vpn`а - дефолт остается >>на локальный рутер, т.е. не в впн. >> >>И еще вопрос: почему, при использовании acl в crypto isakmp client configuration >>group - нельзя  настроить шлюз! Если это роуты, то скаким >>гейтвеем они встают? > >в моем примере обратите внимание на 108 ACL и на подробное разьяснение >ниже... Да вроде внимательно ознакомился... Почему-то все-равно, ARP-запросы уходят на локальный гейтвей... никак не пойму почему...?!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "Вопрос по транспортному VPN"
	Сообщение от CrAzOiD (ok) on 15-Мрт-08, 20:17
	>[оверквотинг удален] >>> >>>И еще вопрос: почему, при использовании acl в crypto isakmp client configuration >>>group - нельзя  настроить шлюз! Если это роуты, то скаким >>>гейтвеем они встают? >> >>в моем примере обратите внимание на 108 ACL и на подробное разьяснение >>ниже... > >Да вроде внимательно ознакомился... Почему-то все-равно, ARP-запросы уходят на локальный гейтвей... никак >не пойму почему...?! показывайте что получилось и рассказывайте что как тестируете и что не выходит
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "Вопрос по транспортному VPN"
	Сообщение от bda (ok) on 15-Мрт-08, 21:27
	>[оверквотинг удален] >>>>гейтвеем они встают? >>> >>>в моем примере обратите внимание на 108 ACL и на подробное разьяснение >>>ниже... >> >>Да вроде внимательно ознакомился... Почему-то все-равно, ARP-запросы уходят на локальный гейтвей... никак >>не пойму почему...?! > >показывайте что получилось и рассказывайте что как тестируете и что не выходит > Ок, конфиг следующий: version 12.4 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime service timestamps log datetime msec localtime service password-encryption service sequence-numbers no service dhcp ! hostname XXX ! boot-start-marker boot-end-marker ! logging buffered 8192 debugging enable secret 5 $1$R8cH$h3nGg4Wp6Ku9qEvlir7n31 ! aaa new-model ! ! aaa authentication login default local aaa authentication login vpn-authen local aaa authorization exec default local aaa authorization network vpn-author local ! aaa session-id common clock timezone MSK 3 clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 2:00 no network-clock-participate wic 3 no ip source-route ip cef ! ! ! ! no ip bootp server ip domain name XXX ip name-server XXX ip name-server XXX ip auth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3 ! carrier-id target ! voice-card 0 ! ! ! voice service voip allow-connections h323 to sip allow-connections sip to h323 h323 sip   bind control source-interface Loopback5   bind media source-interface Loopback5   registrar server ! ! ! ! ! ! ! ! voice class aaa 100 authentication method VOIP-AUTH ! ! ! voice source-group SRC-GRP-1 access-list 55 carrier-id source SIP-IN-TO-MVTS description Matching MTU Autonomous system only ! ! voice translation-profile SIP-CALLS-TRANSLATION ! ! ! ! username XXX password 7 XXX ! ! controller E1 0/3/0 shutdown !         controller E1 0/3/1 shutdown ! ip ssh logging events ip ssh version 2 ! crypto logging session ! crypto isakmp policy 5 encr 3des authentication pre-share group 2 ! crypto isakmp client configuration group CTTC-VPN-GRP key 12345678 dns 192.168.2.190 pool CTTC-VPN-POOL-1 save-password max-users 3 max-logins 3 netmask 255.255.255.0 ! ! crypto ipsec transform-set CTTC-VPN-TRSFRM-SET-1 esp-3des esp-sha-hmac comp-lzs crypto ipsec df-bit clear ! crypto dynamic-map CTTC-VPN-CRYPTODYNAMIC-1 10 set transform-set CTTC-VPN-TRSFRM-SET-1 ! ! crypto map CTTC-VPN-CLIENTMAP client authentication list vpn-authen crypto map CTTC-VPN-CLIENTMAP isakmp authorization list vpn-author crypto map CTTC-VPN-CLIENTMAP client configuration address respond crypto map CTTC-VPN-CLIENTMAP 10 ipsec-isakmp dynamic CTTC-VPN-CRYPTODYNAMIC-1 ! ! ! ! interface Loopback5 description -M- CNxxxx XXX mngmt (XXX) INTERNET --- ip address XXX no ip proxy-arp ! interface FastEthernet0/0 description -CU CNxxxx outside-if (XXX) INTERNET --- ip address XXX ip verify unicast reverse-path allow-self-ping no ip proxy-arp ip nat outside ip virtual-reassembly speed 100 full-duplex crypto map CTTC-VPN-CLIENTMAP ! interface FastEthernet0/1 description -CU CNxxxx inside-if (XXX) --- ip address 192.168.2.80 255.255.255.0 ip verify unicast source reachable-via any allow-self-ping no ip proxy-arp ip nat inside ip virtual-reassembly duplex auto speed auto ! ip local pool CTTC-VPN-POOL-1 192.168.2.201 192.168.2.206 ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 XXX ! ! no ip http server no ip http secure-server ip nat inside source list 111 interface FastEthernet0/0 overload ! logging trap debugging access-list 22 remark VTY-ACCESS access-list 22 permit XXX access-list 22 deny   any log access-list 55 remark ACCESS-FROM-INTERNET access-list 55 permit 81.195.0.0 0.0.255.255 access-list 55 permit 83.237.0.0 0.0.255.255 access-list 55 permit 85.140.0.0 0.1.255.255 access-list 55 permit 91.76.0.0 0.3.255.255 access-list 111 remark NAT-INSIDE-ACL access-list 111 permit ip 192.168.2.0 0.0.0.255 any access-list 150 remark VPN-ACCESS-ROUTES access-list 150 permit ip 192.168.2.0 0.0.0.255 host 192.168.2.190 disable-eadi no cdp run ! ! ! ! control-plane ! ! ! ! ! ! ! dial-peer voice 10 voip permission orig description inbound-sip-calls huntstop voice-class aaa 100 session protocol sipv2 incoming called-number .T no vad ! dial-peer voice 20 voip description outbound-calls-to-mvts destination-pattern .T session target ipv4:192.168.2.251 no vad ! gateway timer receive-rtp 1200 ! sip-ua ! ! ! line con 0 line aux 0 line vty 0 3 access-class 22 in exec-timeout 30 0 transport input telnet transport output telnet ssh line vty 4 exec-timeout 30 0 transport input ssh transport output telnet ssh ! scheduler allocate 20000 1000 ntp clock-period 17177765 ntp server 62.117.76.140 ntp server 62.117.76.141 ntp server 194.58.197.7 ntp server 62.117.76.142 end В результате, при таком раскладе, в таблицу локальной машины - встает маршрут на сеть 192.168.2.0, но арпы все-равно разрешаются локально, и естественно, пытаются выйти через локальный шлюз. В тоннель ничего не отправляется... Может нат мешает?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	20. "Вопрос по транспортному VPN"
	Сообщение от CrAzOiD (ok) on 15-Мрт-08, 21:42
	>[оверквотинг удален] >ntp server 62.117.76.141 >ntp server 194.58.197.7 >ntp server 62.117.76.142 >end > >В результате, при таком раскладе, в таблицу локальной машины - встает маршрут >на сеть 192.168.2.0, но арпы все-равно разрешаются локально, и естественно, пытаются >выйти через локальный шлюз. > >В тоннель ничего не отправляется... Может нат мешает? еще покажи route print на клиенте до и после поднятия туннеля
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	21. "Вопрос по транспортному VPN"
	Сообщение от bda (ok) on 15-Мрт-08, 21:50
	>[оверквотинг удален] >>ntp server 62.117.76.142 >>end >> >>В результате, при таком раскладе, в таблицу локальной машины - встает маршрут >>на сеть 192.168.2.0, но арпы все-равно разрешаются локально, и естественно, пытаются >>выйти через локальный шлюз. >> >>В тоннель ничего не отправляется... Может нат мешает? > >еще покажи route print на клиенте до и после поднятия туннеля До туннеля: Active Routes: Network Destination        Netmask          Gateway       Interface  Metric           0.0.0.0          0.0.0.0      172.30.30.1    172.30.30.10       10         127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1       172.30.30.0    255.255.255.0     172.30.30.10    172.30.30.10       10      172.30.30.10  255.255.255.255        127.0.0.1       127.0.0.1       10    172.30.255.255  255.255.255.255     172.30.30.10    172.30.30.10       10         224.0.0.0        240.0.0.0     172.30.30.10    172.30.30.10       10   255.255.255.255  255.255.255.255     172.30.30.10    172.30.30.10       1 Default Gateway:       172.30.30.1 После туннеля: Active Routes: Network Destination        Netmask          Gateway       Interface  Metric           0.0.0.0          0.0.0.0      192.168.2.1   192.168.2.204       1         127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1       172.30.30.0    255.255.255.0     172.30.30.10    172.30.30.10       10       172.30.30.0    255.255.255.0      192.168.2.1   192.168.2.204       10      172.30.30.10  255.255.255.255        127.0.0.1       127.0.0.1       10    172.30.255.255  255.255.255.255     172.30.30.10    172.30.30.10       10       192.168.2.0    255.255.255.0    192.168.2.204   192.168.2.204       20     192.168.2.204  255.255.255.255        127.0.0.1       127.0.0.1       20     192.168.2.255  255.255.255.255    192.168.2.204   192.168.2.204       20    XXX.XXX.224.48  255.255.255.255      172.30.30.1    172.30.30.10       1         224.0.0.0        240.0.0.0     172.30.30.10    172.30.30.10       10         224.0.0.0        240.0.0.0    192.168.2.204   192.168.2.204       20   255.255.255.255  255.255.255.255     172.30.30.10    172.30.30.10       1   255.255.255.255  255.255.255.255    192.168.2.204   192.168.2.204       1 Default Gateway:       192.168.2.1 Откуда берется этот: 192.168.2.1?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	22. "Вопрос по транспортному VPN"
	Сообщение от CrAzOiD (ok) on 15-Мрт-08, 22:37
	Выдели отдельную свободную сеть/подсеть для пула VPN клентов что бы не было путаницы
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	23. "Вопрос по транспортному VPN"
	Сообщение от bda (ok) on 16-Мрт-08, 18:23
	>Выдели отдельную свободную сеть/подсеть для пула VPN клентов >что бы не было путаницы К сожалению, сеть для пула - не могу выделить в отдельную сеть, т.к. только эта сеть имеет доступ к ресурсам, выделение иной сети будет бессмысленным, т.к. с нее ничего не будет доступно... Все-таки, повторюсь: откуда возникает шлюз по умолчанию на клиенте, если он нигде никак не установлен в конфигурации маршрутизатора?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	24. "Вопрос по транспортному VPN"
	Сообщение от darksid (ok) on 16-Мрт-08, 18:52
	>>Выдели отдельную свободную сеть/подсеть для пула VPN клентов >>что бы не было путаницы > >К сожалению, сеть для пула - не могу выделить в отдельную сеть, >т.к. только эта сеть имеет доступ к ресурсам, выделение иной сети >будет бессмысленным, т.к. с нее ничего не будет доступно... > >Все-таки, повторюсь: откуда возникает шлюз по умолчанию на клиенте, если он нигде >никак не установлен в конфигурации маршрутизатора? читай про ppp он выдаётся концентратором и имеет маску 255.255.255.255 так же как и клиент и являетйа одним из адресов пула или одним из адресов самого концентратора
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	25. "Вопрос по транспортному VPN"
	Сообщение от bda (ok) on 16-Мрт-08, 21:27
	>[оверквотинг удален] >>т.к. только эта сеть имеет доступ к ресурсам, выделение иной сети >>будет бессмысленным, т.к. с нее ничего не будет доступно... >> >>Все-таки, повторюсь: откуда возникает шлюз по умолчанию на клиенте, если он нигде >>никак не установлен в конфигурации маршрутизатора? > >читай про ppp >он выдаётся концентратором и имеет маску 255.255.255.255 так же как и клиент >и являетйа одним из адресов пула или одним из адресов самого >концентратора Шлюз клиент почему-то получает "от балды", Если вы смотрели выкладки роутов и конфига циски, то видеди, что пул - внутри сети, и вдруг получаю шлюз, который нигде не объявлен, и не является тем же адресом, который я получил в результате поднятия тоннеля... так что вопрос в силе...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Вопрос по транспортному VPN"

Сообщение от bda (ok) on 18-Мрт-08, 02:57

>[оверквотинг удален] >Объясните чайнику. В офисе есть циска 1841. Хочеться поднять VPN между моим >домашним компьютером и циской. Что в данном случае лучше пытаться организовать, >PPTP или IPSec в транспортном режиме? На циске IPSec в транспортном >режиме я скорее всего смогу поднять сам. А вот что надо >иметь или сделать на компе для этого (ось Windows XP)? Я >слышал у циски есть какой-то свой клиент, специально предназначенный для этого, >но у меня его нет, к сожалению. Может быть кто-нибудь поделиться >им, если он мне конечно нужен и поможет? >Или есть какой-то другой вариант? >Заранее благодарен за любой совет. Колллеги, нид хелп! Перестроил систему на l2tp ipsec. Соединение поднимается нормально, выдается адрес из пула. Все нормально..... НО! пул - часть адресов сети, в которой есть один из интерфейсов этого марщрутизатора, так вод другие хосты, которые в этой сети, не видят удаленно подключенных пользователей по L2, хотя они есть и адреса имеют из этой сети? Что не так? Как сделать так что бы получаемые адреса по VPN`у были видны?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	31. "Вопрос по транспортному VPN"
	Сообщение от Valeriy Babich on 19-Мрт-08, 15:38
	> >Колллеги, нид хелп! Перестроил систему на l2tp ipsec. Соединение поднимается нормально, выдается >адрес из пула. Все нормально..... НО! > >пул - часть адресов сети, в которой есть один из интерфейсов этого >марщрутизатора, так вод другие хосты, которые в этой сети, не видят >удаленно подключенных пользователей по L2, хотя они есть и адреса имеют >из этой сети? Что не так? Как сделать так что бы >получаемые адреса по VPN`у были видны? Вам же говорили: > Выдели отдельную свободную сеть/подсеть для пула VPN клентов > что бы не было путаницы Что с цисковским клиентом, что с l2tp - .... А Вы продолжаете наступать на эти грабли.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	32. "Вопрос по транспортному VPN"
	Сообщение от bda (ok) on 19-Мрт-08, 22:49
	>[оверквотинг удален] >>из этой сети? Что не так? Как сделать так что бы >>получаемые адреса по VPN`у были видны? > >Вам же говорили: > >> Выдели отдельную свободную сеть/подсеть для пула VPN клентов >> что бы не было путаницы > >Что с цисковским клиентом, что с l2tp - .... >А Вы продолжаете наступать на эти грабли. А как же сделать так, что бы клиент после подключения вставал на интерфейс, который смотрит в ЛВС? И был доступен из различных сетей этой ЛВС? Почему спрашиваю, т.к. у меня так сделано на pptp на линуксовой машине. Подсоединился, создался интерфейс - сразу в локальной сети, в которой и физический интерфейс... Неужели нельзя? Может подскажете?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	33. "Вопрос по транспортному VPN"
	Сообщение от CrAzOiD (ok) on 20-Мрт-08, 02:35
	>[оверквотинг удален] >> >>> Выдели отдельную свободную сеть/подсеть для пула VPN клентов >>> что бы не было путаницы >> >>Что с цисковским клиентом, что с l2tp - .... >>А Вы продолжаете наступать на эти грабли. > >А как же сделать так, что бы клиент после подключения вставал на >интерфейс, который смотрит в ЛВС? И был доступен из различных сетей >этой ЛВС? ну в каких терминах вы мыслите? что значит "вставал на интерфейс"? мыслите протоколом IP. Все решается маршрутизацией.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	34. "Вопрос по транспортному VPN"
	Сообщение от KiM on 20-Мрт-08, 08:34
	>[оверквотинг удален] > >А как же сделать так, что бы клиент после подключения вставал на >интерфейс, который смотрит в ЛВС? И был доступен из различных сетей >этой ЛВС? > >Почему спрашиваю, т.к. у меня так сделано на pptp на линуксовой машине. >Подсоединился, создался интерфейс - сразу в локальной сети, в которой и >физический интерфейс... > >Неужели нельзя? Может подскажете? про маршрутизацию почитать не пробовали?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]