https://www.opennet.dev/openforum/vsluhforumID6/22830.html День добрый!<br><br>Не получаеться поднять L2TP с win 7. Логи в ASDM при попытке подключения молчат, так же как и дебаг. <br>Настраиваю через ASDM VPN Wizzard, для подключения с виндовского клиента. <br><br>Подскажите пожалуйста в чем может быть проблема. <br><br><br><br><br>ASA Version 8.3(1)<br>!<br>interface GigabitEthernet1/1<br> description Default Gateway<br> nameif dg<br> security-level 0<br> ip address 192.168.0.3 255.255.255.0<br>!<br>same-security-traffic permit inter-interface<br>same-security-traffic permit intra-interface<br>object network local-inet<br> subnet 192.168.0.0 255.255.0.0<br>object network NETWORK_OBJ_192.168.0.0_24<br> subnet 192.168.0.0 255.255.255.0<br>access-list icmp extended permit ip any any<br>pager lines 1000<br>logging enable<br>logging asdm informational<br>mtu management 1500<br>mtu local-to-inet 1500<br>mtu dg 1500<br>ip local pool vpn-pool 192.168.0.100-192.168.0.150 mask 255.255.255.0<br>no failover<br>icmp unreachable rate-limit 1 burst-size 1<br>icmp permit any local-to-inet<br>icmp permit any dg<br>no asdm history enable<br>arp timeout 14 https://www.opennet.dev/openforum/vsluhforumID6/22830.html#18 Mon, 11 Jul 2011 08:17:18 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; в вашей железке это не поддерживается, то ... не знаю, что <br>&gt;&gt;&gt;&gt; сделать <br>&gt;&gt;&gt; Напрямую все работает.<br>&gt;&gt;&gt; С group 2 даже напрямую не хочет подключаться, работает только с group <br>&gt;&gt;&gt; 1.<br>&gt;&gt;&gt; На других форумах вычитал, что для win XP group 1 надо ставить...<br>&gt;&gt; Странно, но у меня с XP group 2 отлично работает, так что...не <br>&gt;&gt; знаю, что и посоветовать. За nat не делал ни разу.udp 500,4500 <br>&gt;&gt; пробрасываете natом наружу?<br>&gt; попробуйте также убрать vpn-tunnel-protocol IPSec l2tp-ipsec - пусть будет по дефолту <br><br>Удалял - не помогает....<br><br>Вот конфиг проброса портов<br>object network dmz-inet<br> subnet 192.168.0.0 255.255.0.0<br>object network tcp-80<br> host 192.168.3.3<br>object network vpn-allow<br> host 192.168.3.2<br>object network nat-4500<br> host 192.168.3.2<br>object network vpn-1701<br> host 192.168.3.2<br>object network dmz-inet<br> nat (any,outside) dynamic interface dns<br>object network tcp-80<br> nat (dmz,outside) static interface service tcp www www<br>object network vpn-allow<br> nat (dmz,out https://www.opennet.dev/openforum/vsluhforumID6/22830.html#17 Fri, 08 Jul 2011 17:15:51 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; Мне кажется причина в DH group1, нужно сделать 2 как минимум. Если <br>&gt;&gt;&gt; в вашей железке это не поддерживается, то ... не знаю, что <br>&gt;&gt;&gt; сделать <br>&gt;&gt; Напрямую все работает.<br>&gt;&gt; С group 2 даже напрямую не хочет подключаться, работает только с group <br>&gt;&gt; 1.<br>&gt;&gt; На других форумах вычитал, что для win XP group 1 надо ставить...<br>&gt; Странно, но у меня с XP group 2 отлично работает, так что...не <br>&gt; знаю, что и посоветовать. За nat не делал ни разу.udp 500,4500 <br>&gt; пробрасываете natом наружу?<br><br>попробуйте также убрать vpn-tunnel-protocol IPSec l2tp-ipsec - пусть будет по дефолту<br> https://www.opennet.dev/openforum/vsluhforumID6/22830.html#16 Fri, 08 Jul 2011 16:48:51 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; crypto dynamic-map o-d-m 10 match address vpn <br>&gt;&gt;&gt; ситуацию не изменило. Дебаг выдает все тоже самое <br>&gt;&gt; а без nat работает? ну в смысле напрямую?<br>&gt;&gt; Мне кажется причина в DH group1, нужно сделать 2 как минимум. Если <br>&gt;&gt; в вашей железке это не поддерживается, то ... не знаю, что <br>&gt;&gt; сделать <br>&gt; Напрямую все работает.<br>&gt; С group 2 даже напрямую не хочет подключаться, работает только с group <br>&gt; 1.<br>&gt; На других форумах вычитал, что для win XP group 1 надо ставить... <br><br>Странно, но у меня с XP group 2 отлично работает, так что...не знаю, что и посоветовать. За nat не делал ни разу.udp 500,4500 пробрасываете natом наружу?<br><br><br> https://www.opennet.dev/openforum/vsluhforumID6/22830.html#15 Fri, 08 Jul 2011 12:11:08 GMT &gt;[оверквотинг удален]<br>&gt;&gt; no authentication chap <br>&gt;&gt; authentication ms-chap-v2 <br>&gt;&gt; Нашел информацию, что возможна причина в ACL, но добавление строк: <br>&gt;&gt; access-list vpn extended permit ip any any log <br>&gt;&gt; crypto dynamic-map o-d-m 10 match address vpn <br>&gt;&gt; ситуацию не изменило. Дебаг выдает все тоже самое <br>&gt; а без nat работает? ну в смысле напрямую?<br>&gt; Мне кажется причина в DH group1, нужно сделать 2 как минимум. Если <br>&gt; в вашей железке это не поддерживается, то ... не знаю, что <br>&gt; сделать <br><br>Напрямую все работает. <br>С group 2 даже напрямую не хочет подключаться, работает только с group 1.<br>На других форумах вычитал, что для win XP group 1 надо ставить...<br><br> https://www.opennet.dev/openforum/vsluhforumID6/22830.html#14 Fri, 08 Jul 2011 12:08:04 GMT &gt;[оверквотинг удален]<br>&gt; default-group-policy DefaultRAGroup <br>&gt; tunnel-group DefaultRAGroup ipsec-attributes <br>&gt; pre-shared-key ***** <br>&gt; tunnel-group DefaultRAGroup ppp-attributes <br>&gt; no authentication chap <br>&gt; authentication ms-chap-v2 <br>&gt; Нашел информацию, что возможна причина в ACL, но добавление строк: <br>&gt; access-list vpn extended permit ip any any log <br>&gt; crypto dynamic-map o-d-m 10 match address vpn <br>&gt; ситуацию не изменило. Дебаг выдает все тоже самое <br><br>а без nat работает? ну в смысле напрямую?<br>Мне кажется причина в DH group1, нужно сделать 2 как минимум. Если в вашей железке это не поддерживается, то ... не знаю, что сделать<br> https://www.opennet.dev/openforum/vsluhforumID6/22830.html#13 Fri, 08 Jul 2011 08:28:06 GMT &gt;[оверквотинг удален]<br>&gt;&gt; address-pool vpn-pool <br>&gt;&gt; default-group-policy DefaultRAGroup <br>&gt;&gt; tunnel-group DefaultRAGroup ipsec-attributes <br>&gt;&gt; pre-shared-key ***** <br>&gt;&gt; tunnel-group DefaultRAGroup ppp-attributes <br>&gt;&gt; no authentication chap <br>&gt;&gt; authentication ms-chap-v2 <br>&gt; Считаю, Вам нужно посмотреть в сторону NAT-T - он и сделан для <br>&gt; того, чтобы работать за NAT.Использует порт UDP 4500. Поэтому и не <br>&gt; работает у вас, когда включаете. Так не нестроен проброс этого порта <br><br>Проброс настроил, винду пропатчил. Теперь затыкается на 2 фазе. Ошибка 789 (моментально). По ваершарку с компа затыкается все на запросах от компа: "ISAKMP Quick Mode", ответов по ваершарку от cisco ASA нет.<br><br>Дебаг выдает:<br><br>Jul 08 00:51:37 [IKEv1]: Group = DefaultRAGroup, IP = 87.245.143.138, PHASE 1 CO<br>MPLETED<br>Jul 08 00:51:37 [IKEv1]: IP = 87.245.143.138, Keep-alive type for this connectio<br>n: None<br>Jul 08 00:51:37 [IKEv1]: IP = 87.245.143.138, Keep-alives configured on but peer<br> does not support keep-alives (type = N https://www.opennet.dev/openforum/vsluhforumID6/22830.html#12 Fri, 08 Jul 2011 06:33:39 GMT &gt;[оверквотинг удален]<br>&gt; username root attributes <br>&gt; service-type admin <br>&gt; tunnel-group DefaultRAGroup general-attributes <br>&gt; address-pool vpn-pool <br>&gt; default-group-policy DefaultRAGroup <br>&gt; tunnel-group DefaultRAGroup ipsec-attributes <br>&gt; pre-shared-key ***** <br>&gt; tunnel-group DefaultRAGroup ppp-attributes <br>&gt; no authentication chap <br>&gt; authentication ms-chap-v2 <br><br>Считаю, Вам нужно посмотреть в сторону NAT-T - он и сделан для того, чтобы работать за NAT.Использует порт UDP 4500. Поэтому и не работает у вас, когда включаете. Так не нестроен проброс этого порта<br><br> https://www.opennet.dev/openforum/vsluhforumID6/22830.html#11 Fri, 08 Jul 2011 04:33:59 GMT &gt;[оверквотинг удален]<br>&gt; ASA 1 транслирует весь трафик, который пришел из "ВНЕ" в 192.168.3.х.<br>&gt; На ASA 1 настроен проброс портов 1701 и 500 <br>&gt; object network vpn-allow-1701 <br>&gt; host 192.168.3.2 <br>&gt; nat (inside,outside) static interface servise udp 1701 1701 <br>&gt; object network vpn-allow-500 <br>&gt; host 192.168.3.2 <br>&gt; nat (inside,outside) static interface servise udp 500 500 <br>&gt; (могу ошибиться в синтаксисе, пишу по памяти) <br>&gt; NAT-T выключен, ибо если его включить, то соединение вообще не происходит.<br><br>Конфиг ASA 1:<br><br>object network dmz-inet<br> subnet 192.168.0.0 255.255.0.0<br>object network tcp-80<br> host 192.168.3.3<br>object network vpn-allow<br> host 192.168.3.2<br>object network dmz-inet<br> nat (any,outside) dynamic interface dns<br>object network tcp-80<br> nat (inside,outside) static interface service tcp www www<br>object network vpn-allow<br> nat (inside,outside) static interface service udp isakmp isakmp<br><br><br><br>Конфиг ASA 2:<br>object network local-inet<br> subnet 192.168.0.0 255.255.0.0<br>object network local-ine https://www.opennet.dev/openforum/vsluhforumID6/22830.html#10 Thu, 07 Jul 2011 17:48:26 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; tunnel-group DefaultRAGroup ipsec-attributes <br>&gt;&gt;&gt; pre-shared-key * <br>&gt;&gt;&gt; tunnel-group DefaultRAGroup ppp-attributes <br>&gt;&gt;&gt; authentication ms-chap-v2 <br>&gt;&gt;&gt; ip local pool VPNUSERS 192.168.20.1-192.168.20.100 mask 255.255.255.0 <br>&gt;&gt; Алекс, спасибо за помощь.<br>&gt;&gt; Решил использовать cisco vpn client. Под него настроить получилось.<br>&gt;&gt; Чуток попозже попробую для вин клиентов.<br>&gt; для l2tp over ipsec просто есть определенные нюансы, которые cisco как-то явно <br>&gt; не прописывает. Клиент лучше работает и имеет массу других преимуществ <br><br>Спасибо за помощь!<br><br><br>Пожалуйста, помогите решить еще одну проблему. <br><br>Получилось поднять L2TP/ipsec с вин ХР.<br>Если компьютер, с которого идет подключение, соединен напрямую к ASA, на котором поднят l2tp сервер - все хорошо. Стоит переместить cisco ASA, на которой поднять L2TP сервер за nat - сразу же (моментально) вылетает ошибка 789. <br><br>Для ясности прилагаю схему подключения:<br>http://imageshack.us/photo/my-images/11/87087360.png/<br><br>Задача такова: