День добрый.Возникла следующая проблема:
(схема)
[Клиент]--(ISP1)--(WAN)--(ISP2)--195.19.204.113/114--[Cisco 2611]--195.19.205.1/2--[firewall]--[192.168.5.0]1. Есть Cisco 2611.
На внешнем интерфейсе fastethernet 0/1 (смотрящему в сторону ISP) 195.19.204.114
На внутреннем fastethernet 0/0 195.19.205.1 (из сети выданной ISP для "личных целей").
На циску заведён пул адресов для VPN соединения
ip local pool vpnpool 192.168.1.100 192.168.1.250
Serial в shutdown-е, т.к. смотрит в никуда.2. Файрвол за циской (внутрь сети относительно её):
На внешнем 195.19.205.2
На внутреннем 192.168.5.1Клиент из вне (через другую сеть или dial-up) соединяется VPN-клиентом с циской и получает адрес из пула, к примеру 192.168.1.112, DNS-ы и т.д.
crypto isakmp client configuration group vpnuser
key userpassword
dns 192.168.5.10 192.168.5.12
domain inside.wall.spb.ru
pool vpnpoolЧто нужно написать на циске и файрволе, чтоб 192.168.1.0 и 192.168.5.0 видели друг друга? Предполагается, что клиент должен получить доступ к внутреннему почтовому серверу (закрытому из вне) и внутреннему же www-серверу. В настоящее время VPN-соединение успешно устанавливается, но с клиентской машины не пинг, не traceroute не ходят даже на интерфейсы циски.
Спасибо.
З.Ы. Адреса указаны "левые".
какой ios?
>какой ios?
12.2(15)T7 - c2600-ik9s-mz.122-15.T7.binУ него глюк(?) есть, что появляются пустые access-list-ы типа:
ip access-list extended UNKNOWN
ip access-list extended dns-servers
ip access-list extended group-lock
ip access-list extended serviceПросто вот никто циску не трогал, а через пол часа такая фигня. Ни на что не влияет, но вгоняет в непонятки. Или я чего-то упустил в этой жизни?
да... у меня тоже было что-то похожее со списками доступа...а у тебя статический маршрут на клиентов прописан?
>да... у меня тоже было что-то похожее со списками доступа...
>
>а у тебя статический маршрут на клиентов прописан?А каким образом, если я не знаю откуда они придут? Т.е. предполагается, что человек берёт ноут с VPN-клиентом и пилит в командировку. Там через местную локалку или dial-up цепляется к инету, запускает VPN-клиент и вперёд...
На циске есть:
ip route 192.168.5.0 255.255.255.0 195.19.205.2
чтоб циска была в курсе где 192.168.5.0 искать и она это успешно делает.
На 195.19.205.2 соответственно есть
ip route 192.168.1.0 255.255.255.0 195.19.205.1
и по traceroute уходит куда нужно. Для проверки вешал на loopback 0 ip-шник 192.168.1.1 - из 192.168.5.0 маршрут приходил на циску.А для 192.168.1.x что писать?
конфиг покажи....
>конфиг покажи....
wall-gw#sh run
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname wall-gw
!
boot system flash c2600-ik9s-mz.122-15.T7.bin
logging count
logging queue-limit 100
logging buffered 10000 debugging
enable secret 5
enable password 7
!
username admin password 7
memory-size iomem 15
clock timezone GMT 3
clock summer-time PDT recurring
aaa new-model
!
!
aaa authentication login userauthen local
aaa authentication ppp userauthen local
aaa authorization network groupauthor local
aaa session-id common
ip subnet-zero
no ip source-route
ip flow-cache feature-accelerate
ip cef
!
!
no ip domain lookup
ip domain name bercut.ru
ip name-server 195.19.205.3
ip name-server 195.19.204.2
!
no ip bootp server
!
!
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group vpnuser
key userpassword
dns 192.168.5.10 192.168.5.12
domain inside.wall.spb.ru
pool vpnpool
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
mta receive maximum-recipients 0
!
!
class-map match-any http-hack
match protocol http url "*readme.eml*"
match protocol http url "*.ida*"
match protocol http url "*cmd.exe*"
match protocol http url "*root.exe*"
class-map match-any arp
match protocol arp
!
!
policy-map ratelimitarp
class arp
police cir 8000 bc 1500 be 1500
conform-action transmit
exceed-action drop
violate-action drop
policy-map mark-in-http-hack
class http-hack
set dscp 1
!
!
interface Loopback0
no ip address
!
interface FastEthernet0/0
description Bercut Internal Interface
ip address 195.19.205.1 255.255.255.0
ip access-group 103 in
ip access-group 104 out
service-policy output ratelimitarp
no ip mroute-cache
duplex auto
speed auto
crypto map clientmap
!
interface Serial0/0
ip address 195.19.204.114 255.255.255.252
ip access-group 101 in
ip access-group 102 out
service-policy input mark-in-http-hack
encapsulation ppp
no ip mroute-cache
shutdown
no fair-queue
crypto map clientmap
!
interface FastEthernet0/1
description Bercut External Interface
ip address 195.19.204.114 255.255.255.252
ip access-group 101 in
ip access-group 102 out
service-policy input mark-in-http-hack
no ip mroute-cache
duplex auto
speed auto
crypto map clientmap
!
ip local pool vpnpool 192.168.1.100 192.168.1.250
no ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 195.19.204.113
ip route 192.168.5.0 255.255.255.0 195.19.205.2
!
!
!
logging history debugging
logging trap debugging
logging facility local0
logging source-interface FastEthernet0/1
logging 195.19.205.23
access-list 2 permit 195.19.205.2
access-list 2 permit 192.168.5.0 0.0.0.255
access-list 2 deny any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.0.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 224.0.0.0 31.255.255.255 any
access-list 101 deny ip 195.19.205.0 0.0.0.255 any
access-list 101 deny ip any any dscp 1
access-list 101 deny tcp any any eq 445
access-list 101 deny udp any any eq 445
access-list 101 deny udp any any eq 31337
access-list 101 deny tcp any any range 137 139
access-list 101 deny udp any any range netbios-ns netbios-ss
access-list 101 deny tcp any any eq telnet
access-list 101 deny tcp any any range exec lpd
access-list 101 deny tcp any any eq 11
access-list 101 deny udp any any eq tftp
access-list 101 deny tcp any any eq 22
access-list 101 permit ip any any
access-list 101 deny ip any any
access-list 102 permit ip 195.19.205.0 0.0.0.255 any
access-list 102 deny ip any any
access-list 103 permit tcp host 195.19.205.2 host 195.19.205.1 eq 22
access-list 103 permit tcp host 195.19.205.7 host 195.19.205.1 eq 22
access-list 103 deny tcp any host 195.19.205.1 eq telnet
access-list 103 deny tcp any host 195.19.204.114 eq telnet
access-list 103 deny tcp any host 195.19.205.1 eq 22
access-list 103 deny tcp any host 195.19.204.114 eq 22
access-list 103 permit ip any any
access-list 103 deny ip any any
access-list 104 deny ip any any dscp 1
access-list 104 permit ip any any
access-list 104 deny ip any any
!
no snmp-server enable traps tty
call rsvp-sync
!
!
mgcp profile default
!
!
dial-peer cor custom
!
!
line con 0
line aux 0
line vty 0 4
password 7
transport input telnet ssh
!
ntp clock-period 17208461
ntp server 192.43.244.18 prefer
!
end
на какой адрес должны клиенты конектится?
>на какой адрес должны клиенты конектится?
Ну видимо на внешний (195.19.204.114, он же FE0/1). На внутреннем VPN пока тоже терминируется, чтобы тестить коннект можно было изнутри сети.Т.е. клиент коннектится VPN-ом на внешний интерфейс циски из откуда-то оттуда (не из локалки, а из другого города, к примеру) и должен попасть внутрь сети 192.168.5.0 ("видеть" машины и всё такое).
>на какой адрес должны клиенты конектится?Я так понимаю, что задачка нетривиальная?
Вчера проверил "из вне" (нотебук, диалап, заход с "улицы"). Пинается тот интерфейс, на котором терминируется VPN, но судя по route print пинается over dial-up, а не over VPN...
Ещё прикол в том, что в самом начале наcтроив VPN соединился удалённо и даже попал на файл-сервер в сети. А потом - фиг. И что изменилось между двумя тестами - ума не приложу...
>на какой адрес должны клиенты конектится?Усё. Снял ACL-и с внешнего интерфейса и всё заработало. =)
Могу конфиг выложить.