URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 4040
[ Назад ]

Исходное сообщение
"Cisco 2611 + VPN + route"
Отправлено Алан Моэл , 15-Окт-03 13:34

День добрый.
Возникла следующая проблема:
(схема)
[Клиент]--(ISP1)--(WAN)--(ISP2)--195.19.204.113/114--[Cisco 2611]--195.19.205.1/2--[firewall]--[192.168.5.0]
1. Есть Cisco 2611.
На внешнем интерфейсе fastethernet 0/1 (смотрящему в сторону ISP) 195.19.204.114
На внутреннем fastethernet 0/0 195.19.205.1 (из сети выданной ISP для "личных целей").
На циску заведён пул адресов для VPN соединения
ip local pool vpnpool 192.168.1.100 192.168.1.250
Serial в shutdown-е, т.к. смотрит в никуда.
2. Файрвол за циской (внутрь сети относительно её):
На внешнем 195.19.205.2
На внутреннем 192.168.5.1
Клиент из вне (через другую сеть или dial-up) соединяется VPN-клиентом с циской и получает адрес из пула, к примеру 192.168.1.112, DNS-ы и т.д.
crypto isakmp client configuration group vpnuser
key userpassword
dns 192.168.5.10 192.168.5.12
domain inside.wall.spb.ru
pool vpnpool
Что нужно написать на циске и файрволе, чтоб 192.168.1.0 и 192.168.5.0 видели друг друга? Предполагается, что клиент должен получить доступ к внутреннему почтовому серверу (закрытому из вне) и внутреннему же www-серверу. В настоящее время VPN-соединение успешно устанавливается, но с клиентской машины не пинг, не traceroute не ходят даже на интерфейсы циски.
Спасибо.
З.Ы. Адреса указаны "левые".

Содержание

Cisco 2611 + VPN + route,ВОЛКА, 14:28 , 15-Окт-03
- Cisco 2611 + VPN + route,Алан Моэл, 14:32 , 15-Окт-03
  - Cisco 2611 + VPN + route,ВОЛКА, 15:29 , 15-Окт-03
    - Cisco 2611 + VPN + route,Алан Моэл, 15:36 , 15-Окт-03
      - Cisco 2611 + VPN + route,ВОЛКА, 16:02 , 15-Окт-03
        
        Cisco 2611 + VPN + route,Алан Моэл, 16:20 , 15-Окт-03
        
        Cisco 2611 + VPN + route,ВОЛКА, 16:54 , 15-Окт-03
        
        Cisco 2611 + VPN + route,Oz, 17:27 , 15-Окт-03
        Cisco 2611 + VPN + route,Алан Моэл, 12:21 , 16-Окт-03
        Cisco 2611 + VPN + route,Алан Моэл, 13:39 , 16-Окт-03
- Cisco 2611 + VPN + route,Алан Моэл, 15:06 , 15-Окт-03

Сообщения в этом обсуждении

"Cisco 2611 + VPN + route"
Отправлено ВОЛКА , 15-Окт-03 14:28

какой ios?

"Cisco 2611 + VPN + route"
Отправлено Алан Моэл , 15-Окт-03 14:32

>какой ios?
12.2(15)T7 - c2600-ik9s-mz.122-15.T7.bin
У него глюк(?) есть, что появляются пустые access-list-ы типа:
ip access-list extended UNKNOWN
ip access-list extended dns-servers
ip access-list extended group-lock
ip access-list extended service
Просто вот никто циску не трогал, а через пол часа такая фигня. Ни на что не влияет, но вгоняет в непонятки. Или я чего-то упустил в этой жизни?

"Cisco 2611 + VPN + route"
Отправлено ВОЛКА , 15-Окт-03 15:29

да... у меня тоже было что-то похожее со списками доступа...
а у тебя статический маршрут на клиентов прописан?

"Cisco 2611 + VPN + route"
Отправлено Алан Моэл , 15-Окт-03 15:36

>да... у меня тоже было что-то похожее со списками доступа...
>
>а у тебя статический маршрут на клиентов прописан?
А каким образом, если я не знаю откуда они придут? Т.е. предполагается, что человек берёт ноут с VPN-клиентом и пилит в командировку. Там через местную локалку или dial-up цепляется к инету, запускает VPN-клиент и вперёд...
На циске есть:
ip route 192.168.5.0 255.255.255.0 195.19.205.2
чтоб циска была в курсе где 192.168.5.0 искать и она это успешно делает.
На 195.19.205.2 соответственно есть
ip route 192.168.1.0 255.255.255.0 195.19.205.1
и по traceroute уходит куда нужно. Для проверки вешал на loopback 0 ip-шник 192.168.1.1 - из 192.168.5.0 маршрут приходил на циску.
А для 192.168.1.x что писать?

"Cisco 2611 + VPN + route"
Отправлено ВОЛКА , 15-Окт-03 16:02

конфиг покажи....

"Cisco 2611 + VPN + route"
Отправлено Алан Моэл , 15-Окт-03 16:20

>конфиг покажи....
wall-gw#sh run
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname wall-gw
!
boot system flash c2600-ik9s-mz.122-15.T7.bin
logging count
logging queue-limit 100
logging buffered 10000 debugging
enable secret 5
enable password 7
!
username admin password 7
memory-size iomem 15
clock timezone GMT 3
clock summer-time PDT recurring
aaa new-model
!
!
aaa authentication login userauthen local
aaa authentication ppp userauthen local
aaa authorization network groupauthor local
aaa session-id common
ip subnet-zero
no ip source-route
ip flow-cache feature-accelerate
ip cef
!
!
no ip domain lookup
ip domain name bercut.ru
ip name-server 195.19.205.3
ip name-server 195.19.204.2
!
no ip bootp server
!
!
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group vpnuser
key userpassword
dns 192.168.5.10 192.168.5.12
domain inside.wall.spb.ru
pool vpnpool
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
mta receive maximum-recipients 0
!
!
class-map match-any http-hack
  match protocol http url "*readme.eml*"
  match protocol http url "*.ida*"
  match protocol http url "*cmd.exe*"
  match protocol http url "*root.exe*"
class-map match-any arp
  match protocol arp
!
!
policy-map ratelimitarp
  class arp
   police cir 8000 bc 1500 be 1500
     conform-action transmit
     exceed-action drop
     violate-action drop
policy-map mark-in-http-hack
  class http-hack
   set dscp 1
!
!
interface Loopback0
no ip address
!
interface FastEthernet0/0
description Bercut Internal Interface
ip address 195.19.205.1 255.255.255.0
ip access-group 103 in
ip access-group 104 out
service-policy output ratelimitarp
no ip mroute-cache
duplex auto
speed auto
crypto map clientmap
!
interface Serial0/0
ip address 195.19.204.114 255.255.255.252
ip access-group 101 in
ip access-group 102 out
service-policy input mark-in-http-hack
encapsulation ppp
no ip mroute-cache
shutdown
no fair-queue
crypto map clientmap
!
interface FastEthernet0/1
description Bercut External Interface
ip address 195.19.204.114 255.255.255.252
ip access-group 101 in
ip access-group 102 out
service-policy input mark-in-http-hack
no ip mroute-cache
duplex auto
speed auto
crypto map clientmap
!
ip local pool vpnpool 192.168.1.100 192.168.1.250
no ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 195.19.204.113
ip route 192.168.5.0 255.255.255.0 195.19.205.2
!
!
!
logging history debugging
logging trap debugging
logging facility local0
logging source-interface FastEthernet0/1
logging 195.19.205.23
access-list 2 permit 195.19.205.2
access-list 2 permit 192.168.5.0 0.0.0.255
access-list 2 deny   any
access-list 101 deny   ip host 0.0.0.0 any
access-list 101 deny   ip host 255.255.255.255 any
access-list 101 deny   ip 10.0.0.0 0.255.255.255 any
access-list 101 deny   ip 127.0.0.0 0.255.255.255 any
access-list 101 deny   ip 172.16.0.0 0.0.255.255 any
access-list 101 deny   ip 192.168.0.0 0.0.255.255 any
access-list 101 deny   ip 224.0.0.0 31.255.255.255 any
access-list 101 deny   ip 195.19.205.0 0.0.0.255 any
access-list 101 deny   ip any any dscp 1
access-list 101 deny   tcp any any eq 445
access-list 101 deny   udp any any eq 445
access-list 101 deny   udp any any eq 31337
access-list 101 deny   tcp any any range 137 139
access-list 101 deny   udp any any range netbios-ns netbios-ss
access-list 101 deny   tcp any any eq telnet
access-list 101 deny   tcp any any range exec lpd
access-list 101 deny   tcp any any eq 11
access-list 101 deny   udp any any eq tftp
access-list 101 deny   tcp any any eq 22
access-list 101 permit ip any any
access-list 101 deny   ip any any
access-list 102 permit ip 195.19.205.0 0.0.0.255 any
access-list 102 deny   ip any any
access-list 103 permit tcp host 195.19.205.2 host 195.19.205.1 eq 22
access-list 103 permit tcp host 195.19.205.7 host 195.19.205.1 eq 22
access-list 103 deny   tcp any host 195.19.205.1 eq telnet
access-list 103 deny   tcp any host 195.19.204.114 eq telnet
access-list 103 deny   tcp any host 195.19.205.1 eq 22
access-list 103 deny   tcp any host 195.19.204.114 eq 22
access-list 103 permit ip any any
access-list 103 deny   ip any any
access-list 104 deny   ip any any dscp 1
access-list 104 permit ip any any
access-list 104 deny   ip any any
!
no snmp-server enable traps tty
call rsvp-sync
!
!
mgcp profile default
!
!
dial-peer cor custom
!
!
line con 0
line aux 0
line vty 0 4
password 7
transport input telnet ssh
!
ntp clock-period 17208461
ntp server 192.43.244.18 prefer
!
end

"Cisco 2611 + VPN + route"
Отправлено ВОЛКА , 15-Окт-03 16:54

на какой адрес должны клиенты конектится?

"Cisco 2611 + VPN + route"
Отправлено Oz , 15-Окт-03 17:27

>на какой адрес должны клиенты конектится?
Ну видимо на внешний (195.19.204.114, он же FE0/1). На внутреннем VPN пока тоже терминируется, чтобы тестить коннект можно было изнутри сети.
Т.е. клиент коннектится VPN-ом на внешний интерфейс циски из откуда-то оттуда (не из локалки, а из другого города, к примеру) и должен попасть внутрь сети 192.168.5.0 ("видеть" машины и всё такое).

"Cisco 2611 + VPN + route"
Отправлено Алан Моэл , 16-Окт-03 12:21

>на какой адрес должны клиенты конектится?
Я так понимаю, что задачка нетривиальная?
Вчера проверил "из вне" (нотебук, диалап, заход с "улицы"). Пинается тот интерфейс, на котором терминируется VPN, но судя по route print пинается over dial-up, а не over VPN...
Ещё прикол в том, что в самом начале наcтроив VPN соединился удалённо и даже попал на файл-сервер в сети. А потом - фиг. И что изменилось между двумя тестами - ума не приложу...

"Cisco 2611 + VPN + route"
Отправлено Алан Моэл , 16-Окт-03 13:39

>на какой адрес должны клиенты конектится?
Усё. Снял ACL-и с внешнего интерфейса и всё заработало. =)

"Cisco 2611 + VPN + route"
Отправлено Алан Моэл , 15-Окт-03 15:06

Могу конфиг выложить.