форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

"Cisco 1841 - Draytek Vigor IPsec"	+/–
Сообщение от Majestic (ok) on 11-Май-12, 05:33
Добрый день! Помогите плиз с решением проблемы. Имеем Cisco 1841 - она раздает интернет. За ним стоит Draytek Vigor 2820 и он уже должен поднимать VPN IPsec туннель в Италию. Он (Draytek) уже приезжает настроенные, знаю только IP куда он подключаеться и что это IPsec туннель. Внешний интерфейс на WAN(IP  10.10.101.2) смотрит на Cisco 1841(IP 10.10.101.1). Далее Draytek раздает свою сеть 192.168.91.0/24. Интернет через него (Draytek) работает. Проблема заключается в том что туннель не поднимается. версия IOS, настройки интерфейса Outside, ACL на Cisco 1841. _________________________________________________________ ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1) msk-HQ-FW01-Cisco1841 uptime is 15 hours, 2 minutes System returned to ROM by reload at 15:16:47 MSK Thu May 10 2012 System restarted at 14:19:30 MSK Thu May 10 2012 System image file is "flash:c1841-advipservicesk9-mz.124-25d.bin" ________________________________ interface FastEthernet0/0 description -= Outside =- ip address xxx.xxx.xxx.xxx 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip access-group 103 in ip nbar protocol-discovery ip nat outside ip inspect inspect-traffic in ip virtual-reassembly duplex auto speed auto no cdp enable no mop enabled _______________________________________________________ interface Vlan101 description -= Draytek Vigor 2820 - WAN =- ip address 10.10.101.1 255.255.255.0 ip nat inside ip virtual-reassembly _________________________________________________ ip nat inside source list 101 interface FastEthernet0/0 overload ___________________________________________________ access-list 101 permit ip 10.10.0.0 0.0.255.255 any ___________________________________________________ access-list 103 permit gre any any access-list 103 permit ahp any any access-list 103 permit ip any any access-list 103 permit udp any any eq isakmp access-list 103 permit esp any any access-list 103 permit tcp any any eq 1723 access-list 103 permit udp any any eq 1723 access-list 103 permit icmp any any unreachable access-list 103 permit icmp any any echo-reply access-list 103 permit icmp any any time-exceeded access-list 103 permit tcp any any eq domain access-list 103 permit udp any any eq domain access-list 103 permit icmp any any echo ________________________________________________ Также из сети за Draytek пробывали подключаться к Италии по Cisco Anyconnect, результат тот же. Появляется приглашение вести логин-пароль и потом когда их вводишь "фиг".
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Cisco 1841 - Draytek Vigor IPsec"	+/–
Сообщение от Aleks305 (ok) on 11-Май-12, 09:41
>[оверквотинг удален] > access-list 103 permit icmp any any unreachable > access-list 103 permit icmp any any echo-reply > access-list 103 permit icmp any any time-exceeded > access-list 103 permit tcp any any eq domain > access-list 103 permit udp any any eq domain > access-list 103 permit icmp any any echo > ________________________________________________ > Также из сети за Draytek пробывали подключаться к Италии по Cisco Anyconnect, > результат тот же. Появляется приглашение вести логин-пароль и потом когда их > вводишь "фиг". должен быть активирован на vpn-peer NaT-T, который бы инкапсулировал esp в udp пакеты(4500 порт по умолчанию). Соответственно после этого заработает через nat ваша штукенция. Если не заработает, то надо человека привлекать, чтобы тишутить и искать причину
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Cisco 1841 - Draytek Vigor IPsec"	+/–
	Сообщение от Majestic (ok) on 11-Май-12, 11:17
	>[оверквотинг удален] >> access-list 103 permit udp any any eq domain >> access-list 103 permit icmp any any echo >> ________________________________________________ >> Также из сети за Draytek пробывали подключаться к Италии по Cisco Anyconnect, >> результат тот же. Появляется приглашение вести логин-пароль и потом когда их >> вводишь "фиг". > должен быть активирован на vpn-peer NaT-T, который бы инкапсулировал esp в udp > пакеты(4500 порт по умолчанию). Соответственно после этого заработает через nat ваша > штукенция. Если не заработает, то надо человека привлекать, чтобы тишутить и > искать причину Он дожен быть где активирован? на Cisco или на Draytek Vigor? Если на Cisco не могли бы Вы подсказать как его активировать?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Cisco 1841 - Draytek Vigor IPsec"	+/–
	Сообщение от Aleks305 (ok) on 11-Май-12, 11:26
	>[оверквотинг удален] >>> ________________________________________________ >>> Также из сети за Draytek пробывали подключаться к Италии по Cisco Anyconnect, >>> результат тот же. Появляется приглашение вести логин-пароль и потом когда их >>> вводишь "фиг". >> должен быть активирован на vpn-peer NaT-T, который бы инкапсулировал esp в udp >> пакеты(4500 порт по умолчанию). Соответственно после этого заработает через nat ваша >> штукенция. Если не заработает, то надо человека привлекать, чтобы тишутить и >> искать причину > Он дожен быть где активирован? на Cisco или на Draytek Vigor? Если > на Cisco не могли бы Вы подсказать как его активировать? на cisco должен быть проброс порта 4500 через nat, а активирован должен быть на Draytek Vigor
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Cisco 1841 - Draytek Vigor IPsec"	+/–
	Сообщение от Majestic (ok) on 11-Май-12, 11:31
	>[оверквотинг удален] >>>> результат тот же. Появляется приглашение вести логин-пароль и потом когда их >>>> вводишь "фиг". >>> должен быть активирован на vpn-peer NaT-T, который бы инкапсулировал esp в udp >>> пакеты(4500 порт по умолчанию). Соответственно после этого заработает через nat ваша >>> штукенция. Если не заработает, то надо человека привлекать, чтобы тишутить и >>> искать причину >> Он дожен быть где активирован? на Cisco или на Draytek Vigor? Если >> на Cisco не могли бы Вы подсказать как его активировать? > на cisco должен быть проброс порта 4500 через nat, а активирован должен > быть на Draytek Vigor Спасибо! А если у меня за Cisco будет много таких железок, как быть с этим?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Cisco 1841 - Draytek Vigor IPsec"	+/–
	Сообщение от Aleks305 (ok) on 11-Май-12, 12:38
	>[оверквотинг удален] >>>> пакеты(4500 порт по умолчанию). Соответственно после этого заработает через nat ваша >>>> штукенция. Если не заработает, то надо человека привлекать, чтобы тишутить и >>>> искать причину >>> Он дожен быть где активирован? на Cisco или на Draytek Vigor? Если >>> на Cisco не могли бы Вы подсказать как его активировать? >> на cisco должен быть проброс порта 4500 через nat, а активирован должен >> быть на Draytek Vigor > Спасибо! > А если у меня за Cisco будет много таких железок, как быть > с этим? у cisco можно изменять дефолтный порт с 4500 на любой другой - соответственно для другой железки и другой порт для nat настраивать, второй вариант nat на cisco по условию
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Cisco 1841 - Draytek Vigor IPsec"	+/–
	Сообщение от Majestic (ok) on 11-Май-12, 12:48
	>[оверквотинг удален] >>>> Он дожен быть где активирован? на Cisco или на Draytek Vigor? Если >>>> на Cisco не могли бы Вы подсказать как его активировать? >>> на cisco должен быть проброс порта 4500 через nat, а активирован должен >>> быть на Draytek Vigor >> Спасибо! >> А если у меня за Cisco будет много таких железок, как быть >> с этим? > у cisco можно изменять дефолтный порт с 4500 на любой другой - > соответственно для другой железки и другой порт для nat настраивать, второй > вариант nat на cisco по условию Еще раз спасибо! А Вы можете про это поподробней расказать? 1. Правильно ли я понимаю что на cisco из ВНЕ я могу прописать любой порт и пробросить его на Draytek. например для 1 Draytek: ip nat inside source static tcp 10.10.101.2 4500 interface FastEthernet0/0 4500 Для 2 Draytek: ip nat inside source static tcp 10.10.101.3 4501 interface FastEthernet0/0 4500 Так? А как оборудование в Италии поймет что надо кидать пакеты на другой порт для 2 Draytek? У меня нет доступа к этому оборудованию, да и Итальянцы ни чего 100% не будут менять. Это они уже дали не двухсмысленно понять. 2. По условию это как? Подскажите, пожалуйста!
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Cisco 1841 - Draytek Vigor IPsec"	+/–
	Сообщение от Majestic (ok) on 11-Май-12, 13:54
	>[оверквотинг удален] > например для 1 Draytek: > ip nat inside source static tcp 10.10.101.2 4500 interface FastEthernet0/0 4500 > Для 2 Draytek: > ip nat inside source static tcp 10.10.101.3 4501 interface FastEthernet0/0 4500 > Так? > А как оборудование в Италии поймет что надо кидать пакеты на другой > порт для 2 Draytek? У меня нет доступа к этому оборудованию, > да и Итальянцы ни чего 100% не будут менять. Это они > уже дали не двухсмысленно понять. > 2. По условию это как? Подскажите, пожалуйста! Ошибся! ip nat inside source static tcp 10.10.101.2 4500 interface FastEthernet0/0 4500 Для 2 Draytek: ip nat inside source static tcp 10.10.101.3 4500 interface FastEthernet0/0 4501
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Cisco 1841 - Draytek Vigor IPsec"	+/–
	Сообщение от Aleks305 (ok) on 11-Май-12, 14:33
	>[оверквотинг удален] >> Так? >> А как оборудование в Италии поймет что надо кидать пакеты на другой >> порт для 2 Draytek? У меня нет доступа к этому оборудованию, >> да и Итальянцы ни чего 100% не будут менять. Это они >> уже дали не двухсмысленно понять. >> 2. По условию это как? Подскажите, пожалуйста! > Ошибся! > ip nat inside source static tcp 10.10.101.2 4500 interface FastEthernet0/0 4500 > Для 2 Draytek: >  ip nat inside source static tcp 10.10.101.3 4500 interface FastEthernet0/0 4501 policy-based nat выход. С этого внешнего ip натить на этот ip внутренний , с этого на другой и так далее. почитай мануалы - подробнее нет времени рассказать
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Cisco 1841 - Draytek Vigor IPsec"	+/–
	Сообщение от Majestic (ok) on 12-Май-12, 15:47
	>[оверквотинг удален] >>> да и Итальянцы ни чего 100% не будут менять. Это они >>> уже дали не двухсмысленно понять. >>> 2. По условию это как? Подскажите, пожалуйста! >> Ошибся! >> ip nat inside source static tcp 10.10.101.2 4500 interface FastEthernet0/0 4500 >> Для 2 Draytek: >>  ip nat inside source static tcp 10.10.101.3 4500 interface FastEthernet0/0 4501 > policy-based nat выход. С этого внешнего ip натить на этот ip внутренний > , с этого на другой и так далее. почитай мануалы - > подробнее нет времени рассказать пробросил порты esp, 500 и 4500 на Draytek. Настройку vpn-peer NaT-T на Draytek не нашел. И соответственно ни чего не работает. Бл.. уже голову сломал...
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "Cisco 1841 - Draytek Vigor IPsec"	+/–
	Сообщение от Aleks305 (ok) on 12-Май-12, 20:54
	>[оверквотинг удален] >>> Ошибся! >>> ip nat inside source static tcp 10.10.101.2 4500 interface FastEthernet0/0 4500 >>> Для 2 Draytek: >>>  ip nat inside source static tcp 10.10.101.3 4500 interface FastEthernet0/0 4501 >> policy-based nat выход. С этого внешнего ip натить на этот ip внутренний >> , с этого на другой и так далее. почитай мануалы - >> подробнее нет времени рассказать > пробросил порты esp, 500 и 4500 на Draytek. Настройку vpn-peer NaT-T на > Draytek не нашел. И соответственно ни чего не работает. Бл.. уже > голову сломал... получайте белый ip и назначайте его внешнему интерфейсу вашего безызвестному draytek
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "Cisco 1841 - Draytek Vigor IPsec"	+/–
	Сообщение от Majestic (ok) on 13-Май-12, 19:35
	>[оверквотинг удален] >>>> ip nat inside source static tcp 10.10.101.2 4500 interface FastEthernet0/0 4500 >>>> Для 2 Draytek: >>>>  ip nat inside source static tcp 10.10.101.3 4500 interface FastEthernet0/0 4501 >>> policy-based nat выход. С этого внешнего ip натить на этот ip внутренний >>> , с этого на другой и так далее. почитай мануалы - >>> подробнее нет времени рассказать >> пробросил порты esp, 500 и 4500 на Draytek. Настройку vpn-peer NaT-T на >> Draytek не нашел. И соответственно ни чего не работает. Бл.. уже >> голову сломал... > получайте белый ip и назначайте его внешнему интерфейсу вашего безызвестному draytek Если это было возможно сделать быстро, то я бы это сделал бы и не мучился бы. По чему то с роутера Cisco не идет telnet на 500 и 4500 порты, а из дому все нормально. В чем может быть дело? ACL все тот же что и писал выше.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "Cisco 1841 - Draytek Vigor IPsec"	+/–
	Сообщение от Aleks305 (ok) on 14-Май-12, 10:47
	>[оверквотинг удален] >>> пробросил порты esp, 500 и 4500 на Draytek. Настройку vpn-peer NaT-T на >>> Draytek не нашел. И соответственно ни чего не работает. Бл.. уже >>> голову сломал... >> получайте белый ip и назначайте его внешнему интерфейсу вашего безызвестному draytek > Если это было возможно сделать быстро, то я бы это сделал бы > и не мучился бы. > По чему то с роутера Cisco не идет telnet на 500 и > 4500 порты, а из дому все нормально. > В чем может быть дело? ACL все тот же что и писал > выше. глупо думать что telnetом, работающим по TCP, можно проверять доступность UDP-портов
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема