Новые ответы

Cisco Easy VPN client on Loopback int,

Николай, 24-Июн-10, 18:02 [смотреть все]

День добрый! Имею следующую проблему:
Есть железный Cisco Easy VPN mode client - хочу построить тунель от лупбека для внутрених адресов.
Имеем сетку LAN 192.168.32.0 255.255.248.0 адреса попадают в порт циски там натяться на Loopback0 от и надо их заставить уходить в построенный тунель - тут и проблема.
Конфиг
!
crypto ipsec client ezvpn VPN-MTSBU
connect auto
group **** key *****
mode client
peer 213.186.206.90
xauth userid mode interactive
!
!
archive
log config
  hidekeys
!
!
!
!
!
interface Loopback0
ip address 10.0.0.254 255.255.255.255
ip nat outside
ip virtual-reassembly
crypto ipsec client ezvpn VPN-MTSBU inside
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address 192.168.33.120 255.255.248.0
ip nat inside
ip virtual-reassembly
ip policy route-map TO-MTSBU-map
duplex auto
speed auto
crypto ipsec client ezvpn VPN-MTSBU
!
interface Vlan1
no ip address
shutdown
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 192.168.33.1
!
!
ip nat inside source list TO-MTSBU-acl interface Loopback0 overload
!
ip access-list extended TO-MTSBU-acl
permit ip host 192.168.32.113 host 173.33.100.110
permit ip any host 173.33.100.110
!
!
!
!
route-map TO-MTSBU-map permit 10
match ip address TO-MTSBU-acl
set interface Loopback0
!
При пингах с машины   192.168.32.113 (gw 192.168.33.120 ) туннельного адреса 173.33.100.110 на железке
MTSBU(config)#do sh ip nat tran
Pro Inside global      Inside local       Outside local      Outside global
icmp 10.0.0.254:1      192.168.32.113:1   173.33.100.110:1   173.33.100.110:1
НАТ на лупбек работает
Туннел строиться
MTSBU(config)# do sh cry sess de
Crypto session current status
Code: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, X - IKE Extended Authentication
F - IKE Fragmentation
Interface: FastEthernet4
Uptime: 00:27:42
Session status: UP-ACTIVE
Peer: 213.186.206.90 port 4500 fvrf: (none) ivrf: (none)
      Phase1_id: 213.186.206.90
      Desc: (none)
  IKE SA: local 192.168.33.120/4500 remote 213.186.206.90/4500 Active
          Capabilities:CN connid:2005 lifetime:23:31:26
  IPSEC FLOW: permit ip host 192.168.13.84 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 0 drop 0 life (KB/Sec) 4504012/27127
        Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 4504012/27127
Но пакеты в тунель не уходят какие есть мнения?

Ответить | Сообщить модератору

Cisco Easy VPN client on Loopback int, j_vw, 19:35 , 24-Июн-10 (1)
Так... А команда
ping "сетка за сервером" source 10.0.0.254 проходит?
Нужные роуты клиенту передаются? (sh ip route).
Не хватает данных по топологии со стороны сервера....
ip access-list extended TO-MTSBU-acl
permit ip host 192.168.32.113 host 173.33.100.110
permit ip any host 173.33.100.110
Вот ЭТО немного странно выглядит...
ip access-list extended TO-MTSBU-acl
permit ip host 192.168.32.113 host 173.33.100.110
permit ip any host 173.33.100.110

Короче, рисуйте адресацию со стороны сервера и клиента, и кто-куда ходить должен...
P.S. DMVPN не хотите попробовать?
Ответить | Сообщить модератору

Cisco Easy VPN client on Loopback int, Николай, 10:56 , 25-Июн-10 (2)
>[оверквотинг удален]
>Не хватает данных по топологии со стороны сервера....
>
>ip access-list extended TO-MTSBU-acl
>permit ip host 192.168.32.113 host 173.33.100.110
>permit ip any host 173.33.100.110
>
>Вот ЭТО немного странно выглядит...
>ip access-list extended TO-MTSBU-acl
>permit ip host 192.168.32.113 host 173.33.100.110
>permit ip any host 173.33.100.110
Дело с том что это не тривиальный site-to-site ВПН с внутренними и внешними адресами - если провести аналогию то это сродни Windows VPN. приведенная статистика показывает что ВПН соединение получает адрес 192.168.13.84 и ему разрешено ходить на любые ИП внутри тунеля.
  IPSEC FLOW: permit ip host 192.168.13.84 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 0 drop 0 life (KB/Sec) 4504012/27127
        Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 4504012/27127
относительно ацл - этот лист просто отлавливает трифик приходящий на Fa4 по заданому привилу и направляет пакеты на Loopback поскольку дефаул роут смотрит на Fa4.
173.33.100.110 - IP который существует внутри тунеля вот только пакет в тунель никак попадать не хочет :(
Ответить | Сообщить модератору

Cisco Easy VPN client on Loopback int, j_vw, 17:36 , 25-Июн-10 (3)
>
>Дело с том что это не тривиальный site-to-site ВПН с внутренними и
>внешними адресами - если провести аналогию то это сродни Windows VPN.
>приведенная статистика показывает что ВПН соединение получает адрес 192.168.13.84 и ему
>разрешено ходить на любые ИП внутри тунеля.
Это понятно.... ;)
>
Вы разбейте задачку то....
Сначала настройте клиента, чтоб работал (с конфигами из букваря), а потом уже трафик в соединение рулить будете...
А по поводу аналогий... Если поднимаете с "точки" Windows версию клиента...работает?
P.S. Если не будет лениво, попробую вбить подобный конфиг в домашний стенд и посмотреть, что получится...(При условии, что Виндовый клиент у меня работает нормально).

Ответить | Сообщить модератору

Не совсем то, но...рабочий конфиг, j_vw, 11:39 , 27-Июн-10 (4)
Как я и говорил, попробовал забить конфиг на стенд.
В качестве "подопытной" 1861
В конфиге ни используется дополнительный Lo.
На сервере настроен Split Tunnel.
Конфиг:
ip dhcp pool data
   network 10.128.90.0 255.255.255.0
   default-router 10.128.90.1
   dns-server 10.128.90.1
!
!
crypto isakmp policy 71
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
!
!
crypto ipsec client ezvpn VPN-MTSBU
connect auto
group GROUP key KEY
mode client
peer XXX.XXX.XXX.20
xauth userid mode interactive
!
interface FastEthernet0/0
ip address dhcp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
crypto ipsec client ezvpn VPN-MTSBU
!
!
interface FastEthernet0/1/2
switchport access vlan 3
spanning-tree portfast
!
!
interface Vlan3
description DATA INT
ip address 10.128.90.1 255.255.255.0
ip nat inside
ip virtual-reassembly
crypto ipsec client ezvpn VPN-MTSBU inside
!
ip nat inside source list TONAT interface FastEthernet0/0 overload
!
ip access-list extended TONAT
permit ip 10.128.90.0 0.0.0.255 any
___________________________________________________________________________
Ввиду того, что стоит запрет сохранения пароля, даем команду:
Router#crypto ipsec client ezvpn xaut
Username: VASYA
Password:
Router#
Jun 27 11:27:42.067: %CRYPTO-6-EZVPN_CONNECTION_UP: (Client)  User=  Group=vpn_group1  Client_public_addr=192.168.1.2  Server_public_addr=XXX.XXX.XXX.20  Assigned_client_addr=172.30.0.8
Router#
Jun 27 11:27:42.975: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback10000, changed state to up
Router#sh crypto ipsec client ezvpn
Easy VPN Remote Phase: 8
Tunnel name : VPN-MTSBU
Inside interface list: Vlan3
Outside interface: FastEthernet0/0
Current State: IPSEC_ACTIVE
Last Event: MTU_CHANGED
Address: 172.30.0.8 (applied on Loopback10000)
Mask: 255.255.255.255
Save Password: Disallowed
Split Tunnel List: 1
       Address    : 10.128.0.0
       Mask       : 255.255.0.0
       Protocol   : 0x0
       Source Port: 0
       Dest Port  : 0


Router#sh crypto session
Crypto session current status
Interface: FastEthernet0/0
Session status: UP-ACTIVE
Peer: XXX.XXX.XXX.20 port 4500
  IKE SA: local 192.168.1.2/4500 remote XXX.XXX.XXX.20/4500 Active
  IPSEC FLOW: permit ip host 172.30.0.8 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map


Router#sh ip route
Gateway of last resort is 192.168.1.1 to network 0.0.0.0
     172.30.0.0/32 is subnetted, 1 subnets
C       172.30.0.8 is directly connected, Loopback10000
C       10.128.90.0 is directly connected, Vlan3
C    192.168.1.0/24 is directly connected, FastEthernet0/0
S*   0.0.0.0/0 [254/0] via 192.168.1.1


Проверяем:
C клиентской машины:
ping www.ru
ping 10.128.0.54 (комп за "головной" кошкой)

Router#sh ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
icmp 172.30.0.8:512    10.128.90.2:512    10.128.0.54:512    10.128.0.54:512
icmp 192.168.1.2:512   10.128.90.2:512    194.87.0.50:512    194.87.0.50:512
Как то так....

Ответить | Сообщить модератору