forum.opennet.ru - "МТС GPRS + Cisco VPN client" (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"МТС GPRS + Cisco VPN client"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"МТС GPRS + Cisco VPN client"
Сообщение от San (??) on 28-Апр-06, 14:25
Народ, у кого-нибудь получалось через МТС-овский GPRS ходить с нотебука на Cisco Router/PIX, являющийся терминатором VPN-соединения? Проблема: соединение выполняется, ноут получает IP из пула VPN-адресов, раздаваемого PIX'ом, и на этом все. Данные не бегут. МТС режет ESP? Тогда почему туннель создается? Или это все же что-то в настройках надо подкрутить?
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

МТС GPRS + Cisco VPN client, Ilia Kuliev, 16:08 , 28-Апр-06, (1)

МТС GPRS + Cisco VPN client, San, 16:39 , 28-Апр-06, (2)

МТС GPRS + Cisco VPN client, Ilia Kuliev, 16:46 , 28-Апр-06, (3)

МТС GPRS + Cisco VPN client, San, 17:14 , 28-Апр-06, (4)

МТС GPRS + Cisco VPN client, Ilia Kuliev, 17:20 , 28-Апр-06, (5)

МТС GPRS + Cisco VPN client, San, 15:12 , 29-Апр-06, (6)

МТС GPRS + Cisco VPN client, Ilia Kuliev, 16:06 , 29-Апр-06, (7)

Сообщения по теме [Сортировка по времени, UBB]

1. "МТС GPRS + Cisco VPN client"

Сообщение от Ilia Kuliev on 28-Апр-06, 16:08

>Народ, у кого-нибудь получалось через МТС-овский GPRS ходить с нотебука на Cisco
>Router/PIX, являющийся терминатором VPN-соединения?
>Проблема: соединение выполняется, ноут получает IP из пула VPN-адресов, раздаваемого PIX'ом, и
>на этом все. Данные не бегут.
>МТС режет ESP? Тогда почему туннель создается?
>Или это все же что-то в настройках надо подкрутить?
МТС по умолчанию раздает пользователям приватные адреса, и NATит их. Согласование параметров туннеля, получение IP адреса из пула VPN-адресов, происходит на этапе работы ISAKMP. Я не знаю, какого типа NAT использует МТС, но если это например Full Cone NAT, то ISAKMP отработает нормально. Пакеты же ESP ваш пикс посчитает невалидными, так как NAT переписывает SRC адрес в заголовке пакета.
Простейший способ лечения - попросить у МТС публичный адрес для GPRS, у них есть такая услуга.
Менее простой способ - подкрутить PIX и подкрутить настройки своего Cisco VPN клиента, чтобы задействовать NAT traversal.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "МТС GPRS + Cisco VPN client"

Сообщение от San (??) on 28-Апр-06, 16:39

[skip]
Ок. Суть ясна.
>Простейший способ лечения - попросить у МТС публичный адрес для GPRS, у
>них есть такая услуга.
>Менее простой способ - подкрутить PIX и подкрутить настройки своего Cisco VPN
>клиента, чтобы задействовать NAT traversal.
Первый способ, конечно, проще. Но ведь МТС за него доп.денег захочет.
А нат-траверсал... Разве это настраивается не на том НАТе, который у МТС'а?
Мне ведь на PIX приходит пакет с УЖЕ подмененным хидером.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "МТС GPRS + Cisco VPN client"

Сообщение от Ilia Kuliev on 28-Апр-06, 16:46

>[skip]
>Ок. Суть ясна.
>
>>Простейший способ лечения - попросить у МТС публичный адрес для GPRS, у
>>них есть такая услуга.
>>Менее простой способ - подкрутить PIX и подкрутить настройки своего Cisco VPN
>>клиента, чтобы задействовать NAT traversal.
>
>Первый способ, конечно, проще. Но ведь МТС за него доп.денег захочет.
>А нат-траверсал... Разве это настраивается не на том НАТе, который у МТС'а?
>
>Мне ведь на PIX приходит пакет с УЖЕ подмененным хидером.
У вас в Cisco VPN client в настройках соединения есть закладка "Transport". На ней можно выбирать способ туннелирования (IPSec over UDP или over TCP - последнее работает только с пиксами, кстати). Это, собственно, и есть IPSec NAT traversal - инкапсуляция ESP в UDP, или соответственно в TCP. Пикс эти вещи должен распознавать самостоятельно в процессе работы ISAKMP.
И еще, такая тонкость - для того, чтобы включить этот NAT traversal мне почему-то пришлось переустанавливать клиента. Я так и не понял, с чем это связано, но без переустановки клиента VPN отказывался подниматься.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "МТС GPRS + Cisco VPN client"

Сообщение от San (??) on 28-Апр-06, 17:14

>У вас в Cisco VPN client в настройках соединения есть закладка "Transport".
>На ней можно выбирать способ туннелирования (IPSec over UDP или over
>TCP - последнее работает только с пиксами, кстати). Это, собственно, и
>есть IPSec NAT traversal - инкапсуляция ESP в UDP, или соответственно
>в TCP. Пикс эти вещи должен распознавать самостоятельно в процессе работы
>ISAKMP.
Там у меня изначально галочка стоит. Транспорт посредством UDP.
Пробовал TCP - не работает. Туннель не устанавливается. Видимо надо знать/настроить номер порта.
>И еще, такая тонкость - для того, чтобы включить этот NAT traversal
>мне почему-то пришлось переустанавливать клиента. Я так и не понял, с
>чем это связано, но без переустановки клиента VPN отказывался подниматься.
Т.е. просто uninstall, ребут и потом снова инсталл?
У Вас VPN именно через МТС GPRS делается?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "МТС GPRS + Cisco VPN client"

Сообщение от Ilia Kuliev on 28-Апр-06, 17:20

>Т.е. просто uninstall, ребут и потом снова инсталл?
Да. Попробуйте.
>У Вас VPN именно через МТС GPRS делается?
Нет, у меня просто из-за NATа. Но это неважно. Коль скоро датаграмма ESP упакована в UDP, ей уже никакой NAT ничего не сделает. Если только МТС не хватило ума зафильтровать исходящие UDP-датаграммы с dst port = 4500. Но для чего бы им это делать?..

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "МТС GPRS + Cisco VPN client"

Сообщение от San (??) on 29-Апр-06, 15:12

>>Т.е. просто uninstall, ребут и потом снова инсталл?
>Да. Попробуйте.
Попробовал. Тот же результат. :(
>>У Вас VPN именно через МТС GPRS делается?
>
>Нет, у меня просто из-за NATа. Но это неважно. Коль скоро датаграмма
>ESP упакована в UDP, ей уже никакой NAT ничего не сделает.
>Если только МТС не хватило ума зафильтровать исходящие UDP-датаграммы с dst
>port = 4500. Но для чего бы им это делать?..
А какая у Вас версия Cisco VPN клиента?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "МТС GPRS + Cisco VPN client"

Сообщение от Ilia Kuliev on 29-Апр-06, 16:06

>А какая у Вас версия Cisco VPN клиента?
4.7.00.0533
Но и с более старыми тоже работало. Хотя и не через GPRS...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "МТС GPRS + Cisco VPN client"
Сообщение от Ilia Kuliev on 28-Апр-06, 16:08
>Народ, у кого-нибудь получалось через МТС-овский GPRS ходить с нотебука на Cisco >Router/PIX, являющийся терминатором VPN-соединения? >Проблема: соединение выполняется, ноут получает IP из пула VPN-адресов, раздаваемого PIX'ом, и >на этом все. Данные не бегут. >МТС режет ESP? Тогда почему туннель создается? >Или это все же что-то в настройках надо подкрутить? МТС по умолчанию раздает пользователям приватные адреса, и NATит их. Согласование параметров туннеля, получение IP адреса из пула VPN-адресов, происходит на этапе работы ISAKMP. Я не знаю, какого типа NAT использует МТС, но если это например Full Cone NAT, то ISAKMP отработает нормально. Пакеты же ESP ваш пикс посчитает невалидными, так как NAT переписывает SRC адрес в заголовке пакета. Простейший способ лечения - попросить у МТС публичный адрес для GPRS, у них есть такая услуга. Менее простой способ - подкрутить PIX и подкрутить настройки своего Cisco VPN клиента, чтобы задействовать NAT traversal.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "МТС GPRS + Cisco VPN client"
	Сообщение от San (??) on 28-Апр-06, 16:39
	[skip] Ок. Суть ясна. >Простейший способ лечения - попросить у МТС публичный адрес для GPRS, у >них есть такая услуга. >Менее простой способ - подкрутить PIX и подкрутить настройки своего Cisco VPN >клиента, чтобы задействовать NAT traversal. Первый способ, конечно, проще. Но ведь МТС за него доп.денег захочет. А нат-траверсал... Разве это настраивается не на том НАТе, который у МТС'а? Мне ведь на PIX приходит пакет с УЖЕ подмененным хидером.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	3. "МТС GPRS + Cisco VPN client"
	Сообщение от Ilia Kuliev on 28-Апр-06, 16:46
	>[skip] >Ок. Суть ясна. > >>Простейший способ лечения - попросить у МТС публичный адрес для GPRS, у >>них есть такая услуга. >>Менее простой способ - подкрутить PIX и подкрутить настройки своего Cisco VPN >>клиента, чтобы задействовать NAT traversal. > >Первый способ, конечно, проще. Но ведь МТС за него доп.денег захочет. >А нат-траверсал... Разве это настраивается не на том НАТе, который у МТС'а? > >Мне ведь на PIX приходит пакет с УЖЕ подмененным хидером. У вас в Cisco VPN client в настройках соединения есть закладка "Transport". На ней можно выбирать способ туннелирования (IPSec over UDP или over TCP - последнее работает только с пиксами, кстати). Это, собственно, и есть IPSec NAT traversal - инкапсуляция ESP в UDP, или соответственно в TCP. Пикс эти вещи должен распознавать самостоятельно в процессе работы ISAKMP. И еще, такая тонкость - для того, чтобы включить этот NAT traversal мне почему-то пришлось переустанавливать клиента. Я так и не понял, с чем это связано, но без переустановки клиента VPN отказывался подниматься.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	4. "МТС GPRS + Cisco VPN client"
	Сообщение от San (??) on 28-Апр-06, 17:14
	>У вас в Cisco VPN client в настройках соединения есть закладка "Transport". >На ней можно выбирать способ туннелирования (IPSec over UDP или over >TCP - последнее работает только с пиксами, кстати). Это, собственно, и >есть IPSec NAT traversal - инкапсуляция ESP в UDP, или соответственно >в TCP. Пикс эти вещи должен распознавать самостоятельно в процессе работы >ISAKMP. Там у меня изначально галочка стоит. Транспорт посредством UDP. Пробовал TCP - не работает. Туннель не устанавливается. Видимо надо знать/настроить номер порта. >И еще, такая тонкость - для того, чтобы включить этот NAT traversal >мне почему-то пришлось переустанавливать клиента. Я так и не понял, с >чем это связано, но без переустановки клиента VPN отказывался подниматься. Т.е. просто uninstall, ребут и потом снова инсталл? У Вас VPN именно через МТС GPRS делается?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	5. "МТС GPRS + Cisco VPN client"
	Сообщение от Ilia Kuliev on 28-Апр-06, 17:20
	>Т.е. просто uninstall, ребут и потом снова инсталл? Да. Попробуйте. >У Вас VPN именно через МТС GPRS делается? Нет, у меня просто из-за NATа. Но это неважно. Коль скоро датаграмма ESP упакована в UDP, ей уже никакой NAT ничего не сделает. Если только МТС не хватило ума зафильтровать исходящие UDP-датаграммы с dst port = 4500. Но для чего бы им это делать?..
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	6. "МТС GPRS + Cisco VPN client"
	Сообщение от San (??) on 29-Апр-06, 15:12
	>>Т.е. просто uninstall, ребут и потом снова инсталл? >Да. Попробуйте. Попробовал. Тот же результат. :( >>У Вас VPN именно через МТС GPRS делается? > >Нет, у меня просто из-за NATа. Но это неважно. Коль скоро датаграмма >ESP упакована в UDP, ей уже никакой NAT ничего не сделает. >Если только МТС не хватило ума зафильтровать исходящие UDP-датаграммы с dst >port = 4500. Но для чего бы им это делать?.. А какая у Вас версия Cisco VPN клиента?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	7. "МТС GPRS + Cisco VPN client"
	Сообщение от Ilia Kuliev on 29-Апр-06, 16:06
	>А какая у Вас версия Cisco VPN клиента? 4.7.00.0533 Но и с более старыми тоже работало. Хотя и не через GPRS...
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]