forum.opennet.ru - "Cisco Easy VPN client on Loopback int" (4)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Cisco Easy VPN client on Loopback int"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Cisco Easy VPN client on Loopback int"	+/–
Сообщение от Николай (??) on 24-Июн-10, 18:02
День добрый! Имею следующую проблему: Есть железный Cisco Easy VPN mode client - хочу построить тунель от лупбека для внутрених адресов. Имеем сетку LAN 192.168.32.0 255.255.248.0 адреса попадают в порт циски там натяться на Loopback0 от и надо их заставить уходить в построенный тунель - тут и проблема. Конфиг ! crypto ipsec client ezvpn VPN-MTSBU connect auto group ** key *** mode client peer 213.186.206.90 xauth userid mode interactive ! ! archive log config hidekeys ! ! ! ! ! interface Loopback0 ip address 10.0.0.254 255.255.255.255 ip nat outside ip virtual-reassembly crypto ipsec client ezvpn VPN-MTSBU inside ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 ip address 192.168.33.120 255.255.248.0 ip nat inside ip virtual-reassembly ip policy route-map TO-MTSBU-map duplex auto speed auto crypto ipsec client ezvpn VPN-MTSBU ! interface Vlan1 no ip address shutdown ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 192.168.33.1 ! ! ip nat inside source list TO-MTSBU-acl interface Loopback0 overload ! ip access-list extended TO-MTSBU-acl permit ip host 192.168.32.113 host 173.33.100.110 permit ip any host 173.33.100.110 ! ! ! ! route-map TO-MTSBU-map permit 10 match ip address TO-MTSBU-acl set interface Loopback0 ! При пингах с машины 192.168.32.113 (gw 192.168.33.120 ) туннельного адреса 173.33.100.110 на железке MTSBU(config)#do sh ip nat tran Pro Inside global Inside local Outside local Outside global icmp 10.0.0.254:1 192.168.32.113:1 173.33.100.110:1 173.33.100.110:1 НАТ на лупбек работает Туннел строиться MTSBU(config)# do sh cry sess de Crypto session current status Code: C - IKE Configuration mode, D - Dead Peer Detection K - Keepalives, N - NAT-traversal, X - IKE Extended Authentication F - IKE Fragmentation Interface: FastEthernet4 Uptime: 00:27:42 Session status: UP-ACTIVE Peer: 213.186.206.90 port 4500 fvrf: (none) ivrf: (none) Phase1_id: 213.186.206.90 Desc: (none) IKE SA: local 192.168.33.120/4500 remote 213.186.206.90/4500 Active Capabilities:CN connid:2005 lifetime:23:31:26 IPSEC FLOW: permit ip host 192.168.13.84 0.0.0.0/0.0.0.0 Active SAs: 2, origin: crypto map Inbound: #pkts dec'ed 0 drop 0 life (KB/Sec) 4504012/27127 Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 4504012/27127 Но пакеты в тунель не уходят какие есть мнения?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Cisco Easy VPN client on Loopback int, j_vw, 19:35 , 24-Июн-10, (1)

Cisco Easy VPN client on Loopback int, Николай, 10:56 , 25-Июн-10, (2)

Cisco Easy VPN client on Loopback int, j_vw, 17:36 , 25-Июн-10, (3)

Не совсем то, но...рабочий конфиг, j_vw, 11:39 , 27-Июн-10, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "Cisco Easy VPN client on Loopback int" +/–

Сообщение от j_vw on 24-Июн-10, 19:35

Так... А команда
ping "сетка за сервером" source 10.0.0.254 проходит?
Нужные роуты клиенту передаются? (sh ip route).
Не хватает данных по топологии со стороны сервера....
ip access-list extended TO-MTSBU-acl
permit ip host 192.168.32.113 host 173.33.100.110
permit ip any host 173.33.100.110
Вот ЭТО немного странно выглядит...
ip access-list extended TO-MTSBU-acl
permit ip host 192.168.32.113 host 173.33.100.110
permit ip any host 173.33.100.110

Короче, рисуйте адресацию со стороны сервера и клиента, и кто-куда ходить должен...
P.S. DMVPN не хотите попробовать?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Cisco Easy VPN client on Loopback int" +/–

Сообщение от Николай (??) on 25-Июн-10, 10:56

>[оверквотинг удален]
>Не хватает данных по топологии со стороны сервера....
>
>ip access-list extended TO-MTSBU-acl
>permit ip host 192.168.32.113 host 173.33.100.110
>permit ip any host 173.33.100.110
>
>Вот ЭТО немного странно выглядит...
>ip access-list extended TO-MTSBU-acl
>permit ip host 192.168.32.113 host 173.33.100.110
>permit ip any host 173.33.100.110
Дело с том что это не тривиальный site-to-site ВПН с внутренними и внешними адресами - если провести аналогию то это сродни Windows VPN. приведенная статистика показывает что ВПН соединение получает адрес 192.168.13.84 и ему разрешено ходить на любые ИП внутри тунеля.
  IPSEC FLOW: permit ip host 192.168.13.84 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 0 drop 0 life (KB/Sec) 4504012/27127
        Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 4504012/27127
относительно ацл - этот лист просто отлавливает трифик приходящий на Fa4 по заданому привилу и направляет пакеты на Loopback поскольку дефаул роут смотрит на Fa4.
173.33.100.110 - IP который существует внутри тунеля вот только пакет в тунель никак попадать не хочет :(

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Cisco Easy VPN client on Loopback int" +/–

Сообщение от j_vw on 25-Июн-10, 17:36

>
>Дело с том что это не тривиальный site-to-site ВПН с внутренними и
>внешними адресами - если провести аналогию то это сродни Windows VPN.
>приведенная статистика показывает что ВПН соединение получает адрес 192.168.13.84 и ему
>разрешено ходить на любые ИП внутри тунеля.
Это понятно.... ;)
>
Вы разбейте задачку то....
Сначала настройте клиента, чтоб работал (с конфигами из букваря), а потом уже трафик в соединение рулить будете...
А по поводу аналогий... Если поднимаете с "точки" Windows версию клиента...работает?
P.S. Если не будет лениво, попробую вбить подобный конфиг в домашний стенд и посмотреть, что получится...(При  условии, что Виндовый клиент у меня работает нормально).

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Не совсем то, но...рабочий конфиг" +/–

Сообщение от j_vw on 27-Июн-10, 11:39

Как я и говорил, попробовал забить конфиг на стенд.
В качестве "подопытной" 1861
В конфиге ни используется дополнительный Lo.
На сервере настроен Split Tunnel.
Конфиг:
ip dhcp pool data
   network 10.128.90.0 255.255.255.0
   default-router 10.128.90.1
   dns-server 10.128.90.1
!
!
crypto isakmp policy 71
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
!
!
crypto ipsec client ezvpn VPN-MTSBU
connect auto
group GROUP key KEY
mode client
peer XXX.XXX.XXX.20
xauth userid mode interactive
!
interface FastEthernet0/0
ip address dhcp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
crypto ipsec client ezvpn VPN-MTSBU
!
!
interface FastEthernet0/1/2
switchport access vlan 3
spanning-tree portfast
!
!
interface Vlan3
description DATA INT
ip address 10.128.90.1 255.255.255.0
ip nat inside
ip virtual-reassembly
crypto ipsec client ezvpn VPN-MTSBU inside
!
ip nat inside source list TONAT interface FastEthernet0/0 overload
!
ip access-list extended TONAT
permit ip 10.128.90.0 0.0.0.255 any
___________________________________________________________________________
Ввиду того, что стоит запрет сохранения пароля, даем команду:
Router#crypto ipsec client ezvpn xaut
Username: VASYA
Password:
Router#
Jun 27 11:27:42.067: %CRYPTO-6-EZVPN_CONNECTION_UP: (Client)  User=  Group=vpn_group1  Client_public_addr=192.168.1.2  Server_public_addr=XXX.XXX.XXX.20  Assigned_client_addr=172.30.0.8
Router#
Jun 27 11:27:42.975: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback10000, changed state to up
Router#sh crypto ipsec client ezvpn
Easy VPN Remote Phase: 8
Tunnel name : VPN-MTSBU
Inside interface list: Vlan3
Outside interface: FastEthernet0/0
Current State: IPSEC_ACTIVE
Last Event: MTU_CHANGED
Address: 172.30.0.8 (applied on Loopback10000)
Mask: 255.255.255.255
Save Password: Disallowed
Split Tunnel List: 1
       Address    : 10.128.0.0
       Mask       : 255.255.0.0
       Protocol   : 0x0
       Source Port: 0
       Dest Port  : 0


Router#sh crypto session
Crypto session current status
Interface: FastEthernet0/0
Session status: UP-ACTIVE
Peer: XXX.XXX.XXX.20 port 4500
  IKE SA: local 192.168.1.2/4500 remote XXX.XXX.XXX.20/4500 Active
  IPSEC FLOW: permit ip host 172.30.0.8 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map


Router#sh ip route
Gateway of last resort is 192.168.1.1 to network 0.0.0.0
     172.30.0.0/32 is subnetted, 1 subnets
C       172.30.0.8 is directly connected, Loopback10000
C       10.128.90.0 is directly connected, Vlan3
C    192.168.1.0/24 is directly connected, FastEthernet0/0
S*   0.0.0.0/0 [254/0] via 192.168.1.1


Проверяем:
C клиентской машины:
ping www.ru
ping 10.128.0.54 (комп за "головной" кошкой)

Router#sh ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
icmp 172.30.0.8:512    10.128.90.2:512    10.128.0.54:512    10.128.0.54:512
icmp 192.168.1.2:512   10.128.90.2:512    194.87.0.50:512    194.87.0.50:512
Как то так....

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Cisco Easy VPN client on Loopback int"	+/–
Сообщение от j_vw on 24-Июн-10, 19:35
Так... А команда ping "сетка за сервером" source 10.0.0.254 проходит? Нужные роуты клиенту передаются? (sh ip route). Не хватает данных по топологии со стороны сервера.... ip access-list extended TO-MTSBU-acl permit ip host 192.168.32.113 host 173.33.100.110 permit ip any host 173.33.100.110 Вот ЭТО немного странно выглядит... ip access-list extended TO-MTSBU-acl permit ip host 192.168.32.113 host 173.33.100.110 permit ip any host 173.33.100.110 Короче, рисуйте адресацию со стороны сервера и клиента, и кто-куда ходить должен... P.S. DMVPN не хотите попробовать?
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "Cisco Easy VPN client on Loopback int"	+/–
	Сообщение от Николай (??) on 25-Июн-10, 10:56
	>[оверквотинг удален] >Не хватает данных по топологии со стороны сервера.... > >ip access-list extended TO-MTSBU-acl >permit ip host 192.168.32.113 host 173.33.100.110 >permit ip any host 173.33.100.110 > >Вот ЭТО немного странно выглядит... >ip access-list extended TO-MTSBU-acl >permit ip host 192.168.32.113 host 173.33.100.110 >permit ip any host 173.33.100.110 Дело с том что это не тривиальный site-to-site ВПН с внутренними и внешними адресами - если провести аналогию то это сродни Windows VPN. приведенная статистика показывает что ВПН соединение получает адрес 192.168.13.84 и ему разрешено ходить на любые ИП внутри тунеля. IPSEC FLOW: permit ip host 192.168.13.84 0.0.0.0/0.0.0.0 Active SAs: 2, origin: crypto map Inbound: #pkts dec'ed 0 drop 0 life (KB/Sec) 4504012/27127 Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 4504012/27127 относительно ацл - этот лист просто отлавливает трифик приходящий на Fa4 по заданому привилу и направляет пакеты на Loopback поскольку дефаул роут смотрит на Fa4. 173.33.100.110 - IP который существует внутри тунеля вот только пакет в тунель никак попадать не хочет :(
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "Cisco Easy VPN client on Loopback int"	+/–
	Сообщение от j_vw on 25-Июн-10, 17:36
	> >Дело с том что это не тривиальный site-to-site ВПН с внутренними и >внешними адресами - если провести аналогию то это сродни Windows VPN. >приведенная статистика показывает что ВПН соединение получает адрес 192.168.13.84 и ему >разрешено ходить на любые ИП внутри тунеля. Это понятно.... ;) > Вы разбейте задачку то.... Сначала настройте клиента, чтоб работал (с конфигами из букваря), а потом уже трафик в соединение рулить будете... А по поводу аналогий... Если поднимаете с "точки" Windows версию клиента...работает? P.S. Если не будет лениво, попробую вбить подобный конфиг в домашний стенд и посмотреть, что получится...(При условии, что Виндовый клиент у меня работает нормально).
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "Не совсем то, но...рабочий конфиг"	+/–
	Сообщение от j_vw on 27-Июн-10, 11:39
	Как я и говорил, попробовал забить конфиг на стенд. В качестве "подопытной" 1861 В конфиге ни используется дополнительный Lo. На сервере настроен Split Tunnel. Конфиг: ip dhcp pool data network 10.128.90.0 255.255.255.0 default-router 10.128.90.1 dns-server 10.128.90.1 ! ! crypto isakmp policy 71 encr 3des hash md5 authentication pre-share group 2 lifetime 3600 ! ! crypto ipsec client ezvpn VPN-MTSBU connect auto group GROUP key KEY mode client peer XXX.XXX.XXX.20 xauth userid mode interactive ! interface FastEthernet0/0 ip address dhcp ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable crypto ipsec client ezvpn VPN-MTSBU ! ! interface FastEthernet0/1/2 switchport access vlan 3 spanning-tree portfast ! ! interface Vlan3 description DATA INT ip address 10.128.90.1 255.255.255.0 ip nat inside ip virtual-reassembly crypto ipsec client ezvpn VPN-MTSBU inside ! ip nat inside source list TONAT interface FastEthernet0/0 overload ! ip access-list extended TONAT permit ip 10.128.90.0 0.0.0.255 any ___________________________________________________________________________ Ввиду того, что стоит запрет сохранения пароля, даем команду: Router#crypto ipsec client ezvpn xaut Username: VASYA Password: Router# Jun 27 11:27:42.067: %CRYPTO-6-EZVPN_CONNECTION_UP: (Client) User= Group=vpn_group1 Client_public_addr=192.168.1.2 Server_public_addr=XXX.XXX.XXX.20 Assigned_client_addr=172.30.0.8 Router# Jun 27 11:27:42.975: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback10000, changed state to up Router#sh crypto ipsec client ezvpn Easy VPN Remote Phase: 8 Tunnel name : VPN-MTSBU Inside interface list: Vlan3 Outside interface: FastEthernet0/0 Current State: IPSEC_ACTIVE Last Event: MTU_CHANGED Address: 172.30.0.8 (applied on Loopback10000) Mask: 255.255.255.255 Save Password: Disallowed Split Tunnel List: 1 Address : 10.128.0.0 Mask : 255.255.0.0 Protocol : 0x0 Source Port: 0 Dest Port : 0 Router#sh crypto session Crypto session current status Interface: FastEthernet0/0 Session status: UP-ACTIVE Peer: XXX.XXX.XXX.20 port 4500 IKE SA: local 192.168.1.2/4500 remote XXX.XXX.XXX.20/4500 Active IPSEC FLOW: permit ip host 172.30.0.8 0.0.0.0/0.0.0.0 Active SAs: 2, origin: crypto map Router#sh ip route Gateway of last resort is 192.168.1.1 to network 0.0.0.0 172.30.0.0/32 is subnetted, 1 subnets C 172.30.0.8 is directly connected, Loopback10000 C 10.128.90.0 is directly connected, Vlan3 C 192.168.1.0/24 is directly connected, FastEthernet0/0 S* 0.0.0.0/0 [254/0] via 192.168.1.1 Проверяем: C клиентской машины: ping www.ru ping 10.128.0.54 (комп за "головной" кошкой) Router#sh ip nat translations Pro Inside global Inside local Outside local Outside global icmp 172.30.0.8:512 10.128.90.2:512 10.128.0.54:512 10.128.0.54:512 icmp 192.168.1.2:512 10.128.90.2:512 194.87.0.50:512 194.87.0.50:512 Как то так....
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору