|
ru.cisco
- RU.CISCO ---------------------------------------------------------------------
From : Yury Lyakh 2:464/6666 24 Aug 2005 09:36:36
To : "Edward Phetisoff"
Subject : Re: Подвисают VPN-сессии...
--------------------------------------------------------------------------------
>> Hарод, ну неужели ни у кого нет работающей конфигурации VPN/IPSec?
EP> :) подозреваю что у большинства и IPSec и VPN работает :)
>> У меня роутинг не работает на установленном соединении:(
EP> Hе знаю в чем у тебя на самом деле проблема, но дебаги ты прислал
EP> обрезанные. Самые интересные части выброшены напрочь. Тут либо ты дебаг не
EP> умеешь смотреть, либо решил поиграть в игру "здесь смотреть, а здесь не
EP> надо". В любом случае понять что у тебя не работает сложно.
Я выложил
Deb cry isak
Deb cry ips
Собирал сислогом на фасилити дебаг.
Hужно было что-то еще включить?...
EP> Если то что ты говоришь все-таки правда, то есть такая суперская
командочка,
EP> называется reverse-route в crypto dynamic-map, возможно, именно ее тебе и
не
EP> хватает.
Да, теперь прописывается роутинг на выданный клиенту айпи. Спасибо.
>> Поделитесь конфигами?...
EP> Hу с этого и надо было начинать, а не парить битыми логами.
EP> Конфиг с локальной аутентификацией ниже (с RADIUS-ом, надеюсь, ты сам
EP> все-таки разберешься):
Воспроизвел этот конфиг, соединяется, но никуда не ходит:(
Hи со стороны циски не пингует клиента, ни со стороны клиента никуда...
Акцесс-листы посносил.
Любопытно, что:
ip access-list extended easyvpn
permit ip 10.0.0.0 0.255.255.255 any log
deny ip any any log
(здесь 10.0.0.0 это внутренняя сеть, в которую я даю доступ)
Логи не пишутся. Типа пакетов под эти критерии нет.
Со стороны виндового клиента, рутинг на 10.0.0.0-сеть нормально
прописался в таблицу рутинга.
sh crypt map показывает вообще фигню какую-то с ACL, как будто никто
ACL easyvpn не говорил:
3745_office#sh crypto map
Crypto Map "outside" 1 ipsec-isakmp
Dynamic map template tag: EasyVPN
Crypto Map "outside" 65536 ipsec-isakmp
Peer = 81.195.9.115
ISAKMP Profile: VPNClient
Extended IP access list
access-list permit ip 212.100.132.25 255.255.255.255 host 10.5.0.7
dynamic (created from dynamic map EasyVPN/1)
Current peer: 81.195.9.115
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={ AES-256-LZS,
}
Reverse Route Injection Enabled
Interfaces using crypt map outside:
Loopback1
Конфиг вот:
------------------
aaa authentication login EasyVPN group radius local
aaa authorization network EasyVPN group radius local
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
!
crypto isakmp client configuration group office
key office
dns 10.0.0.225 10.0.0.227
wins 10.0.0.7
domain office
pool EasyVPN
acl easyvpn
crypto isakmp profile VPNClient
match identity group office
client authentication list EasyVPN
isakmp authorization list EasyVPN
client configuration address respond
!
!
crypto ipsec transform-set AES-256 esp-aes 256 esp-sha-hmac
crypto ipsec transform-set AES-256-LZS esp-aes 256 esp-sha-hmac comp-lzs
!
crypto dynamic-map EasyVPN 1
set transform-set AES-256-LZS AES-256
set isakmp-profile VPNClient
reverse-route
!
!
crypto map outside 1 ipsec-isakmp dynamic EasyVPN
!
!
interface Loopback1
description Komkor real IPs
ip address 212.100.132.25 255.255.255.252
crypto map outside
!
interface Serial0/1.75 point-to-point
description Komkor (office <--> internet)
bandwidth 1024
ip address 212.100.130.42 255.255.255.252
no ip redirects
no ip proxy-arp
ip nat outside
ip inspect outstand in
no cdp enable
frame-relay interface-dlci 75
class ptp1024
---------------------
EP> conf t
EP> isakmp enable
EP> aaa new-model
EP> aaa authentication login EasyVPN local
EP> aaa authorization network EasyVPN local
EP> username cisco privilege 15 secret cisco
EP> !
EP> crypto isakmp policy 10
EP> encr aes 256
EP> authentication pre-share
EP> group 2
EP> !
EP> crypto isakmp client configuration group test
EP> key test
EP> dns 10.10.10.10
EP> domain test.ru
EP> pool EasyVPN
EP> acl EasyVPN_policy
EP> crypto isakmp profile VPNClient
EP> match identity group test
EP> client authentication list EasyVPN
EP> isakmp authorization list EasyVPN
EP> client configuration address respond
EP> !
EP> crypto ipsec transform-set AES-256 esp-aes 256 esp-sha-hmac
EP> crypto ipsec transform-set AES-256-LZS esp-aes 256 esp-sha-hmac comp-lzs
EP> !
EP> crypto dynamic-map EasyVPN 1
EP> set transform-set AES-256-LZS AES-256
EP> set isakmp-profile VPNClient
EP> reverse-route
EP> qos pre-classify
EP> !
EP> crypto map outside 1 ipsec-isakmp dynamic EasyVPN
EP> !
EP> interface FastEthernet0/0
EP> crypto map outside
EP> ip local pool EasyVPN 10.10.20.1 10.10.20.254
EP> !
EP> ip access-list extended EasyVPN_policy
EP> permit ip 10.10.10.0 0.0.0.255 any
EP> Фсе, делай copy&paste и получай наслаждение.
EP> О пытичках: конфига на cisco.com, работающего на некоторых версиях 12.3T
EP> (12.4) я не видел, приведенный выше конфиг работает практически везде.
--
Moscow, Russia e-mail: yury(at)v6.ru
[AudiA6 V2.8, BMW 520iA] icq: 882209
--- tin/1.4.7-20030322 ("Suggestions") (UNIX) (Linux/2.6.11 (i686))
* Origin: A Yorick's InterNetNews site (2:464/6666)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: Подвисают VPN-сессии... |
Yury Lyakh |
24 Aug 2005 09:36:36 |
|
|
