Jump to content
Калькуляторы

DMVPN + VPN

Мож кто сталкивался с подобной проблемой.

На центральном маршрутизаторе поднят DMVPN, создаю на нём же еще VPN туннель и вещаю его на интерфейс GI0/0.

Всё отлично работает до первой перезагрузки.

После нее нет соединений между маршрутизаторами через DMVPN и не возможно подключиться vpn'ом к маршрутизатору.

 

Но по отдельности если, что то одно выключить, всё работает как часы...

 

  

Спойлер

aaa authentication login default local
aaa authentication login userauthenication local
aaa authorization network groupauthenication local


crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp policy 1000
 authentication pre-share
crypto isakmp key 12345 address 89.X.X.X
crypto isakmp key 12345 address 188.X.X.X
crypto isakmp key 12345 address 194.X.X.X
!
crypto isakmp client configuration group pex_VPN_connect
 key 8899
 pool VPN_pool
 acl VPN
 save-password
!
!
crypto ipsec transform-set IPsec_Authenication_Router's ah-sha-hmac
 mode transport
crypto ipsec transform-set IPsec_Authenication_VPN_client esp-3des esp-md5-hmac
 mode tunnel
!
crypto ipsec profile DMVPN
 set transform-set IPsec_Authenication_Router's
!
!
!
crypto dynamic-map pex_map 10
 set transform-set IPsec_Authenication_VPN_client
 reverse-route
!
!
crypto map vpn_client_map client authentication list userauthenication
crypto map vpn_client_map isakmp authorization list groupauthenication
crypto map vpn_client_map client configuration address respond
crypto map vpn_client_map 10 ipsec-isakmp dynamic pex_map
!
!
!
!
!
!
interface Tunnel1
 ip address 10.255.255.1 255.255.255.0
 no ip redirects
 ip nhrp map multicast dynamic
 ip nhrp network-id 1
 ip tcp adjust-mss 1412
 ip ospf network broadcast
 tunnel source GigabitEthernet0/0
 tunnel mode gre multipoint
 tunnel protection ipsec profile DMVPN
!
interface GigabitEthernet0/0
 description UPlink
 ip address dhcp
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
 media-type rj45
 no negotiation auto
 ntp disable
 crypto map vpn_client_map
!
interface GigabitEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
 media-type rj45
 no negotiation auto
!
interface GigabitEthernet0/2
 description Down_link_to_local_network
 ip address 192.168.200.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
 media-type rj45
 no negotiation auto
!
router ospf 1
 router-id 10.255.255.1
 passive-interface default
 no passive-interface Tunnel1
 network 10.255.255.0 0.0.0.255 area 0
 network 192.168.1.0 0.0.0.255 area 0
 network 192.168.10.0 0.0.0.255 area 0
 network 192.168.100.0 0.0.0.255 area 0
 network 192.168.200.0 0.0.0.255 area 0
!
ip local pool VPN_pool 192.168.11.10 192.168.11.100
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source list NAT interface GigabitEthernet0/0 overload
!
ip access-list extended NAT
 deny ip 192.168.200.0 0.0.0.255 192.168.11.0 0.0.0.255
 permit ip any any
!
ip access-list extended VPN
permit ip 192.168.200.0 0.0.0.255 192.168.11.0 0.0.0.255
!
no cdp run
!
!
!
!
!
control-plane
!
!
!
mgcp profile default
!
!
!
gatekeeper
 shutdown
!
!
line con 0
 exec-timeout 60 0
 logging synchronous
 stopbits 1
line aux 0
 no exec
 transport output none
 stopbits 1
line vty 0 4
 exec-timeout 60 0
 privilege level 15
 logging synchronous
 transport input ssh
!
ntp update-calendar
ntp server 195.3.254.2 source GigabitEthernet0/0
ntp server 192.36.143.130 source GigabitEthernet0/0
ntp server 185.22.60.71 source GigabitEthernet0/0
!
 

 

Share this post


Link to post
Share on other sites

А нет, обычный VPN туннель работает после перезагрузки, а вот DMVPN нет.

Если временно выключить crypto map vpn_client_map на интерфейсе GI0/0 , связь между маршрутизаторами сразу появляется.

Share this post


Link to post
Share on other sites

Не уже ли перевелись на данном форуме циско-сиськоведы?

Share this post


Link to post
Share on other sites

А что за VPN тунель? site2site? так это по другому настраивается. Динамическая мапа там с какой целью?

Share this post


Link to post
Share on other sites

Совсем не поднимается или поднимается долго? Я про DMVPN?

Share this post


Link to post
Share on other sites
8 часов назад, ShyLion сказал:

А что за VPN тунель? site2site? так это по другому настраивается. Динамическая мапа там с какой целью?

1. Hub to Spoke

Ниже выделил конфиг хаба: 

Спойлер

 

crypto isakmp policy 1000
 authentication pre-share
crypto isakmp key 12345 address 89.X.X.X
crypto isakmp key 12345 address 188.X.X.X
crypto isakmp key 12345 address 194.X.X.X
!
!
!
crypto ipsec transform-set IPsec_Authenication_Router's ah-sha-hmac
 mode transport
!
crypto ipsec profile DMVPN
 set transform-set IPsec_Authenication_Router's
!
!
!

interface Tunnel1
 ip address 10.255.255.1 255.255.255.0
 no ip redirects
 ip nhrp map multicast dynamic
 ip nhrp network-id 1
 ip tcp adjust-mss 1412
 ip ospf network broadcast
 tunnel source GigabitEthernet0/0
 tunnel mode gre multipoint
 tunnel protection ipsec profile DMVPN
!

!

router ospf 1
 router-id 10.255.255.1
 passive-interface default
 no passive-interface Tunnel1
 network 10.255.255.0 0.0.0.255 area 0
 network 192.168.1.0 0.0.0.255 area 0
 network 192.168.10.0 0.0.0.255 area 0
 network 192.168.100.0 0.0.0.255 area 0
 network 192.168.200.0 0.0.0.255 area 

 

 

2. Vpn (классический туннель от ПК пользователя до маршрутизатора, через cisco vpn client)

Ниже выделил конфиг тунеля:

Спойлер

 

aaa authentication login default local
aaa authentication login userauthenication local
aaa authorization network groupauthenication local

!

username yes privilege 15 password 7 0Z1P19530A5951

username user privilege 0 password 7 040A5951

!

crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
!

crypto isakmp client configuration group pex_VPN_connect
 key 8899
 pool VPN_pool
 acl VPN
 save-password
!
!
crypto ipsec transform-set IPsec_Authenication_VPN_client esp-3des esp-md5-hmac
 mode tunnel
!
!
!
!
crypto dynamic-map pex_map 10
 set transform-set IPsec_Authenication_VPN_client
 reverse-route
!
!
crypto map vpn_client_map client authentication list userauthenication
crypto map vpn_client_map isakmp authorization list groupauthenication
crypto map vpn_client_map client configuration address respond
crypto map vpn_client_map 10 ipsec-isakmp dynamic pex_map
!
!
!
!
!
!
!
interface GigabitEthernet0/0
 description UPlink
 ip address dhcp
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
 media-type rj45
 no negotiation auto
 ntp disable
 crypto map vpn_client_map
!
interface GigabitEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
 media-type rj45
 no negotiation auto
!
interface GigabitEthernet0/2
 description Down_link_to_local_network
 ip address 192.168.200.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
 media-type rj45
 no negotiation auto
!
router ospf 1
 router-id 10.255.255.1
 passive-interface default
 no passive-interface Tunnel1
 network 10.255.255.0 0.0.0.255 area 0
 network 192.168.1.0 0.0.0.255 area 0
 network 192.168.10.0 0.0.0.255 area 0
 network 192.168.100.0 0.0.0.255 area 0
 network 192.168.200.0 0.0.0.255 area 0
!
ip local pool VPN_pool 192.168.11.10 192.168.11.100
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source list NAT interface GigabitEthernet0/0 overload
!
ip access-list extended NAT
 deny ip 192.168.200.0 0.0.0.255 192.168.11.0 0.0.0.255
 permit ip any any
!
ip access-list extended VPN
permit ip 192.168.200.0 0.0.0.255 192.168.11.0 0.0.0.255
!

 

 

 

 

4 часа назад, sunrise333 сказал:

Совсем не поднимается или поднимается долго? Я про DMVPN?

Если выключить на интерфейсе GI0/0  crypto map vpn_client_map.

DMVPN поднимается и работает без нареканий.

Дальше самое интересное, включаю crypto map vpn_client_map и тут казалось бы всё работает, т.е. и DMVPN и обычный VPN туннель. До первой перезагрузки.

Поосле перезарузки работает только " обычный VPN туннель". Пока не повторить действия:

Спойлер

"выключить на интерфейсе GI0/0  crypto map vpn_client_map"

 

Edited by RN3DCX

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this