Jump to content

Настройка Cisco Easy VPN на NPE-G2

MaDDoG
 Share

Recommended Posts

MaDDoG

MaDDoG

Posted
Posted

Доброго времени суток.

 

Есть 7204 которая является бордером, тестово на ней поднимается pptp и easy vpn. PPTP работает без проблем, Cisco VPN Client подключается, но ничего не работает, даже ип выданный клиенты с него не пингуется.

 

Конфиг:

 

c7204#sh run

Building configuration...

 

Current configuration : 17652 bytes

!

upgrade fpd auto

version 12.4

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname c7204

!

boot-start-marker

boot-end-marker

!

logging userinfo

no logging buffered

enable secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxxxx

enable password 7 xxxxxxxxxxxxxxxxxxxxxxxxxxxx

!

aaa new-model

!

!

aaa authentication login default local

aaa authentication login userlist group radius

aaa authentication login vty local

aaa authentication ppp default group radius

aaa authorization network default group radius

aaa authorization network grouplist local

!

aaa session-id common

!

resource policy

!

clock timezone Vld 10

ip subnet-zero

ip cef

!

!

!

!

no ip domain lookup

ip domain name xxxxx.ru

ip rcmd rcp-enable

ip rcmd rsh-enable

ip rcmd remote-host user 172.17.0.x root enable

ip rcmd remote-host user2 172.17.0.x root enable 8

ip rcmd remote-username user

vpdn enable

vpdn authen-before-forward

vpdn authorize directed-request

vpdn aaa attribute nas-ip-address vpdn-nas

vpdn search-order domain dnis

!

vpdn-group 1

! Default PPTP VPDN group

accept-dialin

protocol pptp

virtual-template 1

!

!

!

!

!

!

!

crypto isakmp policy 50

encr aes

authentication pre-share

group 2

!

crypto isakmp policy 100

encr 3des

authentication pre-share

group 2

!

crypto isakmp client configuration group cisco

key cisco

dns 193.34.x.x 193.34.x.x

acl nas

access-restrict GigabitEthernet0/1.1

save-password

include-local-lan

crypto isakmp profile vi

virtual-template 2

!

!

crypto ipsec transform-set TSET esp-3des esp-sha-hmac

!

crypto ipsec profile vi

set isakmp-profile vi

!

!

crypto dynamic-map TEST 10

set transform-set TSET

!

crypto dynamic-map mode 1

set transform-set dessha

!

crypto dynamic-map vladlink 1

set transform-set TSET

reverse-route

crypto dynamic-map cisco 10

set peer 172.17.0.15

!

!

crypto map VPN client authentication list userlist

crypto map VPN isakmp authorization list grouplist

crypto map VPN client configuration address respond

crypto map VPN 10 ipsec-isakmp dynamic TEST

!

crypto map mode 1 ipsec-isakmp dynamic mode

!

crypto map vladlink 1 ipsec-isakmp dynamic cisco

!

bridge irb

!

interface Tunnel0

no ip address

tunnel source GigabitEthernet0/1.2

tunnel destination 193.34.x.x

tunnel mode ipsec ipv4

!

interface GigabitEthernet0/1

description To Catalyst gi 4/12

no ip address

duplex auto

speed auto

media-type rj45

negotiation auto

!

interface GigabitEthernet0/1.1

description Default LAN GW

encapsulation dot1Q 10

ip address 172.17.0.5 255.255.255.0 secondary

ip address 172.17.0.15 255.255.255.0

ip accounting output-packets

ip nat inside

ip virtual-reassembly

ip policy route-map to_nat

no snmp trap link-status

crypto map VPN

service-policy output bezlimit_lan

!

interface GigabitEthernet0/1.2

description GW for Servers

encapsulation dot1Q 14

ip address 193.34.x.1 255.255.255.240 secondary

ip address 193.34.x.1 255.255.255.240 secondary

ip address 193.34.x.1 255.255.255.240

no snmp trap link-status

!

interface GigabitEthernet0/1.3

description Uplink TTK

encapsulation dot1Q 20

ip address 217.150.x.x 255.255.255.252

ip accounting output-packets

ip nat outside

ip virtual-reassembly

no snmp trap link-status

!

!

interface FastEthernet0/2

no ip address

duplex full

speed auto

no mop enabled

!

interface GigabitEthernet0/2

no ip address

duplex auto

speed auto

media-type rj45

negotiation auto

!

interface GigabitEthernet0/3

no ip address

shutdown

duplex auto

speed auto

media-type rj45

negotiation auto

!

interface Virtual-Template1

ip unnumbered GigabitEthernet0/1.1

autodetect encapsulation ppp

no peer default ip address

ppp encrypt mppe auto

ppp authentication pap chap ms-chap ms-chap-v2

!

interface Virtual-Template2 type tunnel

ip unnumbered GigabitEthernet0/1.2

tunnel mode ipsec ipv4

tunnel protection ipsec profile vi

!

!

ip classless

ip route 10.18.0.0 255.255.255.0 Null0

ip route 172.26.0.0 255.255.0.0 172.17.0.1

ip route 172.27.0.0 255.255.0.0 172.17.0.1

ip route 172.28.0.0 255.255.0.0 172.17.0.1

ip route 172.29.0.0 255.255.0.0 172.17.0.1

ip route 172.30.0.0 255.255.0.0 172.17.0.1

ip route 172.31.0.0 255.255.0.0 172.17.0.1

ip route 192.168.0.0 255.255.0.0 Null0

no ip http server

no ip http secure-server

!

!

!

radius-server attribute 32 include-in-access-req

radius-server attribute 30 original-called-number

radius-server attribute nas-port format d

radius-server attribute 4 172.17.0.15

radius-server configure-nas

radius-server host 172.17.0.8 auth-port 1812 acct-port 1813 key 7 044B041E0A33

radius-server vsa send cisco-nas-port

radius-server vsa send accounting

radius-server vsa send authentication

!

control-plane

!

bridge 1 protocol ieee

bridge 1 route ip

!

!

!

!

!

gatekeeper

shutdown

!

!

line con 0

stopbits 1

line aux 0

stopbits 1

line vty 0 4

password 7 XXXXXXXXXXXXXXXX

!

!

end

 

c7204#

MaDDoG

MaDDoG

Posted
  • Author
Posted

Спасибо всем кто посмотрел топик :)

 

Вообщем вроде все настроил, есдинственно не совсем понимаю как Vpn клиенту отдать маршруты для Local Routes Table.

Если на группу cisco повесить acl, то маршруты отдаются в secured routes, соответственно матрика на локальном маршруте ниже чем на внешем и все пытается уйти в локалку.

  • 2 years later...
kostas

kostas

Posted
Posted
Спасибо всем кто посмотрел топик :)

 

Вообщем вроде все настроил, есдинственно не совсем понимаю как Vpn клиенту отдать маршруты для Local Routes Table.

Если на группу cisco повесить acl, то маршруты отдаются в secured routes, соответственно матрика на локальном маршруте ниже чем на внешем и все пытается уйти в локалку.

Таже фигня - тунель поднимается, но через него ничего не ходит. С циски даже IP клиента не пропинговать.

В чем хоть дело было, может помните? :)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.