Как построить VPN если вокруг PPPoE ?

[sunrise333]

Всем доброго времени суток.

 

Исходные данные:

1.

В голове

Cisco 3725

flash:c3725-advipservicesk9-mz.123-9.bin

от прова ADSL все по PPPoE но оплачен статический IP

2.

В удалённых офисах

Cisco 1751V

flash:c1700-ipvoice-mz.124-23.bin

от прова ADSL пока статика,

но в начале след года всех переведут на PPPoE

и скорее всего даинамический IP

 

Необходимо:

Организовать VPN

передача голоса

доступ удалённых сетей к корпоративной

 

Вопрос:

В какую сторону смотреть?

Dynamic Multipoint VPN (DMVPN) - это оно?

 

[Ivan_83]

Поставьте фряху и мпд5, настраивается элементарно, достаточно статического ИП только на сервере в центре, на один удалённый офис - 1 линк, который этот офис и поднимает, в обратку не нужно поднимать ничего.

 

А по адсл у вас ничего хорошего не выйдет - скорости маленькие.

[ugluck]

VPDN. цыски с филиалов достукиваются до головного офиса по л2тп. всё.

[Puno]

sunrise333

Не имеет значения PPPoE или нет - главное чтобы был интерфейс (dialer, atm или fa), на котором можно поднять VPN.

Важно чтобы IOS был не менее advipservices на всех цисках (и чтобы памяти с флэшем было достаточно для этого IOS).

Для организации VPN можно использовать:

- EasyVPN - унификация доступа 1751 и программных CiscoVPN-клиентов

- DMVPN - я бы предпочел именно DMVPN

И ничто не мешает совместить EasyVPN и DMVPN...

[Puno]

А по адсл у вас ничего хорошего не выйдет - скорости маленькие.

Весьма спорное утверждение - даже в Нерезиновой через ADSL офисники голос беспроблемно гоняют

[sunrise333]

sunrise333

Не имеет значения PPPoE или нет - главное чтобы был интерфейс (dialer, atm или fa), на котором можно поднять VPN.

Получается interface Tunnel0 просто есть и его привязывать к какому либо уже существующему

interface необходимости нет?

АТМ и Dialer присутствуют, это понятно,

просто как HUBу приписать IP если я его получаю

динамически по PPPoE (но каждый раз один и тот же)?

 

Важно чтобы IOS был не менее advipservices на всех цисках (и чтобы памяти с флэшем было достаточно для этого IOS).

c3725-advipservicesk9-mz.123-9.bin уже стоит.

Пойдет?

 

 

Для организации VPN можно использовать:

- EasyVPN - унификация доступа 1751 и программных CiscoVPN-клиентов

- DMVPN - я бы предпочел именно DMVPN

И ничто не мешает совместить EasyVPN и DMVPN...

Спасибо, уже что -то начинает проясняться.

Т.е. софтовый CiscoVPN клиент с DMVPN не работает,

нужно ещё и EasyVPN в голове поднимать?

Edited May 17, 2010 by sunrise333

[Puno]

Получается interface Tunnel0 просто есть и его привязывать к какому либо уже существующему

interface необходимости нет?

АТМ и Dialer присутствуют, это понятно, просто как HUBу приписать IP если я его получаю динамически по PPPoE (но каждый раз один и тот же)?

Нет, Tunnel0 надо привязывать к интерфейсу, но HUBу назначается только внутренний адрес тунеля:

interface Tunnel0
description DMVPN Tunnel Hub
ip address 172.16.1.1 255.255.255.0
<скип>
tunnel source ATM0.40
tunnel mode gre multipoint
tunnel key "Key"
tunnel protection ipsec profile "Profile-Name"

А на всех SPOKE уже надо указывать адрес HUB'а:

interface Tunnel1
description DMVPN Tunnel Spoke
ip address 172.16.0.1 255.255.255.0
ip nhrp authentication "ХХХХ"
ip nhrp map 172.16.0.1 "Real IP HUB'а"
ip nhrp map multicast "Real IP HUB'а"
<скип>
tunnel source Dialer0
tunnel mode gre multipoint
tunnel key "Key"
tunnel protection ipsec profile "Profile-Name"

c3725-advipservicesk9-mz.123-9.bin уже стоит.

Пойдет?

IOS древний, поэтому надо проверять наличие DMVPN на Feature Navigator

Для 1751 тоже надо IOS c DMVPN (или EasyVPN client)

Т.е. софтовый CiscoVPN клиент с DMVPN не работает, нужно ещё и EasyVPN в голове поднимать?

Да

 

[sunrise333]

Всем привет.

Вернулся из пампасов и вопрос поднят вновь.

 

Вот конфиги, что не так?

 

Current configuration : 10203 bytes

!

version 12.4

service timestamps debug datetime localtime

service timestamps log datetime localtime

no service password-encryption

!

hostname hub

!

boot-start-marker

boot-end-marker

!

enable secret 5 $1$DIn.$0cCoHIGkX1rILryfQypWB0

enable password zuzuzu

!

no aaa new-model

clock timezone Fiji 12

voice-card 1

no dspfarm

!

voice-card 2

no dspfarm

!

ip cef

!

!

no ip dhcp use vrf connected

ip dhcp excluded-address 192.168.1.66 192.168.1.254

!

ip dhcp pool Office

network 192.168.1.0 255.255.255.0

default-router 192.168.1.199

dns-server 85.28.195.130 85.28.195.129

!

!

!

no ip domain lookup

ip host hub 77.77.77.16

ip auth-proxy max-nodata-conns 3

ip admission max-nodata-conns 3

vpdn enable

!

!

!

username useruser password 0 zuzuzu

!

!

!

crypto keyring dmvpnspokes

pre-shared-key address 0.0.0.0 0.0.0.0 key zuzuzu

!

crypto isakmp policy 1

authentication pre-share

crypto isakmp key zuzuzu address 0.0.0.0 0.0.0.0

!

!

crypto ipsec transform-set trans2 esp-des esp-md5-hmac

mode transport

!

crypto ipsec profile vpnprof

set transform-set trans2

!

!

!

!

!

interface Tunnel0

ip address 10.0.0.1 255.255.255.0

no ip redirects

ip mtu 1416

no ip next-hop-self eigrp 1

ip nhrp authentication zuzuzu

ip nhrp map multicast dynamic

ip nhrp network-id 999

ip nhrp holdtime 300

ip tcp adjust-mss 1360

no ip split-horizon eigrp 1

delay 1000

tunnel source Dialer1

tunnel mode gre multipoint

tunnel key 999

tunnel protection ipsec profile vpnprof

!

interface ATM0/0

no ip address

ip nbar protocol-discovery

no atm ilmi-keepalive

dsl operating-mode auto

pvc 0/35

pppoe-client dial-pool-number 1

!

!

interface FastEthernet0/0

no ip address

shutdown

duplex auto

speed auto

!

interface FastEthernet0/1

ip address 192.168.1.199 255.255.255.0

ip nbar protocol-discovery

ip nat inside

ip nat enable

ip virtual-reassembly

ip tcp adjust-mss 1452

speed auto

full-duplex

no mop enabled

!

interface Dialer1

mtu 1492

ip address negotiated

ip nat outside

ip nat enable

ip virtual-reassembly

encapsulation ppp

dialer pool 1

ppp chap hostname pppoe-363636

ppp chap password 0 zuzuzu

ppp pap sent-username pppoe-363636 password 0 zuzuzu

!

router eigrp 1

redistribute static

network 10.0.0.0 0.0.0.255

network 192.168.1.0

network 192.168.28.0

auto-summary

!

ip forward-protocol nd

ip route 0.0.0.0 0.0.0.0 Dialer1

ip route 10.0.0.0 255.255.255.0 Tunnel0

ip route 192.168.28.0 255.255.255.0 Tunnel0

!

!

no ip http server

no ip http secure-server

ip nat inside source list 1 interface Dialer1 overload

ip nat inside source static 192.168.1.250 interface Dialer1

!

access-list 1 permit 192.168.1.0 0.0.0.255

!

!

!

control-plane

!

!

!

!

voice-port 2/0/16

cptone RU

connection plar 133

!

voice-port 2/0/17

cptone RU

connection plar 134

!

!

!

!

!

dial-peer voice 1 pots

destination-pattern 1

port 2/0/15

!

dial-peer voice 131 voip

destination-pattern 131

session target ipv4:192.168.1.198

!

!

!

!

line con 0

line aux 0

logging synchronous level all

modem Dialin

transport input all

escape-character NONE

stopbits 1

flowcontrol hardware

line vty 0 4

password zuzuzu

login

!

!

end

 

Current configuration : 2634 bytes

!

version 12.4

service timestamps debug datetime localtime

service timestamps log datetime localtime

no service password-encryption

!

hostname spoke

!

boot-start-marker

boot system flash

boot system flash c1700-advipservicesk9-mz.124-25a.bin

boot-end-marker

!

enable secret 5 $1$RMDL$5/qQBvviTMBzoHdxvbAtD1

enable password zuzuzu

!

no aaa new-model

voice-card 2

!

ip cef

!

!

!

!

no ip domain lookup

ip auth-proxy max-nodata-conns 3

ip admission max-nodata-conns 3

!

!

username useruser privilege 15 secret 5 $1$OMnR$5d5/TI9xiIy.oh1zQcff70

!

!

!

!

crypto isakmp policy 1

hash md5

authentication pre-share

crypto isakmp key zuzuzu address 0.0.0.0 0.0.0.0

!

!

crypto ipsec transform-set trans2 esp-3des esp-md5-hmac

mode transport

!

crypto ipsec profile vpnprof

set security-association lifetime seconds 120

set transform-set trans2

!

!

!

!

!

interface Tunnel0

ip address 10.0.0.2 255.255.255.0

no ip redirects

ip mtu 1440

ip nhrp authentication zuzuzu

ip nhrp map multicast dynamic

ip nhrp map 10.0.0.1 77.77.77.16

ip nhrp map multicast 77.77.77.16

ip nhrp network-id 999

ip nhrp holdtime 300

ip nhrp nhs 10.0.0.1

ip nhrp registration no-unique

no ip split-horizon eigrp 1

tunnel source Dialer1

tunnel mode gre multipoint

tunnel key 999

tunnel protection ipsec profile vpnprof

!

interface ATM0/0

no ip address

no atm ilmi-keepalive

dsl operating-mode auto

pvc 0/35

pppoe-client dial-pool-number 1

!

!

interface FastEthernet0/0

ip address 192.168.28.1 255.255.255.0

ip nbar protocol-discovery

ip nat inside

ip nat enable

ip virtual-reassembly

ip tcp adjust-mss 1452

speed auto

full-duplex

!

interface Dialer1

mtu 1492

ip address negotiated

ip nat outside

ip nat enable

ip virtual-reassembly

encapsulation ppp

dialer pool 1

ppp chap hostname pppoe-373737

ppp chap password 0 zuzuzu

ppp pap sent-username pppoe-373737 password 0 zuzuzu

!

router eigrp 1

redistribute static

network 10.0.0.0 0.0.0.255

network 192.168.1.0

network 192.168.28.0

auto-summary

!

ip forward-protocol nd

ip route 0.0.0.0 0.0.0.0 Dialer1

ip route 10.0.0.0 255.255.255.0 Tunnel0

ip route 192.168.1.0 255.255.255.0 Tunnel0

!

!

no ip http server

no ip http secure-server

ip nat inside source list 1 interface Dialer1 overload

ip nat inside source static 192.168.2.114 interface Dialer1

!

access-list 1 permit 192.168.28.0 0.0.0.255

!

!

!

control-plane

!

!

!

voice-port 2/0

cptone RU

!

voice-port 2/1

cptone RU

!

!

line con 0

line aux 0

line vty 0 4

privilege level 15

password zuzuzu

login

transport input telnet ssh

!

end

 

С маршрутизатора spoke белый адрес hubа 77.77.77.16 пингуется

больше ничего ни 10.0.0.1 ни естественно 192.168.1.199

С маршрутизатора hub динамически присвоенный адрес spokeа 77.77.77.18 не пингуется

 

Что не так?

[yakuzzza]

МТУ? Маршруты?

Edited July 12, 2010 by yakuzzza

[sunrise333]

МТУ? Маршруты?

Не сочтите за грубость, но это ответ или вопрос?

В любом случае несколько поконкретнее можно?

Уже сутки без сна мозги как то плохо соображают.

Если есть конкретное предложение то готов его проверить.

Если необходим какой либо дебаг вывод то какой? Выложу.

[yakuzzza]

Туннельные интерфейсы почему имеют разный МТУ на роутерах? Так задумано?

[sunrise333]

Туннельные интерфейсы почему имеют разный МТУ на роутерах? Так задумано?

да вижу куча талмудов по DMVPN в них по рзному вот и пропарился.

попробовал поменять пара 1416-1416 и пара 1440-1400 результат отрицательный,

что дальше?

Однако спасибо косяки такого рода уже и не виже.

[yakuzzza]

Я так понимаю на hub 77.77.77.16 статика всегда отдается на ифейс Dialer1.

Должно работать что-то такое типа такого:

 

 

interface Tunnel0

description === to HUBB ===

ip address 10.0.0.2 255.255.255.0

no ip redirects

ip mtu <что там у вас правильно>

ip nhrp authentication nhrp1234

ip nhrp map 10.0.0.1 77.77.77.16

ip nhrp map multicast 77.77.77.16

ip nhrp network-id 333

ip nhrp nhs 10.0.0.1

ip nhrp registration no-unique

tunnel source Dialer1

tunnel mode gre multipoint

tunnel key 333

end

 

 

interface Tunnel0

description === to Spokes ===

ip address 10.0.0.1 255.255.255.0

no ip redirects

ip mtu <что там у вас правильно>

ip nhrp authentication nhrp1234

ip nhrp map multicast dynamic

ip nhrp network-id 333

tunnel source 77.77.77.16

tunnel mode gre multipoint

tunnel key 333

end

 

Это без IPSec. Подняли туннель. Потом добавили роуты. Потом пустили ч-з IPSec.

[sunrise333]

Все уже упростил до минимума.

 

На HUBе

!

interface Tunnel0

ip address 10.10.10.1 255.255.255.0

no ip redirects

ip mtu 1440

ip nhrp map multicast dynamic

ip nhrp network-id 999

tunnel source Dialer1

tunnel mode gre multipoint

!

 

На SPOKE

!

interface Tunnel0

ip address 10.10.10.2 255.255.255.0

no ip redirects

ip mtu 1440

ip nhrp map 10.10.10.1 77.77.77.16

ip nhrp map multicast 77.77.77.16

ip nhrp network-id 999

ip nhrp nhs 10.10.10.1

ip nhrp registration no-unique

tunnel source Dialer1

tunnel destination 77.77.77.16

!

Полная хрень на SPOKE 77.77.77.16 пингуется 10.10.10.1 не пингуется

на HUBе не пингуется ни 77.77.77.18 ни 10.10.10.2

 

по sh ip nhrp на SPOKE виден тунель на HUBе пусто

куда копать хрен его знает.

 

Да кстати вот это может быть помехой:

ip nat inside source list 1 interface Dialer1 overload

ip nat inside source static tcp 192.168.1.250 1723 interface Dialer1 1723

ip nat inside source static tcp 192.168.1.250 21 interface Dialer1 21

ip nat inside source static tcp 192.168.1.250 3389 interface Dialer1 3389

ip nat inside source static 192.168.1.250 interface Dialer1

Edited July 13, 2010 by sunrise333

[yakuzzza]

Ну ты дядя даешь, ей богу. Как же ты пинговать будешь? Небось еще и винда стоит, и с файерволлом.

Завернул все что бежит на реальник твой на внутреннюю машину.

Правила пата ваще веселые - сначала пробрасываешь портики, а потом и всю машину завалил. Выкинь статик для 192.168.1.250.

 

Я думаю, что там у тебя еще и ACL есть тоже веселые.

Первое, что ты должен проверить - наличие ч-з реальные IP достижимости спока от хаба и наоборот.

 

[sunrise333]

Короче сам разобрался.

 

Ну ты дядя даешь, ей богу. Как же ты пинговать будешь? Небось еще и винда стоит, и с файерволлом.

Ага она родимая

 

Завернул все что бежит на реальник твой на внутреннюю машину.

Правила пата ваще веселые - сначала пробрасываешь портики, а потом и всю машину завалил. Выкинь статик для 192.168.1.250.

Уже так и сделал все нормуль просто статик всего на 192.168.1.250 по удаленке вырезать не получилось Вертолет рулит. :)

 

Я думаю, что там у тебя еще и ACL есть тоже веселые.

Первое, что ты должен проверить - наличие ч-з реальные IP достижимости спока от хаба и наоборот.

Заработало.

Японская мафия непобедима. :)

Спасибо за участие, Ваши замечания взбадривали головной мозг.

 

Похоже тема закрыта.