Jump to content
Калькуляторы

IPSec и Cisco не подключается VPN

Всем здравствуйте!

В компании недавно приобрели Cisco 7201 и тут появилась проблема. Бухгалтер пользуется программой Сбербанк-клиент которая подключается к серверу по VPN. Почему то это подключение через Cisco не проходит… как я понял это из-за nat маршрутизации. Почитал статейки что nat переделывает IPSec пакеты что плохо отображается на работу VPN.

 

http://www.osp.ru/lan/2003/01/137057/

 

подскажите как возможно настроить Nat на проброску через себя IPSec пакеты…

 

1. Надо ли мне для этого менять IOS?

2. Нужна тут поддержка криптографии?

3. Нужно ли разрешение ФСБ для использование IOS с криптографией?

 

Cisco IOS Software, 7200 Software (C7200P-IPBASE-M), Version 12.4(15)T14, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2010 by Cisco Systems, Inc.
Compiled Tue 17-Aug-10 16:18 by prod_rel_team

ROM: System Bootstrap, Version 12.4(12.2r)T, RELEASE SOFTWARE (fc1)
BOOTLDR: Cisco IOS Software, 7200 Software (C7200P-KBOOT-M), Version 12.4(15)T14, RELEASE SOFTWARE (fc2)

RouterKTV uptime is 3 days, 5 hours, 31 minutes
System returned to ROM by reload at 11:34:55 Moscow Fri Dec 9 2011
System restarted at 11:36:21 Moscow Fri Dec 9 2011
System image file is "disk0:c7200p-ipbase-mz.124-15.T14.bin"
Last reload reason: Reload Command

Cisco 7201 (c7201) processor (revision B) with 1966080K/65536K bytes of memory.
Processor board ID 78014235
MPC7448 CPU at 1666Mhz, Implementation 0, Rev 2.2
1 slot midplane, Version 2.1

Last reset from power-on
1 FastEthernet interface
4 Gigabit Ethernet interfaces
2045K bytes of NVRAM.

254464K bytes of ATA PCMCIA card at slot 0 (Sector size 512 bytes).
65536K bytes of Flash internal SIMM (Sector size 512K).
Configuration register is 0x2102

Edited by subal

Share this post


Link to post
Share on other sites

Тут не только циску надо ковырять. Тут еще и винду надо ковырять.

 

На циске:

ip inspect name DEFAULT ipsec-msft
ip inspect name DEFAULT l2tp
ip inspect name DEFAULT isakmp

и вешать инспекцию на inside/outside (DEFAULT замените на своё название группы "инспекции").

 

В винде:

 

http://support.microsoft.com/kb/818043/ru - XP/2K

http://support.microsoft.com/kb/926179/ru - Vista/7

Edited by Alex/AT

Share this post


Link to post
Share on other sites

попробовал на cisco прописать команды

 

ip inspect name DEFAULT ipsec-msft
ip inspect name DEFAULT l2tp
ip inspect name DEFAULT isakmp

 

он не понимают данную команду

 

RouterKTV(config)#ip inspect name DEFAULT ipsec-msft
                          ^
% Invalid input detected at '^' marker.

 

как я понимаю нужно менять IOS но на какую я не знаю... взял прайс там этих IOS тьма + еще стоят почему то очень дорого... вот и прошу помощи если как я понимаю у мя это нельзя настроить то нужно поменять на работающую IOS

Share this post


Link to post
Share on other sites

Да, в случае 7200 это не актуально. Убедитесь, что в реестре винды ключики пропатчены согласно KB, а удалённый VPN-концентратор поддерживает NAT-T.

 

Убедитесь, что Ваши ACL не перекрывают доступ с хоста бухгалтера по произвольным протоколам на IP VPN-сервера.

Edited by Alex/AT

Share this post


Link to post
Share on other sites

хм... пока реестр править не стал хочу еще уточнить... посмотрел на ПК IPSec в службах установлен и стоит в автоматическом режиме

 

у нас до cisco работал и в настоящий момент работает ADSL модем (Интеркросс) через него она работает отлично.. только вот из-за этого приходиться все еще пользоваться услугами Ростелекома... там веть тоже получается также NAT маршрутизация или я что то путаю и это разные вещи...?

Share this post


Link to post
Share on other sites
хм... пока реестр править не стал

Пока не поправите и не перезагрузитесь - о прохождении IPSec сквозь NAT можно не мечтать, в 99% случаев работать не будет.

 

На DSL-модеме, возможно, есть какой-то хитрый ALG, но это только предположение. Если более 1 клиента одновременно по IPSec через него не пролезают - значит так оно и есть.

 

И - да - VPN точно IPSec/L2TP?

Edited by Alex/AT

Share this post


Link to post
Share on other sites

пробовал в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec прописывать параметр AssumeUDPEncapsulationContextOnSendRule ставил 1 и 2 нечего не помогло... :( (бухгалтер уже весь в возмущении что я что то там постоянно тыкаю и почему то временами не подключается...)

 

И - да - VPN точно IPSec/L2TP?

 

хм... хз к компу сложно пробиться... а как это узнать? также в реестре смотреть? или смотреть в самой программе?

 

хз как решить данную проблему... мы начинающий интернет провайдер и как я понимаю из-за этой фигни не сможем подключать юридических лиц.

Share this post


Link to post
Share on other sites
3. Нужно ли разрешение ФСБ для использование IOS с криптографией?

бы ФСБ запретило поставлять циске железо с шифрованием в Россию (хз могут ли как проверить и наказать за использование.)

сейчас можно к железкам купить дополнительные модули с поддержкой шифрования типо NPE-RVPN

Share this post


Link to post
Share on other sites

поставил IOS с криптографией щас буду что нить дальше мутить! есть мысли как решить данную проблеме прямо на Cisco чтобы не лезть в ПК пользователя?

Share this post


Link to post
Share on other sites

Для начала желательно понять - где проблема.

 

Если не хотите / нет возможности лезть к клиенту - делайте мирроринг для порта клиента, и смотрите сниффером, что и куда шлёт.

Edited by Alex/AT

Share this post


Link to post
Share on other sites

сделал банально

 

ip nat source static udp 192.168.10.160 87 interface GigabitEthernet0/1 87

 

 

тогда вопрос! если мы в дальнейшем будем работать как интернет провайдер смогут ли другие пользователи этой программки подключаться к серверам? всмысле больше 1 подключения...

 

я думаю как минимум надо будет менять порт получения пакета на cisco(и порт назначения у клиента)

 

в программе есть настройки прокси сервера! пробовал там менять порт назначения почему то тест програмки на работоспособность не проходит... :(

Edited by subal

Share this post


Link to post
Share on other sites

Если то, что написано выше - помогло, значит:

а) у Вас не IPSec, а какой-то проприетарный VPN, работающий по порту 87. следовательно всё отписанное про IPSec Вам не поможет

б) при таком раскладе - нет, не смогут. входящий порт 87 у Вас один, а клиентов будет много

если у Вас много внешних IP - давайте таким хитрым клиентам внешние IP

Edited by Alex/AT

Share this post


Link to post
Share on other sites

я примерно так и думал... но все печально у нас всего 1 внешний ip :(

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this