Перейти к содержимому
Калькуляторы

IPSec и Cisco не подключается VPN

Всем здравствуйте!

В компании недавно приобрели Cisco 7201 и тут появилась проблема. Бухгалтер пользуется программой Сбербанк-клиент которая подключается к серверу по VPN. Почему то это подключение через Cisco не проходит… как я понял это из-за nat маршрутизации. Почитал статейки что nat переделывает IPSec пакеты что плохо отображается на работу VPN.

 

http://www.osp.ru/lan/2003/01/137057/

 

подскажите как возможно настроить Nat на проброску через себя IPSec пакеты…

 

1. Надо ли мне для этого менять IOS?

2. Нужна тут поддержка криптографии?

3. Нужно ли разрешение ФСБ для использование IOS с криптографией?

 

Cisco IOS Software, 7200 Software (C7200P-IPBASE-M), Version 12.4(15)T14, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2010 by Cisco Systems, Inc.
Compiled Tue 17-Aug-10 16:18 by prod_rel_team

ROM: System Bootstrap, Version 12.4(12.2r)T, RELEASE SOFTWARE (fc1)
BOOTLDR: Cisco IOS Software, 7200 Software (C7200P-KBOOT-M), Version 12.4(15)T14, RELEASE SOFTWARE (fc2)

RouterKTV uptime is 3 days, 5 hours, 31 minutes
System returned to ROM by reload at 11:34:55 Moscow Fri Dec 9 2011
System restarted at 11:36:21 Moscow Fri Dec 9 2011
System image file is "disk0:c7200p-ipbase-mz.124-15.T14.bin"
Last reload reason: Reload Command

Cisco 7201 (c7201) processor (revision B) with 1966080K/65536K bytes of memory.
Processor board ID 78014235
MPC7448 CPU at 1666Mhz, Implementation 0, Rev 2.2
1 slot midplane, Version 2.1

Last reset from power-on
1 FastEthernet interface
4 Gigabit Ethernet interfaces
2045K bytes of NVRAM.

254464K bytes of ATA PCMCIA card at slot 0 (Sector size 512 bytes).
65536K bytes of Flash internal SIMM (Sector size 512K).
Configuration register is 0x2102

Изменено пользователем subal

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тут не только циску надо ковырять. Тут еще и винду надо ковырять.

 

На циске:

ip inspect name DEFAULT ipsec-msft
ip inspect name DEFAULT l2tp
ip inspect name DEFAULT isakmp

и вешать инспекцию на inside/outside (DEFAULT замените на своё название группы "инспекции").

 

В винде:

 

http://support.microsoft.com/kb/818043/ru - XP/2K

http://support.microsoft.com/kb/926179/ru - Vista/7

Изменено пользователем Alex/AT

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

попробовал на cisco прописать команды

 

ip inspect name DEFAULT ipsec-msft
ip inspect name DEFAULT l2tp
ip inspect name DEFAULT isakmp

 

он не понимают данную команду

 

RouterKTV(config)#ip inspect name DEFAULT ipsec-msft
                          ^
% Invalid input detected at '^' marker.

 

как я понимаю нужно менять IOS но на какую я не знаю... взял прайс там этих IOS тьма + еще стоят почему то очень дорого... вот и прошу помощи если как я понимаю у мя это нельзя настроить то нужно поменять на работающую IOS

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, в случае 7200 это не актуально. Убедитесь, что в реестре винды ключики пропатчены согласно KB, а удалённый VPN-концентратор поддерживает NAT-T.

 

Убедитесь, что Ваши ACL не перекрывают доступ с хоста бухгалтера по произвольным протоколам на IP VPN-сервера.

Изменено пользователем Alex/AT

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

хм... пока реестр править не стал хочу еще уточнить... посмотрел на ПК IPSec в службах установлен и стоит в автоматическом режиме

 

у нас до cisco работал и в настоящий момент работает ADSL модем (Интеркросс) через него она работает отлично.. только вот из-за этого приходиться все еще пользоваться услугами Ростелекома... там веть тоже получается также NAT маршрутизация или я что то путаю и это разные вещи...?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

хм... пока реестр править не стал

Пока не поправите и не перезагрузитесь - о прохождении IPSec сквозь NAT можно не мечтать, в 99% случаев работать не будет.

 

На DSL-модеме, возможно, есть какой-то хитрый ALG, но это только предположение. Если более 1 клиента одновременно по IPSec через него не пролезают - значит так оно и есть.

 

И - да - VPN точно IPSec/L2TP?

Изменено пользователем Alex/AT

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

пробовал в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec прописывать параметр AssumeUDPEncapsulationContextOnSendRule ставил 1 и 2 нечего не помогло... :( (бухгалтер уже весь в возмущении что я что то там постоянно тыкаю и почему то временами не подключается...)

 

И - да - VPN точно IPSec/L2TP?

 

хм... хз к компу сложно пробиться... а как это узнать? также в реестре смотреть? или смотреть в самой программе?

 

хз как решить данную проблему... мы начинающий интернет провайдер и как я понимаю из-за этой фигни не сможем подключать юридических лиц.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3. Нужно ли разрешение ФСБ для использование IOS с криптографией?

бы ФСБ запретило поставлять циске железо с шифрованием в Россию (хз могут ли как проверить и наказать за использование.)

сейчас можно к железкам купить дополнительные модули с поддержкой шифрования типо NPE-RVPN

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

поставил IOS с криптографией щас буду что нить дальше мутить! есть мысли как решить данную проблеме прямо на Cisco чтобы не лезть в ПК пользователя?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для начала желательно понять - где проблема.

 

Если не хотите / нет возможности лезть к клиенту - делайте мирроринг для порта клиента, и смотрите сниффером, что и куда шлёт.

Изменено пользователем Alex/AT

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

сделал банально

 

ip nat source static udp 192.168.10.160 87 interface GigabitEthernet0/1 87

 

 

тогда вопрос! если мы в дальнейшем будем работать как интернет провайдер смогут ли другие пользователи этой программки подключаться к серверам? всмысле больше 1 подключения...

 

я думаю как минимум надо будет менять порт получения пакета на cisco(и порт назначения у клиента)

 

в программе есть настройки прокси сервера! пробовал там менять порт назначения почему то тест програмки на работоспособность не проходит... :(

Изменено пользователем subal

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если то, что написано выше - помогло, значит:

а) у Вас не IPSec, а какой-то проприетарный VPN, работающий по порту 87. следовательно всё отписанное про IPSec Вам не поможет

б) при таком раскладе - нет, не смогут. входящий порт 87 у Вас один, а клиентов будет много

если у Вас много внешних IP - давайте таким хитрым клиентам внешние IP

Изменено пользователем Alex/AT

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я примерно так и думал... но все печально у нас всего 1 внешний ip :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.