subal Опубликовано 13 декабря, 2011 (изменено) · Жалоба Всем здравствуйте! В компании недавно приобрели Cisco 7201 и тут появилась проблема. Бухгалтер пользуется программой Сбербанк-клиент которая подключается к серверу по VPN. Почему то это подключение через Cisco не проходит… как я понял это из-за nat маршрутизации. Почитал статейки что nat переделывает IPSec пакеты что плохо отображается на работу VPN. http://www.osp.ru/lan/2003/01/137057/ подскажите как возможно настроить Nat на проброску через себя IPSec пакеты… 1. Надо ли мне для этого менять IOS? 2. Нужна тут поддержка криптографии? 3. Нужно ли разрешение ФСБ для использование IOS с криптографией? Cisco IOS Software, 7200 Software (C7200P-IPBASE-M), Version 12.4(15)T14, RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2010 by Cisco Systems, Inc. Compiled Tue 17-Aug-10 16:18 by prod_rel_team ROM: System Bootstrap, Version 12.4(12.2r)T, RELEASE SOFTWARE (fc1) BOOTLDR: Cisco IOS Software, 7200 Software (C7200P-KBOOT-M), Version 12.4(15)T14, RELEASE SOFTWARE (fc2) RouterKTV uptime is 3 days, 5 hours, 31 minutes System returned to ROM by reload at 11:34:55 Moscow Fri Dec 9 2011 System restarted at 11:36:21 Moscow Fri Dec 9 2011 System image file is "disk0:c7200p-ipbase-mz.124-15.T14.bin" Last reload reason: Reload Command Cisco 7201 (c7201) processor (revision B) with 1966080K/65536K bytes of memory. Processor board ID 78014235 MPC7448 CPU at 1666Mhz, Implementation 0, Rev 2.2 1 slot midplane, Version 2.1 Last reset from power-on 1 FastEthernet interface 4 Gigabit Ethernet interfaces 2045K bytes of NVRAM. 254464K bytes of ATA PCMCIA card at slot 0 (Sector size 512 bytes). 65536K bytes of Flash internal SIMM (Sector size 512K). Configuration register is 0x2102 Изменено 13 декабря, 2011 пользователем subal Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 13 декабря, 2011 (изменено) · Жалоба Тут не только циску надо ковырять. Тут еще и винду надо ковырять. На циске: ip inspect name DEFAULT ipsec-msft ip inspect name DEFAULT l2tp ip inspect name DEFAULT isakmp и вешать инспекцию на inside/outside (DEFAULT замените на своё название группы "инспекции"). В винде: http://support.microsoft.com/kb/818043/ru - XP/2K http://support.microsoft.com/kb/926179/ru - Vista/7 Изменено 13 декабря, 2011 пользователем Alex/AT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
subal Опубликовано 13 декабря, 2011 · Жалоба попробовал на cisco прописать команды ip inspect name DEFAULT ipsec-msft ip inspect name DEFAULT l2tp ip inspect name DEFAULT isakmp он не понимают данную команду RouterKTV(config)#ip inspect name DEFAULT ipsec-msft ^ % Invalid input detected at '^' marker. как я понимаю нужно менять IOS но на какую я не знаю... взял прайс там этих IOS тьма + еще стоят почему то очень дорого... вот и прошу помощи если как я понимаю у мя это нельзя настроить то нужно поменять на работающую IOS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 13 декабря, 2011 (изменено) · Жалоба Да, в случае 7200 это не актуально. Убедитесь, что в реестре винды ключики пропатчены согласно KB, а удалённый VPN-концентратор поддерживает NAT-T. Убедитесь, что Ваши ACL не перекрывают доступ с хоста бухгалтера по произвольным протоколам на IP VPN-сервера. Изменено 13 декабря, 2011 пользователем Alex/AT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
subal Опубликовано 13 декабря, 2011 · Жалоба хм... пока реестр править не стал хочу еще уточнить... посмотрел на ПК IPSec в службах установлен и стоит в автоматическом режиме у нас до cisco работал и в настоящий момент работает ADSL модем (Интеркросс) через него она работает отлично.. только вот из-за этого приходиться все еще пользоваться услугами Ростелекома... там веть тоже получается также NAT маршрутизация или я что то путаю и это разные вещи...? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 13 декабря, 2011 (изменено) · Жалоба хм... пока реестр править не стал Пока не поправите и не перезагрузитесь - о прохождении IPSec сквозь NAT можно не мечтать, в 99% случаев работать не будет. На DSL-модеме, возможно, есть какой-то хитрый ALG, но это только предположение. Если более 1 клиента одновременно по IPSec через него не пролезают - значит так оно и есть. И - да - VPN точно IPSec/L2TP? Изменено 13 декабря, 2011 пользователем Alex/AT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
subal Опубликовано 14 декабря, 2011 · Жалоба пробовал в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec прописывать параметр AssumeUDPEncapsulationContextOnSendRule ставил 1 и 2 нечего не помогло... :( (бухгалтер уже весь в возмущении что я что то там постоянно тыкаю и почему то временами не подключается...) И - да - VPN точно IPSec/L2TP? хм... хз к компу сложно пробиться... а как это узнать? также в реестре смотреть? или смотреть в самой программе? хз как решить данную проблему... мы начинающий интернет провайдер и как я понимаю из-за этой фигни не сможем подключать юридических лиц. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mukca Опубликовано 14 декабря, 2011 · Жалоба 3. Нужно ли разрешение ФСБ для использование IOS с криптографией? бы ФСБ запретило поставлять циске железо с шифрованием в Россию (хз могут ли как проверить и наказать за использование.) сейчас можно к железкам купить дополнительные модули с поддержкой шифрования типо NPE-RVPN Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
subal Опубликовано 15 декабря, 2011 · Жалоба поставил IOS с криптографией щас буду что нить дальше мутить! есть мысли как решить данную проблеме прямо на Cisco чтобы не лезть в ПК пользователя? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 15 декабря, 2011 (изменено) · Жалоба Для начала желательно понять - где проблема. Если не хотите / нет возможности лезть к клиенту - делайте мирроринг для порта клиента, и смотрите сниффером, что и куда шлёт. Изменено 15 декабря, 2011 пользователем Alex/AT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
subal Опубликовано 19 декабря, 2011 (изменено) · Жалоба сделал банально ip nat source static udp 192.168.10.160 87 interface GigabitEthernet0/1 87 тогда вопрос! если мы в дальнейшем будем работать как интернет провайдер смогут ли другие пользователи этой программки подключаться к серверам? всмысле больше 1 подключения... я думаю как минимум надо будет менять порт получения пакета на cisco(и порт назначения у клиента) в программе есть настройки прокси сервера! пробовал там менять порт назначения почему то тест програмки на работоспособность не проходит... :( Изменено 19 декабря, 2011 пользователем subal Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 19 декабря, 2011 (изменено) · Жалоба Если то, что написано выше - помогло, значит: а) у Вас не IPSec, а какой-то проприетарный VPN, работающий по порту 87. следовательно всё отписанное про IPSec Вам не поможет б) при таком раскладе - нет, не смогут. входящий порт 87 у Вас один, а клиентов будет много если у Вас много внешних IP - давайте таким хитрым клиентам внешние IP Изменено 19 декабря, 2011 пользователем Alex/AT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
subal Опубликовано 19 декабря, 2011 · Жалоба я примерно так и думал... но все печально у нас всего 1 внешний ip :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...