The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"не идет траффик из тунеля easyvpn в тунель ipsec"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Изначальное сообщение [ Отслеживать ]

"не идет траффик из тунеля easyvpn в тунель ipsec"  +/
Сообщение от wireless digger on 10-Июл-13, 17:38 
Здравствуйте.

Помогите пожалуйста разобраться. Есть 3825 циска. На ней поднят easyvpn сервер. cisco vpn client конектиться и работает со всеми сетями кроме той сети которая находиться за ipsec тунелем (10.0.0.0/16) который мы назовем Tunnel1. На 3825 так же настроен vpdn pptp server. Так вот трафик от ППТП клиента прекрасно идет через Tunnel1 в сеть 10,0,0,0/16. А вот траффик от cisco vpn client`a никак не хочет идти через Tunnel1 к 10,0,0,0/16. Эту проблему всязываю только с тем что сталкиваются два ipsec уже голову слоvал ничего не получается и других версий у меня нет.

Маскированный кофиг выглядит так:

crypto isakmp policy 3
hash md5
authentication pre-share
group 2
!
crypto isakmp xauth timeout 90
!

crypto isakmp client configuration group WWgroup
key 123
dns 172.16.17.5
pool easyVPNpool
save-password
include-local-lan
max-logins 1
netmask 255.255.255.0
crypto isakmp profile WWprofile
   match identity group WWgroup
   client authentication list vpn_xauth
   isakmp authorization list default
   client configuration address respond
   client configuration group WWgroup
   accounting default
   virtual-template 2
crypto ipsec transform-set set esp-3des esp-sha-hmac
crypto ipsec profile WWipsec
set transform-set set
set isakmp-profile WWprofile
!
interface Virtual-Template2 type tunnel
ip unnumbered GigabitEthernet0/1.10
tunnel mode ipsec ipv4
tunnel path-mtu-discovery
tunnel protection ipsec profile WWipsec

В crypto isakmp client configuration group WWgroup умышленно отсутствует acl что бы весь траффик шел через VPN.

crypto keyring dgfgdfg
  local-address xx7.20.x8x.4x
  pre-shared-key address x2.2x.2xx.192 key sfgvs
!
crypto isakmp policy 200
encr aes
authentication pre-share
group 2
lifetime 28800
crypto isakmp keepalive 10 10
crypto isakmp profile isakmp-sxsdfsdfs
   keyring dgfgdfg
   match identity address x2.2x.2xx.192 255.255.255.255
   local-address xx7.20.x8x.4x
!
crypto ipsec security-association replay window-size 128
!
crypto ipsec transform-set ipsec-cccc esp-aes esp-sha-hmac
crypto ipsec df-bit clear

crypto ipsec profile ipsec-dds
set transform-set ipsec-cccc
set pfs group2
!
!
interface Tunnel1
ip address 16x.2xx.255.x6 255.255.255.252
ip virtual-reassembly
ip tcp adjust-mss 1387
tunnel source xx7.20.x8x.4x
tunnel destination x2.2x.2xx.192
tunnel mode ipsec ipv4
tunnel protection ipsec profile ipsec-dds

ip route 10.0.0.0 255.255.0.0 Tunnel1 track 100

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "не идет траффик из тунеля easyvpn в тунель ipsec"  +/
Сообщение от wireless digger on 11-Июл-13, 12:20 
Проблема исчезла. Именно исчезла, а не решилась, так как затык был в сети 10,0,0,0/16

Но результат этой проблемы привел к следующей проблеме. И вот уже не понятно, а не проблема ли это ИОСа.

И так. Заявлено что easyVPN может раздавать ИП через dhcp. Официально это называется DHCP Client Proxy.

Так же написано что работает это начиная с 12.4(9)T. В наличии 12.4(13r)T11. И что-то не работает. Убрал все другие способы получаения ИП. Поставил только DHCP Client Proxy. Включил дебаг debup ip dhcp server packet. В итоге ВПН не конектится в логах сообщение что не может получить ИП. Дебаг ДХЦП чист как высокогорная альпийская роса. Сейчас хочу провести эксперинт целью которого увидеть как будет уживаться вместе один и тот же пул адресов в ДХЦП (172.16.5.0/24) и в ip local pool easyVPNpool 172.16.5.2 172.16.5.254. Очень надеюсь на богатейший опыт и внеземную интуицию инженеров циско. О результах опишусь даже если это никто не интересно

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "не идет траффик из тунеля easyvpn в тунель ipsec"  +/
Сообщение от wireless digger on 11-Июл-13, 15:17 
результат эксперимента следующий. Не работает. ДХЦП и пул не согласовывают выдачу ИП из-за чего выдаются одинаковые ИП. Резлуьтат предсказуемый, но надежда умирает последней.

Может есть еще какие-то лазейки?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру