Коллеги, всем привет.
Имею следующий совершенно не понятный косяк.
в офисе висит Cisco 88X, в неё воткнут линк от провайдера, он врублена в свитч.
На Цисаке "поднят" VPN сервер, к которому подключается Win XP из удалённого филиала, сливает инфу и отключается.
Проблема такова, что в момент подключения, на циске "падает" Fa4(от провайдера). Падает весьма сомнительно, линк есть, всё "up" но инета нет.
При это ХР подключается, получает IP, ошибок нет - всё круто. Но толку чуть, инет то падает сразу после того.
Теперь к конфигу:
Код:
Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.2(1)T, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2011 by Cisco Systems, Inc.
Compiled Fri 22-Jul-11 00:04 by prod_rel_team
ROM: System Bootstrap, Version 12.4(22r)YB5, RELEASE SOFTWARE (fc1)
System returned to ROM by reload at 10:30:50 UTC Thu Jul 12 2012
System restarted at 10:31:27 UTC Thu Jul 12 2012
System image file is "flash:c880data-universalk9-mz.152-1.T.bin"
Код:
License Information for 'c880-data'
License Level: advipservices Type: RightToUse
Next reboot license Level: advipservices
Код:
vpdn enable
!
vpdn-group VPDN-L2TP
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 1
lcp renegotiation on-mismatch
no l2tp tunnel authentication
!
Код:
crypto logging session
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp policy 20
encr 3des
authentication pre-share
group 2
crypto isakmp key SECRETKEY address 0.0.0.0
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 60
!
!
crypto ipsec transform-set L2TP esp-3des esp-md5-hmac
mode transport
crypto ipsec transform-set L2TP_V ah-sha-hmac esp-3des esp-sha-hmac
mode transport
crypto ipsec transform-set L2TP_7 esp-3des esp-sha-hmac
mode transport
!
!
!
crypto dynamic-map DYN-L2TP-MAP 10
set nat demux
!
crypto dynamic-map L2TP_D 10
set transform-set L2TP L2TP_V
!
!
crypto map L2TP 20 ipsec-isakmp dynamic L2TP_D
!
!
!
!
!
interface Loopback1
ip address 10.50.60.250 255.255.255.0
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
switchport access vlan 6
no ip address
!
interface FastEthernet2
switchport access vlan 6
no ip address
!
interface FastEthernet3
switchport access vlan 6
no ip address
!
interface FastEthernet4
mac-address 0024.d110.f412
ip address *
ip access-group 111 out
no ip unreachables
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
crypto map L2TP
!
interface Virtual-Template1
ip address 41.190.32.1 255.255.255.252
no ip route-cache
peer default ip address pool test
ppp mtu adaptive
ppp encrypt mppe 128
ppp authentication ms-chap-v2
!
interface Vlan1
description lan_acc
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
ip local pool test 41.220.16.0 41.220.16.2
Код:
access-list 101 deny ip 192.168.1.0 0.0.0.255 10.0.60.0 0.0.0.255
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.15.0 0.0.0.255
access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.16.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 deny ip 172.16.12.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list 101 deny ip 172.16.12.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 101 deny ip 172.16.12.0 0.0.0.255 192.168.0.0 0.0.255.255
access-list 101 permit ip 172.16.12.0 0.0.0.255 any
access-list 111 deny udp host 195.34.194.90 any eq bootpc
access-list 111 deny udp host 195.34.194.90 any eq bootps
access-list 111 deny ip 172.16.0.0 0.0.255.255 any
access-list 111 permit ip any any
Код:
ip nat inside source list 101 interface FastEthernet4 overload
Ряд комментариев:
ИП адреса на Virtual-Template1 ip local pool test такие не от большого ума, а от того что провайдер прислал нам претензию что блочит порты из-за того, что к нему попадает трафик адресованный в частные сети.
До L2TP был поднят PPTP - не работало. Подняли L2tp - не работает.
Привлекали цискаря со стороны, тот поглядел, повертел сказал что должно работать, вроде нормально. Но времени у него этим заниматься не было.
Провайдер занимает позицию "мне пофигу у меня в д-линке галки стоят правильно".
Я, честно сказать, в отчаянии. Дома поднял на таком же девайсе PPTP - работает.
Провайдер на контакт не идёт. Коллеги, может кто сталкивался? Что такое? Может у нас пробелище по VPN? У меня к сожалению нет копии конфигурации на момент "только PPTP".
