|
|
|
|
| Компьютерный форум OSzone.net » Железо » Сетевое оборудование » Cisco - Cisco 880:Подключение по VPN(L2TP ipsec) роняет интерфейс. |
|
|
Cisco - Cisco 880:Подключение по VPN(L2TP ipsec) роняет интерфейс.
|
Пользователь Сообщения: 98 |
Коллеги, всем привет.
Имею следующий совершенно не понятный косяк. в офисе висит Cisco 88X, в неё воткнут линк от провайдера, он врублена в свитч. На Цисаке "поднят" VPN сервер, к которому подключается Win XP из удалённого филиала, сливает инфу и отключается. Проблема такова, что в момент подключения, на циске "падает" Fa4(от провайдера). Падает весьма сомнительно, линк есть, всё "up" но инета нет. При это ХР подключается, получает IP, ошибок нет - всё круто. Но толку чуть, инет то падает сразу после того. Теперь к конфигу: Код:
 Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.2(1)T, RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2011 by Cisco Systems, Inc. Compiled Fri 22-Jul-11 00:04 by prod_rel_team ROM: System Bootstrap, Version 12.4(22r)YB5, RELEASE SOFTWARE (fc1) System returned to ROM by reload at 10:30:50 UTC Thu Jul 12 2012 System restarted at 10:31:27 UTC Thu Jul 12 2012 System image file is "flash:c880data-universalk9-mz.152-1.T.bin" Код:
License Information for 'c880-data'
License Level: advipservices Type: RightToUse
Next reboot license Level: advipservices
Код:
vpdn enable ! vpdn-group VPDN-L2TP ! Default L2TP VPDN group accept-dialin protocol l2tp virtual-template 1 lcp renegotiation on-mismatch no l2tp tunnel authentication ! Код:
crypto logging session ! crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2 ! crypto isakmp policy 20 encr 3des authentication pre-share group 2 crypto isakmp key SECRETKEY address 0.0.0.0 crypto isakmp invalid-spi-recovery crypto isakmp keepalive 60 ! ! crypto ipsec transform-set L2TP esp-3des esp-md5-hmac mode transport crypto ipsec transform-set L2TP_V ah-sha-hmac esp-3des esp-sha-hmac mode transport crypto ipsec transform-set L2TP_7 esp-3des esp-sha-hmac mode transport ! ! ! crypto dynamic-map DYN-L2TP-MAP 10 set nat demux ! crypto dynamic-map L2TP_D 10 set transform-set L2TP L2TP_V ! ! crypto map L2TP 20 ipsec-isakmp dynamic L2TP_D ! ! ! ! ! interface Loopback1 ip address 10.50.60.250 255.255.255.0 ! interface FastEthernet0 no ip address ! interface FastEthernet1 switchport access vlan 6 no ip address ! interface FastEthernet2 switchport access vlan 6 no ip address ! interface FastEthernet3 switchport access vlan 6 no ip address ! interface FastEthernet4 mac-address 0024.d110.f412 ip address * ip access-group 111 out no ip unreachables ip nat outside ip virtual-reassembly in duplex auto speed auto crypto map L2TP ! interface Virtual-Template1 ip address 41.190.32.1 255.255.255.252 no ip route-cache peer default ip address pool test ppp mtu adaptive ppp encrypt mppe 128 ppp authentication ms-chap-v2 ! interface Vlan1 description lan_acc ip address 192.168.1.1 255.255.255.0 ip nat inside ip virtual-reassembly in ip tcp adjust-mss 1452 ! ip local pool test 41.220.16.0 41.220.16.2 Код:
access-list 101 deny ip 192.168.1.0 0.0.0.255 10.0.60.0 0.0.0.255 access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.15.0 0.0.0.255 access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.16.0 0.0.0.255 access-list 101 permit ip 192.168.1.0 0.0.0.255 any access-list 101 deny ip 172.16.12.0 0.0.0.255 10.0.0.0 0.255.255.255 access-list 101 deny ip 172.16.12.0 0.0.0.255 172.16.0.0 0.0.255.255 access-list 101 deny ip 172.16.12.0 0.0.0.255 192.168.0.0 0.0.255.255 access-list 101 permit ip 172.16.12.0 0.0.0.255 any access-list 111 deny udp host 195.34.194.90 any eq bootpc access-list 111 deny udp host 195.34.194.90 any eq bootps access-list 111 deny ip 172.16.0.0 0.0.255.255 any access-list 111 permit ip any any Код:
ip nat inside source list 101 interface FastEthernet4 overload Ряд комментариев: ИП адреса на Virtual-Template1 ip local pool test такие не от большого ума, а от того что провайдер прислал нам претензию что блочит порты из-за того, что к нему попадает трафик адресованный в частные сети. До L2TP был поднят PPTP - не работало. Подняли L2tp - не работает. Привлекали цискаря со стороны, тот поглядел, повертел сказал что должно работать, вроде нормально. Но времени у него этим заниматься не было. Провайдер занимает позицию "мне пофигу у меня в д-линке галки стоят правильно". Я, честно сказать, в отчаянии. Дома поднял на таком же девайсе PPTP - работает. Провайдер на контакт не идёт. Коллеги, может кто сталкивался? Что такое? Может у нас пробелище по VPN? У меня к сожалению нет копии конфигурации на момент "только PPTP". |
|
|
------- Отправлено: 11:49, 13-07-2012 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| VPN - Проблема с L2TP\IPSec на Zyxel usg 100 | QRS | Сетевые технологии | 0 | 09-02-2012 20:37 | |
| Cisco - Cisco 2811 L2TP IPsec | pnck | Сетевое оборудование | 0 | 12-04-2010 12:29 | |
| Cisco - Cisco - ipsec vpn - ISA | Aleksey Potapov | Сетевое оборудование | 15 | 27-10-2009 13:16 | |
| VPN - проблема с l2tp ipsec | dhorasoo | Сетевые технологии | 1 | 05-07-2009 15:53 | |
| Cisco - Cisco 871 и издевательства над l2tp+\- Ipsec | Gudy | Сетевое оборудование | 0 | 06-08-2008 19:54 | |
|
|
Время: 06:50. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. |
