1

Тема: Настройка VPN+NAT на Cisco 851-K9 / 850 серия

Приветствую!

Есть Cisco851-K9 за которой стоит локальный сервер. Задача в том чтобы с интернета заходить через VPN на киску и дальше на сервер через ремоутдесктоп.
Настроил почти наполовину. Работает НАТ и работает VPN но образно, в обрезанном виде. Криптование не поддерживается, так как виндовый клиент отваливается с предупреждением об этом.
При чем Виндовый клиент изнутри(на самом сервере) может коннектится и подключается к киске. А вот снаружи, дело доходит до проверки имени юзера и пароля, и дальше отваливается с таймаутом в ошибке 619
A connection to remote host could not be established, so the port used for this connection was closed.

Прилагаю конфиг далее.

Current configuration : 5261 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname moin
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
logging console critical
!
aaa new-model
!
!
aaa authentication ppp default local
aaa authorization network rtr-remote local
!
!
aaa session-id common
clock timezone PCTime 3
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
crypto pki trustpoint TP-self-signed-566857557
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-566857557
 revocation-check none
 rsakeypair TP-self-signed-566857557
!
!
crypto pki certificate chain TP-self-signed-566857557
 certificate self-signed 01
<-- CUTED -->
 quit
dot11 syslog
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1
ip dhcp excluded-address 192.168.1.2
!
ip dhcp pool DHCPPOOL
   import all
   network 192.168.1.0 255.255.255.0
   dns-server 193.33.96.23
   domain-name moin.rucable.net
   default-router 192.168.1.1
   lease 2
!
!
no ip cef
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
ip domain name rucable.net
ip name-server 193.33.96.23
!
vpdn enable
vpdn source-ip 193.33.96.xxx
!
vpdn-group 1
! Default PPTP VPDN group
 description Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
 l2tp tunnel receive-window 128
!
!
!
username MainCisco privilege 15 secret 5 DDDDDDDDDDDDDD
username vpn password 0 test
username vpn aaa attribute list vpn
!
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
 lifetime 480
crypto isakmp key Mainkey address 193.33.96.xxx
crypto isakmp keepalive 30 5
crypto isakmp nat keepalive 20
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 1
 set transform-set ESP-3DES-SHA
 reverse-route
!
!
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
 ! Incomplete
 description VPN Tunnel
 set peer 193.33.96.xxx
 set ip access-group 1 in
 set transform-set ESP-3DES-SHA
 match address 100
!
crypto map static-map 1 ipsec-isakmp dynamic dynmap
!
archive
 log config
  hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
 description $ES_WAN$
 ip address 193.33.96.xxx 255.255.254.0
 ip access-group Internet-inbound-ACL in
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 no cdp enable
 crypto map static-map
!
interface Virtual-Template1
 ip unnumbered Vlan1
 no ip redirects
 ip mtu 1492
 ip virtual-reassembly
 peer default ip address dhcp-pool DHCPPOOL
 ppp authentication ms-chap ms-chap-v2
 ppp chap hostname vpn
 ppp chap password 0 test
 ppp timeout authentication 255
 crypto map static-map
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1412
!
ip default-gateway 193.33.96.1
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 193.33.96.1
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool pool1 192.168.1.0 192.168.2.0 netmask 0.0.0.255
ip nat inside source list 1 interface Virtual-Template1 overload
ip nat inside source list acl1 pool pool1
!
ip access-list extended Internet-inbound-ACL
 permit icmp any any echo
 permit icmp any any echo-reply
 permit icmp any any traceroute
 permit gre any any
 permit esp any any
 permit tcp any any
 permit udp any any
ip access-list extended vpnstatic
 permit gre 192.168.1.0 0.0.0.255 any
!
logging trap debugging
access-list 1 permit 192.168.1.0 0.0.0.255
no cdp run
!
control-plane
!
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 privilege level 15
 transport input telnet ssh
!
scheduler max-task-time 5000
end

2

Re: Настройка VPN+NAT на Cisco 851-K9 / 850 серия

для начала отключить наверное экцесс-листы.

Alexander пишет:

ip nat pool pool1 192.168.1.0 192.168.2.0 netmask 0.0.0.255

указывается именно netmask, а не wildcard. Хотя не понятно зачем тебе 192.168.2.0, я не увидел где ты эту сеть хоть как-то используешь.

3

Re: Настройка VPN+NAT на Cisco 851-K9 / 850 серия

crash пишет:

для начала отключить наверное экцесс-листы.

Отключал все. Вообще ни НАТ ни подключение к ВПН не хочет работать.
Эти access-list как минимуи дают НАТ и работает подключение к ВПН.
Но опять же, если снутри я могу подключаться к ВПН и все отлично(правда только без шифрования), а снаружи не получается, то видимо где то закрывается порт или протокол. Три дня ковыряний, у меня просто повисли руки. ДВа дня я полностью посвтил этому конфигу. И в общем то ничего пока толком кроме рабочего НАТ и кривого ВПН не получается...

Добавлено спустя     6 минут   2 секунды:
Вот что выдает из журнала Cisco VPN клиент
Клиент Vers. 4.8.02.0010
Ошибку выдает Secure VPN Connection terminated localy by the Client.
Reason 412: The Remote peer is no longer responded.

1      18:50:38.341  09/18/08  Sev=Warning/2    IKE/0xE300009B
Invalid SPI size (PayloadNotify:116)

2      18:50:38.341  09/18/08  Sev=Warning/3    IKE/0xA3000058
Received malformed message or negotiation no longer active (message id: 0x00000000)

4

Re: Настройка VPN+NAT на Cisco 851-K9 / 850 серия

Alexander
я про экцесс лист на интерфейсе.

5

Re: Настройка VPN+NAT на Cisco 851-K9 / 850 серия

И я про него.

 ip access-group Internet-inbound-ACL in
ip access-list extended Internet-inbound-ACL
 permit icmp any any echo
 permit icmp any any echo-reply
 permit icmp any any traceroute
 permit gre any any
 permit esp any any
 permit tcp any any
 permit udp any any

Он дает НАТ и в общем пускает VPN.
Без него ВПН не пахает, так же как и НАТ

6

Re: Настройка VPN+NAT на Cisco 851-K9 / 850 серия

Alexander
если с интрфейса снять экцес лист то вообще все должно работать, потмоу как все разрешено

7

Re: Настройка VPN+NAT на Cisco 851-K9 / 850 серия

я понял почему он тормозил с регистрацией в сети.
Я удалил  сейчас клиента ВПН циски, и авторизация с подключением срабатывает.
Но вот не видит он винды никак.
Выдан адрес 192.168.7.7
На сервере 192.168.7.2
У ВЛАН внутри киски 192.168.7.1
и что делать я не могу ума приложить.
Но вот снутри, с сервера 192.168.7.2, моя подключенная к ВПН машина 192.168.7.7 пингуется безе проблем smile

Шифрование как то тоже включить надо.

8

Re: Настройка VPN+NAT на Cisco 851-K9 / 850 серия

может на винде надо фаервол отрубить?)

9

Re: Настройка VPN+NAT на Cisco 851-K9 / 850 серия

Надо сервер ВПН ставить и не мучаться нам наверно smile
Я бы давно так сделал. Клиент правда изначально хочет циску и все. Я не могу проводить рекомендации, если меня не спрашивают. Вот и попал в такую ситуацию. Заказ выполнил , оборудование в стойке, но правда нихрена не пашет изза этого кривого ВПН на 851-К9 smile

10

Re: Настройка VPN+NAT на Cisco 851-K9 / 850 серия

надо всетаки попробовать побороть.. Вот у себя еще надо разгрести кучу хлама, я с командировки приехал и столько навалили сразу на меня, чт ужас.