Γειά σας παιδιά. Τον τελευταίο καιρό αντιμετωπίζω ένα πολύ χαζό πρόβλημα με τον ρούτερ μου και το configuration του. Ύστερα από κάποιους αιώνες που μου πήρε να το κάνω να δουλέψει όπως ήθελα με το ADSL interface του κατάφερα να μπώ τελικά στο internet. Τώρα θέλω να κάνω κάτι λίγο πιο σύνθετο. Θα ήθελα να τον ρυθμίσω κατάλληλα ώστε να μπορώ να μπαίνω στο σπίτι μου από το γραφείο ή οπουδήποτε αλλού έχω μαζί μου το laptop με τον VPN client. Αναβαθμίζοντας και χρησιμοποιώντας το SDM v.2.4.1 ακολούθησα πιστά τις οδηγίες για το στήσιμο ενός Easy VPN server. Μόλις τελείωσε και τεστάρισα το configuration με επιλογή που είχε το πρόγραμμα τότε όλα έδειχνε να παίζουν ΟΚ. Μόλις προσπάθησα όμως να κάνω δοκιμή από το laptop μου και να συνδεθώ μέσω του VPN client στο εσωτερικό μου δίκτυο δεν τα κατάφερα. Παρακάτω σας δίνω το configuration file σε περίπτωση που μπορεί κάποιος να με βοηθήσει.
Η τοπολογία του δικτύου μου είναι η εξής.
[Ιντερνετ] <----> (STATIC PUBLIC IP) [1721 Router] (10.0.0.138) <----> (10.0.0.1) [Proxy/Firewall/Mail/DNS/DHCP/AAA server] (192.168.0.254) <-----> (192.168.0.x) [HOME PC]
======================================================
===============================================Κώδικας:CONFIGURATION FILE: Current configuration : 7419 bytes ! ! Last configuration change at 07:16:36 UTC Wed Aug 22 2007 ! version 12.3 service timestamps debug datetime localtime show-timezone service timestamps log datetime localtime show-timezone no service password-encryption ! hostname router ! boot-start-marker boot system flash c1700-k9o3sy7-mz.123-2.XE.bin boot-end-marker ! logging buffered 4096 debugging no logging console enable secret 5 xxxxxxxxxxxxxxxxxxxx ! username root privilege 15 password 0 xxxxxxxxxxxxxxx aaa new-model ! ! aaa authentication login default local aaa authentication login sdm_vpn_xauth_ml_1 group radius local aaa authorization exec default local aaa authorization network sdm_vpn_group_ml_1 local aaa session-id common ip subnet-zero ! ! ! ! ip name-server xxxxxxxxxxxxxx ip name-server xxxxxxxxxxxxxx ip cef ip audit notify log ip audit po max-events 100 no ftp-server write-enable no scripting tcl init no scripting tcl encdir ! ! ! ! ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp xauth timeout 15 ! crypto isakmp client configuration group vpn key xxxxxxxxxxxxxx dns 192.168.0.10 pool SDM_POOL_1 max-users 10 ! ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac ! crypto dynamic-map SDM_DYNMAP_1 1 set transform-set ESP-3DES-SHA reverse-route ! ! crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1 crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1 crypto map SDM_CMAP_1 client configuration address respond crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1 ! ! ! class-map match-all pop-traffic description pop traffic from xxxxxxxxxx match access-group 103 class-map match-any http-traffic description http traffic match access-group 102 class-map match-all smtp-traffic description mail traffic from and to xxxxxxxxxx match access-group 101 ! ! policy-map inbound-traffic class pop-traffic bandwidth 1024 class http-traffic priority 3072 class class-default fair-queue policy-map outbound-traffic class smtp-traffic bandwidth 128 class http-traffic priority 128 class class-default fair-queue ! ! ! interface ATM0 no ip address no atm ilmi-keepalive pvc 8/35 encapsulation aal5mux ppp dialer dialer pool-member 1 ! dsl operating-mode auto hold-queue 224 in ! interface FastEthernet0 description LAN ip address 10.0.0.138 255.255.255.0 ip nat inside speed auto no cdp enable hold-queue 100 out ! interface Dialer1 bandwidth 256 ip address negotiated no ip redirects ip nat outside encapsulation ppp dialer pool 1 ppp authentication chap pap callin ppp chap hostname xxxxxxxxxxxxxx ppp chap password 0 xxxxxxxxxxxxx ppp pap sent-username xxxxxxxxxxxx password 0 xxxxxxxxxxxxxxxxxx ppp multilink ppp multilink fragment delay 8 ppp multilink interleave crypto map SDM_CMAP_1 ! ip local pool SDM_POOL_1 192.168.1.10 192.168.1.20 ip nat inside source route-map SDM_RMAP_1 interface Dialer1 overload ip nat inside source static tcp 10.0.0.1 22 interface Dialer1 22 ip nat inside source static tcp 10.0.0.1 110 interface Dialer1 110 ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 192.168.0.0 255.255.255.0 10.0.0.1 ip http server ip http access-class 1 ip http authentication local ip http secure-server ! ! ! logging trap debugging logging facility local4 logging source-interface FastEthernet0 logging 10.0.0.1 access-list 1 permit 10.0.0.1 access-list 1 permit 192.168.1.1 access-list 1 permit 192.168.0.0 0.0.0.255 access-list 101 permit tcp any host 216.127.88.32 eq smtp access-list 102 permit tcp any any eq www access-list 102 permit tcp any any eq 443 access-list 102 permit tcp any any eq ftp access-list 102 permit tcp any any eq ftp-data access-list 102 permit tcp any eq www any access-list 102 permit tcp any eq 443 any access-list 102 permit tcp any eq ftp any access-list 102 permit tcp any eq ftp-data any access-list 102 permit tcp any any eq 554 access-list 102 permit tcp any eq 554 any access-list 150 remark SDM_ACL Category=16 access-list 150 deny ip any host 192.168.1.10 access-list 150 deny ip any host 192.168.1.11 access-list 150 deny ip any host 192.168.1.12 access-list 150 deny ip any host 192.168.1.13 access-list 150 deny ip any host 192.168.1.14 access-list 150 deny ip any host 192.168.1.15 access-list 150 deny ip any host 192.168.1.16 access-list 150 deny ip any host 192.168.1.17 access-list 150 deny ip any host 192.168.1.18 access-list 150 deny ip any host 192.168.1.19 access-list 150 deny ip any host 192.168.1.20 access-list 150 deny icmp any any access-list 150 deny ip any 10.36.0.1 0.0.0.10 access-list 150 permit ip host 10.0.0.1 any access-list 150 permit ip 192.168.0.0 0.0.0.255 any access-list 190 remark permit IPSec VPN pass-through, IPSec NATT access-list 190 remark SDM_ACL Category=4 access-list 190 permit esp any any access-list 190 permit ahp any any access-list 190 permit udp any any eq isakmp access-list 190 permit udp any any eq non500-isakmp access-list 190 permit udp any any eq 10000 access-list 190 permit tcp any any eq 10000 snmp-server community xxxxxxx RO snmp-server trap-source FastEthernet0 snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart snmp-server enable traps tty snmp-server enable traps isdn call-information snmp-server enable traps isdn layer2 snmp-server enable traps isdn chan-not-avail snmp-server enable traps isdn ietf snmp-server enable traps hsrp snmp-server enable traps config snmp-server enable traps entity snmp-server enable traps cpu threshold snmp-server enable traps flash insertion removal snmp-server enable traps frame-relay snmp-server enable traps frame-relay subif snmp-server enable traps ospf state-change snmp-server enable traps ospf errors snmp-server enable traps ospf retransmit snmp-server enable traps ospf lsa snmp-server enable traps ospf cisco-specific state-change snmp-server enable traps ospf cisco-specific errors snmp-server enable traps ospf cisco-specific retransmit snmp-server enable traps ospf cisco-specific lsa snmp-server enable traps syslog snmp-server enable traps cnpd snmp-server enable traps rtr snmp-server enable traps atm pvc snmp-server enable traps atm subif snmp-server enable traps pim neighbor-change rp-mapping-change invalid-pim-message snmp-server enable traps ipmulticast snmp-server enable traps msdp snmp-server enable traps rsvp snmp-server enable traps pppoe snmp-server enable traps l2tun session snmp-server enable traps bgp snmp-server enable traps ipmobile snmp-server enable traps isakmp policy add snmp-server enable traps isakmp policy delete snmp-server enable traps isakmp tunnel start snmp-server enable traps isakmp tunnel stop snmp-server enable traps ipsec cryptomap add snmp-server enable traps ipsec cryptomap delete snmp-server enable traps ipsec cryptomap attach snmp-server enable traps ipsec cryptomap detach snmp-server enable traps ipsec tunnel start snmp-server enable traps ipsec tunnel stop snmp-server enable traps ipsec too-many-sas ! route-map SDM_RMAP_1 permit 1 match ip address 150 ! radius-server host 192.168.0.254 auth-port 1812 acct-port 1813 key xxxxxxxxxxxx ! control-plane ! ! line con 0 line aux 0 line vty 0 4 access-class 1 in transport input telnet ssh ! ntp clock-period 17179911 ntp peer 10.0.0.1 ! end
Κοιτώντας τα logs του VPN CLIENT μου εμφανίζει σε ένα από τα μυνήματα που μόλις πατάω να κάνω connect οτι RECEIVED ISAKMP packet peer = xxx.xxx.xxx.xxx και μετά στο αμέσως επόμενο μύνημα εμφανίζει Invalid SPI size (PayloadNotify: 116) και ύστερα προσπαθεί να κάνει retrnasmit το τελευταίο πακέτο χωρίς καμία επιτυχία μέχρι που ο client τερματίζει τις προσπάθειες του.
Αν κάποιος γνωρίζει τί μπορεί να φταίει ή αν εντοπίζει κάτι λάθος στο configuration file ας μου δώσει τα φώτα του.
Ευχαριστώ πολύ.
Κώστας
Υ.Γ. Έχω δοκιμάσει ακόμα και με κλειστό το Firewall που τρέχει στον Proxy μου αλλά πάλι τίποτα. Όσο δουλεύει το Firewall πάντως έχω ανοίξει πόρτες και παράθυρα στον proxy μου στις πόρτες 500, 10000, 1812.
Εμφάνιση 1-10 από 10
-
22-08-07, 12:12 CISCO 1721 router VPN Configuration #1
Τελευταία επεξεργασία από το μέλος nnn : 22-08-07 στις 23:22. Αιτία: χρήση code tag
-
04-09-07, 11:18 Απάντηση: CISCO 1721 router VPN Configuration #2
Απ' ότι φαίνεται δεν υπάρχει κάποιος που να μπορεί να με βοηθήσει με το πρόβλημά μου. Έχω φτάσει σε καλό δρόμο από την τελευταία φορά που πόσταρα ψάχνοντας μόνος μου
Το μόνο που ακόμα δεν έχω καταφέρει είναι να βλέπω τις εσωτερικές μου IPs από έξω. Το ανάποδο δουλεύει. Είναι θέμα routing δηλαδή αλλά αν έχει κανείς κάποια ιδέα για το τι routes χρειάζεται να έχω θα ήταν θετικό.
Ευχαριστώ και πάλι
Κώστας.
-
04-09-07, 11:59 Απάντηση: CISCO 1721 router VPN Configuration #3
-
04-09-07, 12:21 Απάντηση: CISCO 1721 router VPN Configuration #4
Ευχαριστώ για την απάντηση καταρχάς.
Γενικά έχω 2 subnets
192.168.0.xxx για τις εσωτερικές μου IPs
και δίνω από το IP Pool του ρούτερ 192.168.1.xxx για όταν συνδεθώ από έξω μέσω vpn
Από μέσα από το ιntranet μπορώ να δώ τις εξωτερικές IPs. Από έξω όμως δυσκολεύομαι γιατί δεν ξέρω τί route να βάλω.Τελευταία επεξεργασία από το μέλος treloskostas : 04-09-07 στις 12:21.
-
04-09-07, 14:18 Απάντηση: CISCO 1721 router VPN Configuration #5
οταν λες ότι τις βλέπεις τι εννοείς? μπορείς να κάνεις ping?
είσαι σε ένα pc με IP 192.168.0.xx και μπορείς να κάνεις ping ενα pc που έχει κάνει connect μέσω vpn και έχει πάρει IP 192.168.1.xx?
-
04-09-07, 16:43 Απάντηση: CISCO 1721 router VPN Configuration #6
Εσωτερικά στο δίκτυό μου έχω 192.168.0.xxx ενώ
οι remote χρήστης που θέλει να συνδεθεί στο εσωτερικό μου δίκτυο παίρνει IP του τύπου 192.168.1.xxx
Από το εσωτερικό μου δίκτυο μπορώ και κάνω ping το remote pc, αλλά από το remote pc δεν μπορώ να κάνω ping οποιαδήποτε εσωτερική IP.
O proxy μου έχει το εξής routing table
Κώδικας:Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo 0.0.0.0 10.0.0.138 0.0.0.0 UG 0 0 0 eth1
Κώδικας:=========================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.15 100 xx.xx.xx.xx 255.255.255.255 On-link yy.yy.yy.yy 100 127.0.0.0 255.0.0.0 On-link 127.0.0.1 4531 127.0.0.1 255.255.255.255 On-link 127.0.0.1 4531 127.255.255.255 255.255.255.255 On-link 127.0.0.1 4531 192.168.1.0 255.255.255.0 On-link 192.168.1.15 306 192.168.1.15 255.255.255.255 On-link 192.168.1.15 306 192.168.1.255 255.255.255.255 On-link 192.168.1.15 306 224.0.0.0 240.0.0.0 On-link 127.0.0.1 4531 224.0.0.0 240.0.0.0 On-link yy.yy.yy.yy 51 224.0.0.0 240.0.0.0 On-link 192.168.1.15 306 255.255.255.255 255.255.255.255 On-link 127.0.0.1 4531 255.255.255.255 255.255.255.255 On-link yy.yy.yy.yy 306 255.255.255.255 255.255.255.255 On-link 192.168.1.15 306 =========================================================================== Persistent Routes: None
Ευχαριστώ και πάλι
K.
-
04-09-07, 17:09 Απάντηση: CISCO 1721 router VPN Configuration #7
αφού από κάποιο pc με 192.168.0.χχ μπορεις να κάνεις ping σε 192.168.1.χχ σημαίνει τα εξής πράγματα:
το 192.168.0.χχ ξέρει πως να φτάσει στο 192.168.1.χχ και του στέλνει icmp echo request
το 192.168.1.χχ ξέρει πως να φτάσει στο 192.168.0.χχ και του επιστρέφει echo reply.
Συνεπώς κατά 99% δεν υπάρχει πρόβλημα routing
Αυτό μπορείς να το επιβεβαιώσεις πχ αν κανεις στο proxy "tcpdump -i eth1 host 192.168.1.15" κλπ κλπ.
Μήπως στο proxy μηχανημα τρέχεις πχ. iptables και δεν αφήνεις inbound traffic να περάσει μέσα από τον proxy?
από την άλλη βλέπω και ένα περίεργο route στον proxy:
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
αυτό πως το έχεις κάνει? λογικά αφού έχεις default στο 10.0.0.138 αυτό είναι περιττό και μπορεί και να δημιουργεί κάποιο προβληματάκι...
-
04-09-07, 19:42 Απάντηση: CISCO 1721 router VPN Configuration #8
Στον proxy τρέχει κάποιο firewall που λέγεται shorewall. Με το shorewall είτε το κλείσω εντελώς (όπου φαντάζομαι τότε ανοίγουν όλες οι πόρτες) είτε το αφήσω ανοιχτό και προσθέσω rules να αφήνει συγκεκριμένα ports ανοιχτά, ΔΕΝ βλέπω καμία διαφορετική συμπεριφορά. Όσο δεν είχα πάντως το route που ανέφερες προηγουμένως δεν μπορούσα να κάνω ping απο ή προς το εσωτερικό μου δίκτυο χρησιμοποιώντας το laptop
-
04-09-07, 19:51 Απάντηση: CISCO 1721 router VPN Configuration #9
Πάντως πρόκειται να είναι μια χαζή λεπτομέρια που στο τέλος είμαι σίγουρος πως θα κοπανάω κεφάλι μου στον τοίχο. Θα δοκιμάσω πάντως να κάνω αυτό που λές με το tcpdump και θα ποστάρω εντυπώσεις και αποτελέσματα.
Ευχαριστώ και πάλι.
ΚώσταςΤελευταία επεξεργασία από το μέλος treloskostas : 04-09-07 στις 19:52.
-
06-09-07, 01:13 Απάντηση: CISCO 1721 router VPN Configuration #10
Τελικά το πρόβλημά μου λύθηκε ύστερα από αρκετό πειραματισμό και δοκιμές. Έπρεπε να προστεθεί κάποιο επιπλέον route στον cisco και να προστεθούν ακόμα κάποια rules στο firewall.
Ευχαριστώ πολύ για την βοήθεια που μου δώσατε.
Κώστας
Παρόμοια Θέματα
-
cisco 1721 vpn setup
Από fadunis στο φόρουμ Cisco ADSL modems και routersΜηνύματα: 2Τελευταίο Μήνυμα: 24-02-07, 18:58 -
Cisco Router 1721
Από kvag στο φόρουμ Cisco ADSL modems και routersΜηνύματα: 3Τελευταίο Μήνυμα: 03-04-05, 22:54
Bookmarks