как то я неправильно что ли гуглю, но никак не могу найти...
есть пров к которому подключаются через Cisco VPN Client... нужно чтоб 2811 подключалась клиентом к нему, вместо софтварного клиента... :search:

к прову через cisco vpn client?? а зачем?
какое подключение используется к прову? pptp,pppoe?

провайдер не интернета :) провайдер услуг :) через него проходят наши транзакции некоторые :)
у него там какой то агрегатор или что стоит... к которому все подключаются с использованием выданного каждому логина, пароля и пск... но софтварным клиентом... вот и интересует возможность отказа от этого клиента и подключения и руления каналом этим уже на циске :)

KEVin V., с провом на "обычный иписек" никак не договориться?

KEVin V., с провом на "обычный иписек" никак не договориться?
к сожалению - нет...
kevin_virs: а с ними на обычный айписек никак нельзя договориться?
Дмитрий: нет
Дмитрий: уже два года их пытаются уломать и никак

пока это выглядит так...

хм.. теоретически с той стороны стоит динамик криптомапа, в настройках группы на клиенте прешаред кей есть?

я так понимаю, что cisco vpn client коннектится к удалённой cisco easy vpn
надо пробовать этот easy vpn настроить как клиент на 2811 и пробовать коннектится

сам easy vpn я не настраивал, не подскажу..

я так понимаю, что cisco vpn client коннектится к удалённой cisco easy vpnне факт, я так софт клиента на пиксе 515е настраивал. Т.е пикс авторизовывал.

---------- Добавлено в 11:10 ---------- Предыдущее сообщение было написано в 11:09 ----------

в настройках группы на клиенте прешаред кей есть?конфиг клиента покажи, он там ввиде файла идет, логины/пароли/адреса сотри

сам easy vpn я не настраивал, не подскажу..
я его тоже в глаза не видел... и знаю о нем только то - что он существует :)
Со стороны прова ничего не могу дать... я даже не знаю что там стоит... все общение сводится к "Вы все п***сы, один я Д'Артаньян", вот вам дали данные необходимые для подключения - дальше сами сношайтесь... Просто кагбе республиканский провайдер, и монополист в своей сфере...

[main]
Description=
Host=*******
AuthType=1
GroupName=****
GroupPwd=
enc_GroupPwd=*****
EnableISPConnect=0
ISPConnectType=0
ISPConnect=kcell
ISPPhonebook=C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Pbk\rasphone.pb k
ISPCommand=
Username=****
SaveUserPassword=1
UserPassword=
enc_UserPassword=***
NTDomain=
EnableBackup=0
BackupServer=
EnableMSLogon=1
MSLogonType=0
EnableNat=1
TunnelingMode=0
TcpTunnelingPort=10000
CertStore=0
CertName=
CertPath=
CertSubjectName=
CertSerialHash=00000000000000000000000000000000
SendCertChain=0
PeerTimeout=90
EnableLocalLAN=0


---------- Добавлено в 14:25 ---------- Предыдущее сообщение было написано в 14:24 ----------

на клиенте включен нат траверсал, потому что за натом нахожусь :)
и как бы прешаред кей они тоже выдали нам...

---------- Добавлено в 14:30 ---------- Предыдущее сообщение было написано в 14:25 ----------

IP внешний: ****
IP внутренний 172.***

VPN GROUP: групнэйм

VPN preshared key пороль

VPN user пользюк

VPN user pass пороль

вот и все что я от них получил :)

VPN GROUP: групнэйм VPN preshared key пороль
там динамик криптомапа, зуб даю.
Узнать бы что за циска...
Я спрошу если конфиг не покажут, то только вечером погляжу чо как

---------- Добавлено в 11:36 ---------- Предыдущее сообщение было написано в 11:34 ----------

т.е какбе можно пойти методой "от обратного", ну или попробовать пойти

Узнать бы что за циска...
проблематично... :)
kevin_virs: что за циска там стоит?
Дмитрий: а хз
Дмитрий: помоему asa5000
Дмитрий: они не колятся

проблематично...
хинт nmap -sV -T4 -O -F --version-light 1.2.3.4 :)
если аса то с пиксом седьмой версии конфиги в этой части идентичные

---------- Добавлено в 11:49 ---------- Предыдущее сообщение было написано в 11:48 ----------

имхо стоит туда попробовать ezvpn клиентом стукнутся

ужо пробоваю... посмотрю :)

вообщем конфиг на пиксе для таких клиентов выглядит вот так

access-list KKKVPN extended permit ip 192.168.0.0 255.255.255.0 10.0.0.0 255.0.0.0

ip local pool KKKVPN 192.168.0.195-192.168.0.200

nat (inside) 0 access-list KKKVPN

crypto ipsec transform-set KKKVPN esp-des esp-md5-hmac

crypto dynamic-map KKKVPN 99 set transform-set KKKVPN

crypto map IPSEC 1500 ipsec-isakmp dynamic KKKVPN

tunnel-group KKKIT general-attributes
address-pool KKKVPN
default-group-policy KKKIT
tunnel-group KKKIT ipsec-attributes
pre-shared-key very strong preshared-key


---------- Добавлено в 12:05 ---------- Предыдущее сообщение было написано в 12:00 ----------

слим кажется в очумелых ручках про ezvpn client чето такое говорил

наваял следующее...


crypto ipsec client ezvpn PLINK
connect auto
group *** key ***
local-address Loopback2
mode client
peer ***
acl PLINK
username *** password ***
xauth userid mode local
!
interface Loopback2
description --PLINK--
ip address 172.16.4.115 255.255.255.255
!
interface FastEthernet0/0
description $ETH-WAN1-KT$
ip address 88.**** 255.255.255.252
ip access-group Public in
ip nat outside
ip inspect fw out
ip virtual-reassembly
duplex auto
speed auto
crypto map IPSEC
crypto ipsec client ezvpn PLINK
!
interface FastEthernet0/0/0
ip address 192.168.151.1 255.255.255.248
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
crypto ipsec client ezvpn PLINK inside
!
ip access-list extended PLINK
permit ip any host 192.168.169.70
permit ip any host 192.168.169.74
*Jan 13 09:36:25.841: EZVPN(PLINK): Current State: READY
*Jan 13 09:36:25.841: EZVPN(PLINK): Event: CONNECT_NEXT_PEER
*Jan 13 09:36:25.841: EZVPN(PLINK): ezvpn_close
*Jan 13 09:36:25.841: EZVPN(PLINK): nulling context
*Jan 13 09:36:25.841: EZVPN(PLINK): Deleted PSK for address ****
*Jan 13 09:36:25.841: EZVPN(PLINK): No Connect ACL checking status change
*Jan 13 09:36:25.841: EzVPN: Local Traffic Feature Deleted
*Jan 13 09:36:25.841: %CRYPTO-6-EZVPN_CONNECTION_DOWN: (Client) User= Group=*** Client_public_addr=**** Server_public_addr=***
*Jan 13 09:36:25.841: EZVPN(PLINK): Deleted PSK for address ***
*Jan 13 09:36:25.841: EZVPN(PLINK): New active peer is ***
*Jan 13 09:36:25.841: EZVPN(PLINK): Ready to connect to peer ***
*Jan 13 09:36:25.841: EZVPN(PLINK): Attempting to connect to peer ***
*Jan 13 09:36:25.841: EZVPN(PLINK): New State: CONNECT_REQUIRED
*Jan 13 09:36:25.845: EZVPN(PLINK): Current State: CONNECT_REQUIRED
*Jan 13 09:36:25.845: EZVPN(PLINK): Event: CONNECT
*Jan 13 09:36:25.845: EZVPN(PLINK): ezvpn_connect_request
*Jan 13 09:36:25.845: EZVPN(PLINK): Found valid peer ***
*Jan 13 09:36:25.845: EZVPN(PLINK): Added PSK for address ***
*Jan 13 09:36:25.845: EzVPN(PLINK): sleep jitter delay 1851
*Jan 13 09:36:27.697: EZVPN(PLINK): New State: READY
*Jan 13 09:36:27.713: EZVPN(PLINK): Current State: READY
*Jan 13 09:36:27.713: EZVPN(PLINK): Event: CONN_DOWN
*Jan 13 09:36:27.713: EZVPN(PLINK): event CONN_DOWN is not for us, ignoring (13/0:12)

kitty#sh cry ips cli ez
Easy VPN Remote Phase: 8

Tunnel name : PLINK
Inside interface list: FastEthernet0/0/0
Outside interface: FastEthernet0/0
Current State: READY
Last Event: CONN_DOWN
Save Password: Allowed
Current EzVPN Peer: ****

и нифига не понял :( работает или нет... с той стороны ицмп полностью закрыто... и не проверишь... то ли есть канал, то ли нет...

Router# show crypto ipsec client ezvpn

Current State: IPSEC ACTIVE
http://www.cisco.com/en/US/docs/ios/12_2/12_2y/12_2ya4/feature/guide/ftezvpcm.html#wp1031628
но меня смущщает отсутсвие 28хх в списке.
http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6635/ps6659/prod_white_paper0900aecd8061e2b3.html

---------- Добавлено в 12:58 ---------- Предыдущее сообщение было написано в 12:52 ----------

вот еще
http://www.ciscopress.com/articles/article.asp?p=421514&seqNum=3

вот еще http://www.ciscopress.com/articles/a...21514&seqNum=3
Example 4-3. EzVPN Client Mode Configuration

кагбе один в один мой конфиг... который наваял... авотхуй не работает...

кагбе один в один мой конфиг...
тада дебуги показывай

дебуги чего именно :)

а где?

int f0/0
cry ips cli ez PLINK out

завтра попробую... :)
на сегодня уже софтварный включил... время на настройку кончилось :(
завтра как будет время застопить, попробую...

int f0/0 cry ips cli ez PLINK out
out не обязательно писать,
и еще на локальном ифейсе нужно

cry ips cli ez PLINK ins


и еще

crypto ipsec client ezvpn PLINK
...
acl PLINK


acl тут не нужен

interface FastEthernet0/0
description $ETH-WAN1-KT$
ip address 88.**** 255.255.255.252
ip access-group Public in
ip nat outside
ip inspect fw out
ip virtual-reassembly
duplex auto
speed auto
crypto map IPSEC
crypto ipsec client ezvpn PLINK
!
interface FastEthernet0/0/0
ip address 192.168.151.1 255.255.255.248
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
crypto ipsec client ezvpn PLINK inside
инсайд есть, аутсайд раз не обязательно - и не прописан...
а почему акль не нужен? как она узнает что для айпи 192.168.169.70 нужно роутить в канал, на котором айпи
172.16.4.115

а почему акль не нужен? как она узнает что для айпи 192.168.169.70 нужно роутить в канал, на котором айпи 172.16.4.115
через приехавшую политику easyvpn сервера (split tunnel)

через приехавшую политику easyvpn сервера (split tunnel)
при этом в правило натящее в инет нужно будет добавить дени по этим адресам?

IPv4 Crypto ISAKMP SA
dst src state conn-id status
88.***** 195.**** QM_IDLE 1134 ACTIVE
212.***** 88.**** QM_IDLE 1133 ACTIVE
212.***** 172.***** AG_INIT_EXCH 0 ACTIVE
212.***** 172.**** MM_NO_STATE 0 ACTIVE (deleted)кхм, так и не устанавливается... почему правда в срц интерфейс созданный для нее...
*Jan 14 04:35:03.644: ISAKMP:(0): retransmitting phase 1 AG_INIT_EXCH...
*Jan 14 04:35:03.644: ISAKMP (0): incrementing error counter on sa, attempt 2 of 5: retransmit phase 1
*Jan 14 04:35:03.644: ISAKMP:(0): retransmitting phase 1 AG_INIT_EXCH
*Jan 14 04:35:03.644: ISAKMP:(0): sending packet to 212.**** my_port 500 peer_port 500 (I) AG_INIT_EXCH
*Jan 14 04:35:03.644: ISAKMP:(0):Sending an IKE IPv4 Packet.
*Jan 14 04:35:13.644: ISAKMP:(0): retransmitting phase 1 AG_INIT_EXCH...
*Jan 14 04:35:13.644: ISAKMP (0): incrementing error counter on sa, attempt 3 of 5: retransmit phase 1
*Jan 14 04:35:13.644: ISAKMP:(0): retransmitting phase 1 AG_INIT_EXCH
*Jan 14 04:35:13.644: ISAKMP:(0): sending packet to 212.**** my_port 500 peer_port 500 (I) AG_INIT_EXCHвалится я так понял еще на первой фазе... из-за чего не пойму...

---------- Добавлено в 10:51 ---------- Предыдущее сообщение было написано в 10:39 ----------

сейчас конфиг имеет вот такой вид...
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 1800
!
crypto isakmp policy 2
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp policy 3
encr aes
authentication pre-share
group 2
crypto isakmp keepalive 1800
crypto ipsec optional retry 3600
!
!
crypto ipsec transform-set NPS esp-3des esp-md5-hmac
!
crypto ipsec client ezvpn PLINK
connect auto
group **** key *****
local-address Loopback2
mode network-extension
peer *******
username **** password ****
!
interface Loopback2
description --PLINK--
ip address 172.16.4.115 255.255.255.255
!
interface FastEthernet0/0
description $ETH-WAN1-KT$
ip address 88.***** 255.255.255.252
ip access-group Public in
ip nat outside
ip inspect fw out
ip virtual-reassembly
duplex auto
speed auto
crypto map IPSEC
crypto ipsec client ezvpn PLINK
!
interface FastEthernet0/0/0
ip address 192.168.151.1 255.255.255.248
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
crypto ipsec client ezvpn PLINK inside
!
ip access-list extended NAT_to_Inet
deny ip 192.168.151.0 0.0.0.7 host 192.168.169.70
deny ip 192.168.151.0 0.0.0.7 host 192.168.169.74
deny ip 192.168.151.0 0.0.0.7 host 10.160.65.20
permit ip 192.168.151.0 0.0.0.7 any


---------- Добавлено в 10:54 ---------- Предыдущее сообщение было написано в 10:51 ----------

sh cry isa pol
показывает что для изивпн есть куча разных политик... ничего не понимаю :(

Interesting ports on 212.*****:
PORT STATE SERVICE VERSION
7/tcp open echo?
9/tcp open discard?
13/tcp open daytime?
21/tcp open ftp?
22/tcp open ssh Cisco SSH 1.25 (protocol 2.0)
23/tcp open telnet?
25/tcp open smtp?
26/tcp open rsftp?
37/tcp open time?
53/tcp open domain?
79/tcp open finger?
80/tcp open http MS ISA httpd
81/tcp open hosts2-ns?
88/tcp open kerberos-sec?
106/tcp open pop3pw?
110/tcp open pop3?
111/tcp open rpcbind?
113/tcp open auth?
119/tcp open nntp?
135/tcp open msrpc?
139/tcp open netbios-ssn?
143/tcp open imap?
144/tcp open news?
179/tcp open bgp?
199/tcp open smux?
389/tcp open ldap?
427/tcp open svrloc?
443/tcp open ssl/https?
444/tcp open snpp?
445/tcp open microsoft-ds?
465/tcp open smtps?
513/tcp open login?
514/tcp open shell?
515/tcp open printer?
543/tcp open klogin?
544/tcp open kshell?
548/tcp open afp?
554/tcp open rtsp?
587/tcp open submission?
631/tcp open ipp?
646/tcp open ldp?
873/tcp open rsync?
990/tcp open ftps?
993/tcp open imaps?
995/tcp open pop3s?
1025/tcp open NFS-or-IIS?
1026/tcp open LSA-or-nterm?
1027/tcp open IIS?
1028/tcp open unknown
1029/tcp open ms-lsa?
1110/tcp open nfsd-status?
1433/tcp open ms-sql-s?
1720/tcp open H.323/Q.931?
1723/tcp open pptp?
1755/tcp open wms?
1900/tcp open upnp?
2000/tcp open callbook?
2001/tcp open dc?
2049/tcp open nfs?
2121/tcp open ccproxy-ftp?
2717/tcp open unknown
3000/tcp open ppp?
3128/tcp open squid-http?
3306/tcp open mysql?
3389/tcp open ms-term-serv?
3986/tcp open mapper-ws_ethd?
4899/tcp open radmin?
5000/tcp open upnp?
5009/tcp open airport-admin?
5051/tcp open ida-agent?
5060/tcp open sip?
5101/tcp open admdog?
5190/tcp open aol?
5357/tcp open unknown
5432/tcp open postgresql?
5631/tcp open pcanywheredata?
5666/tcp open nrpe?
5800/tcp open vnc-http?
5900/tcp open vnc?
6000/tcp open X11?
6001/tcp open X11:1?
6646/tcp open unknown
7070/tcp open realserver?
8000/tcp open http-alt?
8008/tcp open http?
8009/tcp open ajp13?
8080/tcp open http-proxy?
8081/tcp open blackice-icecap?
8443/tcp open https-alt?
8888/tcp open sun-answerbook?
9100/tcp open jetdirect?
9999/tcp open abyss?
10000/tcp open snet-sensor-mgmt?
32768/tcp open unknown
49152/tcp open unknown
49153/tcp open unknown
49154/tcp open unknown
49155/tcp open unknown
49156/tcp open unknown
49157/tcp open unknown
1 service unrecognized despite returning data. If you know the service/version,
please submit the following fingerprint at http://www.insecure.org/cgi-bin/servi
cefp-submit.cgi :
SF-Port443-TCP:V=5.00%T=SSL%I=2%D=1/14%Time=4B4EC80C%P=i686-pc-windows-windows%r
(GetRequest,7E,"HTTP/1\.1\x20301\x20Moved\x20Permanently\r\nDate:\x20
SF:Thu,\x2014\x20Jan\x202010\x2007:29:27\x20UTC\r\ nConnection:\x20close\r\
SF:nLocation:\x20/admin/public/index\.html\r\n\r\n");
Warning: OSScan results may be unreliable because we could not find at least 1 o
pen and 1 closed port
OS fingerprint not ideal because: Missing a closed TCP port so results incomplet
e
No OS matches for host
Service Info: OSs: IOS, Windows

OS and Service detection performed. Please report any incorrect results at http:
//nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 148.48 seconds
для примера мой:
некоторые порты значатся открытыми потому что в акле айпи с которого сканил находится в пермит эни...
Interesting ports on *****:
Not shown: 89 closed ports
PORT STATE SERVICE VERSION
21/tcp open ftp?
22/tcp open tcpwrapped
23/tcp open telnet Cisco router
25/tcp open smtp?
53/tcp open domain ISC BIND WinDNS 10.1
80/tcp open http Apache httpd 2.2.9 ((Debian) PHP/5.2.6-1+lenny3 w
ith Suhosin-Patch mod_python/3.3.1 Python/2.5.2 mod_ssl/2.2.9 OpenSSL/0.9.8g)
110/tcp open pop3 CommuniGate Pro 5.2.16
139/tcp filtered netbios-ssn
443/tcp open ssl/http Apache httpd 2.2.9 ((Debian) PHP/5.2.6-1+lenny3 w
ith Suhosin-Patch mod_python/3.3.1 Python/2.5.2 mod_ssl/2.2.9 OpenSSL/0.9.8g)
445/tcp filtered microsoft-ds
5190/tcp filtered aol
1 service unrecognized despite returning data. If you know the service/version,
please submit the following fingerprint at http://www.insecure.org/cgi-bin/servi
cefp-submit.cgi :
SF-Port25-TCP:V=5.00%I=2%D=1/14%Time=4B4EC940%P=i686-pc-windows-windows%r(
SF:NULL,D,"220\x20postfix\r\n")%r(Hello,FC,"220\x20postfix\r\n250-***\
SF:.kz\x20domain\x20name\x20should\x20be\x20qualif ied\x20\r\n250-DSN\r\n25
SF:0-SIZE\r\n250-STARTTLS\r\n250-AUTH\x20LOGIN\x20PLAIN\x20CRAM-MD5\x20DIG
SF:EST-MD5\x20GSSAPI\x20MSN\x20NTLM\r\n250-ETRN\r\n250-TURN\r\n250-ATRN\r\
SF:n250-NO-SOLICITING\r\n250-8BITMIME\r\n250-HELP\r\n250-PIPELINING\r\n250
SF:\x20EHLO\r\n")%r(Help,23,"477\x20you\x20did\x20not\x20wait\x20for\x20a\
SF:x20prompt\r\n");
Aggressive OS guesses: Orange Livebox wireless DSL router or Sagem F@st 334 DSL
router (91%), Sagem F@st 3302 DSL router (91%), Netcomm V300 VoIP gateway (91%),
Netgear WGR614v7 wireless broadband router (90%), Cisco 2821 of 7206VXR router
(88%), Cisco 3750 switch (IOS 12.2) (88%), Cisco Catalyst 2960 or 3600 switch (8
8%), Cisco Catalyst 1900 Switch, Software v9.00.03 (86%), Cisco 3560G switch (IO
S 12.2) (86%), Cisco Catalyst 3500 XL switch (IOS 12.0) (86%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 3 hops
Service Info: OS: IOS; Device: router

OS and Service detection performed. Please report any incorrect results at http:
//nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 80.93 seconds

Жень
http://www.certification.ru/cgi-bin/forum.cgi?action=thread&id=27814

---------- Добавлено в 10:43 ---------- Предыдущее сообщение было написано в 10:42 ----------

http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080808395 .shtml

все таки выбил конфиг с обратной стороны :) стоит аса5500
group-policy APLAT internal
group-policy APLAT attributes
banner none
vpn-access-hours none
vpn-simultaneous-logins 3
vpn-idle-timeout none
vpn-session-timeout none
vpn-filter value VPN-APLAT-ACL
vpn-tunnel-protocol IPSec
password-storage enable
ip-comp disable
re-xauth enable
group-lock none
pfs disable
ipsec-udp enable
ipsec-udp-port 10000
split-tunnel-policy tunnelspecified
split-tunnel-network-list value APLAT_splitTunnelAcl
split-dns none
secure-unit-authentication disable
user-authentication disable
user-authentication-idle-timeout 30
ip-phone-bypass disable
leap-bypass disable
nem disable
client-firewall none
client-access-rule none
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp policy 30
authentication crack
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp policy 50
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5изменил у себя.... один фиг не подключается :(

pfs group одинаковые?

crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
это они конечно зачотно придумали

---------- Добавлено в 13:26 ---------- Предыдущее сообщение было написано в 13:24 ----------

все таки выбил конфиг
дык может они прогнуться на обычный иписек?

поднял канал... теперь проблема с роутингом... не хотят туда пакеты уходить... а сплит походу не приходит...

дык показывай чего не ходит

еще бы у них tunnel-group попросить...,
и за чем такой изврат в виде
local-address Loopback2 ?

---------- Добавлено в 15:23 ---------- Предыдущее сообщение было написано в 15:21 ----------

а сплит походу не приходит...
сплит можно посмотреть
sh cry ip sa

protected vrf: (none)
local ident (addr/mask/prot/port): (172.16.84.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (172.16.0.0/255.255.0.0/0/0)


---------- Добавлено в 15:26 ---------- Предыдущее сообщение было написано в 15:23 ----------

esyvpn тем и хорошь что на клиенте кроме

crypto ipsec client ezvpn NAME
connect auto
group GROUP key KEY
mode network-extension
peer PEER
username USERNAME password USERNAME
xauth userid mode local
и применения этого к интерфейсам ничего делать не надо, все остальное прийдет от сервера!!!
даже правила для NAT-a :D

local-address Loopback2
первое что в голову пришло при реализации... адрес на локале отличается от подсети сплита... теперь завтра уже с утра продолжу...

еще бы у них tunnel-group попросить...
не дадут... у них там долбанутая система и за них все решили и защитили и прочее, и типа сказали будет так и неипёт... ни айписека ни групп не дадут... конфиг то кое как выбил...

конфиг то кое как выбил..
ну я про то чтобы они его просто показали

interface: FastEthernet0/0
Crypto map tag: FastEthernet0/0-head-0, local addr 192.168.151.1

protected vrf: (none)
local ident (addr/mask/prot/port): (172.16.4.115/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 212.***** port 4500
PERMIT, flags={origin_is_acl,}кажись не приходит сплит от них :(
в логе дебага иногда проскакивает:
*Jan 15 03:57:21.752: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=88.******, prot=50, spi=0x81C13AB0(2176924336), srcaddr=212.*****
*Jan 15 03:57:21.752: ISAKMP: ignoring request to send delete notify (no ISAKMP sa) src 88.**** dst 212.**** for SPI 0x81C13AB0
*Jan 15 03:57:30.824: ISAKMP: ignoring request to send delete notify (no ISAKMP sa) src 88.**** dst 212.**** for SPI 0x81C13AB0

текущий конфиг...
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 1800
!
crypto isakmp policy 2
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp keepalive 1800
crypto ipsec optional retry 3600
!
!
crypto ipsec transform-set NPS esp-3des esp-md5-hmac
!
!
!
crypto ipsec client ezvpn PLINK
connect auto
group **** key ****
local-address FastEthernet0/0/0
mode client
peer 212.****
username ***** password ******
xauth userid mode local
!
interface FastEthernet0/0
description $ETH-WAN1-KT$
ip address 88.**** 255.255.255.252
ip access-group Public in
ip nat outside
ip inspect fw out
ip virtual-reassembly
duplex auto
speed auto
crypto map IPSEC
crypto ipsec client ezvpn PLINK
!
interface FastEthernet0/0/0
ip address 192.168.151.1 255.255.255.248
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
crypto ipsec client ezvpn PLINK inside
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 88.*****
no ip http server
no ip http secure-server
!
!
ip nat inside source list NAT_to_Inet interface FastEthernet0/0 overload
!
ip access-list extended NAT_to_Inet
deny ip 192.168.151.0 0.0.0.7 host 192.168.169.70
deny ip 192.168.151.0 0.0.0.7 host 192.168.169.74
deny ip 192.168.151.0 0.0.0.7 host 10.160.65.20
permit ip 192.168.151.0 0.0.0.7 any


#sh int loo 10000
Loopback10000 is up, line protocol is up
Hardware is Loopback
Description: *** Internally created by EzVPN ***
Internet address is 172.16.4.115/32
MTU 1514 bytes, BW 8000000 Kbit/sec, DLY 5000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation LOOPBACK, loopback not set
Last input 00:08:33, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/0 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 unknown protocol drops
0 output buffer failures, 0 output buffers swapped out

#sh ip route
Gateway of last resort is 88.***** to network 0.0.0.0

192.168.151.0/29 is subnetted, 1 subnets
C 192.168.151.0 is directly connected, FastEthernet0/0/0
172.16.0.0/32 is subnetted, 1 subnets
C 172.16.4.115 is directly connected, Loopback10000
88.0.0.0/30 is subnetted, 1 subnets
C 88.**** is directly connected, FastEthernet0/0
S* 0.0.0.0/0 [1/0] via 88.*****

туннель груп
tunnel-group **** type remote-access
tunnel-group **** general-attributes
address-pool ****Pool
default-group-policy ****
tunnel-group **** ipsec-attributes
pre-shared-key *

всетаки client-mode а не network-ext?
в таком случае вам надо натить весь интересный трафик в 172.16.4.115, но тк этот адрес вам выдается динамически с изисервера, хз как это будет работать :)

пробовал нетворк-экст... не устанавливается канал... начинает устанавливаться - и сразу разрывается... и по новой...
а в клиент моде весь вообще трафик почему то начал натится в созданный интерфейс... смотрел по deb ip nat (сцуко жостко подвешивает кошку дебаг этот :()

Жень, нарисуй схему, а? Кто куда у тебя ходить должон

смотрел по deb ip nat (сцуко жостко подвешивает кошку дебаг этот :()

потому что ты дебажишь весь трафик, который натица.
а ты дебажь только тот, который тебе нужен:

acce 99 perm host 172.16.4.115 host ...
deb ip nat 99

кхм... подсеть 192.168.151.0/28 - в инет, а по адресам 192.168.169.70 и 192.168.169.74 - в туннель от изивпн :)

---------- Добавлено в 15:40 ---------- Предыдущее сообщение было написано в 15:27 ----------

на текущий момент при поднятом канале - весь трафик утекает туда, если включить режим нетворк экстеншен - канал даже не поднимается...
crypto ipsec client ezvpn PLINK
connect auto
group *** key ***
local-address FastEthernet0/0/0
mode network-plus
peer 212.***
username *** password ***
xauth userid mode localа так поднимается, но в него не уходят (или не возвращаются) пакеты для хостов 192.168.169.74 и 192.168.169.70.
хотя как бы политика сплита пришла:
protected vrf: (none)
local ident (addr/mask/prot/port): (172.16.4.115/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (192.168.169.70/255.255.255.255/0/0)
current_peer 212.***** port 4500
PERMIT, flags={origin_is_acl,}

protected vrf: (none)
local ident (addr/mask/prot/port): (172.16.4.115/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (192.168.169.74/255.255.255.255/0/0)
current_peer 212.***** port 4500
PERMIT, flags={origin_is_acl,}

уходить буду толь если источник 172.16.4.115, а у тебя источники 192.168.151.0/28

kitty(config)#acce 99 perm ho 192.168.150.2 log
kitty(config)#acce 98 perm ho 192.168.169.74 log
kitty#deb ip nat 98
kitty#deb ip nat 99
и в логе пусто :(

слушай. Получается, что у тебя сеть 172.16.чегото.там (из которой отправляются запросы к сервис-провайдеру) маршрутизируется не на той кошке, с которой у тебя туннель строится ??

вроде получилось настроить и вроде как заработало... но сломалось при этом другое...
итак, имеем такой конфиг:
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 1800
!
crypto isakmp policy 2
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key **** address 212.****
crypto isakmp keepalive 1800
crypto ipsec optional retry 3600
!
!
crypto ipsec transform-set NPS esp-3des esp-md5-hmac
!
crypto ipsec client ezvpn PLINK
connect auto
group *** key ***
mode client
peer ****
username **** password *****
xauth userid mode local
!
!
crypto map IPSEC 1 ipsec-isakmp
description --NPS--
set peer 212.****
set transform-set NPS
match address NPS
!
interface FastEthernet0/0
description $ETH-WAN1-KT$
ip address 88.***** 255.255.255.252
ip access-group Public in
ip nat outside
ip inspect fw out
ip virtual-reassembly
duplex auto
speed auto
crypto ipsec client ezvpn PLINK
crypto map IPSEC
!
interface FastEthernet0/0/0
ip address 192.168.151.1 255.255.255.248
ip nat inside
ip virtual-reassembly
ip policy route-map NAT
duplex auto
speed auto
crypto ipsec client ezvpn PLINK inside
!
ip nat inside source list NAT_to_Inet interface FastEthernet0/0 overload
!
ip access-list extended NAT_to_Inet
deny ip 192.168.151.0 0.0.0.7 host 192.168.169.70
deny ip 192.168.151.0 0.0.0.7 host 192.168.169.74
deny ip 192.168.151.0 0.0.0.7 host 10.160.65.20
permit ip 192.168.151.0 0.0.0.7 any
ip access-list extended NPS
permit ip 192.168.151.0 0.0.0.7 host 10.160.65.20
deny ip any any
ip access-list extended PLINK
permit ip 192.168.151.0 0.0.0.7 host 192.168.169.70
permit ip 192.168.151.0 0.0.0.7 host 192.168.169.74
deny ip any any
!
route-map NAT permit 10
match ip address PLINK
match interface Loopback10000
!
route-map NAT permit 20
match ip address NAT_to_Inet
set ip next-hop 88.****
все работает, оба канала подняты...

IPv4 Crypto ISAKMP SA
dst src state conn-id status
212.**** 88.**** QM_IDLE 1469 ACTIVE (PLINK)
88.***** 212.**** QM_IDLE 1468 ACTIVE (NPS)
как видим перестает матчится IPSEC, трасерт при этому уходит в инет...

>ping 10.160.65.20

Pinging 10.160.65.20 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 10.160.65.20:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),убираем плинк с интерфейсов...

kitty(config)#int fa 0/0
kitty(config-if)#no cry ip cli ez PLINK
kitty(config-if)#exit
kitty(config)#int fa 0/0/0
kitty(config-if)#no cry ip cli ez PLINK ins
kitty(config-if)#end
IPSEC начинает нормально матчиться...
>ping 10.160.65.20

Pinging 10.160.65.20 with 32 bytes of data:

Reply from 10.160.65.20: bytes=32 time=60ms TTL=126
Reply from 10.160.65.20: bytes=32 time=66ms TTL=126
Reply from 10.160.65.20: bytes=32 time=55ms TTL=126
Reply from 10.160.65.20: bytes=32 time=56ms TTL=126

Ping statistics for 10.160.65.20:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 55ms, Maximum = 66ms, Average = 59msнифига не понимаю :( :unsure:

вот тут то и надо вставлять acl с матчами твоего второго туннеля в описание изивпн клиента

crypto ipsec client ezvpn PLINK
acl NPS

acl с матчами твоего второго туннеля в описание изивпн клиента
второй туннель совсем к другому прову... ща проверил - не работает... по подключению PLINK не открывается страница, зато пингуется NPS, и не работает нат для сети, то есть в инет серваки не могут выйти... трасерт встает на кошке...
Да и на ней у меня не один айписек туннель... их там много... и на каждый акль не добавишь в описание подключения...

а у меня именно так и работает :) , и не только у меня (см. cisco.com)
а что да
и на каждый акль не добавишь в описание подключения...
отдельный acl создай где опиши все свои туннели...

а вообще изивпн клиент это зло для топологии где на клиенте нужны особые настройки ната, нат практически неуправляемый (почти все локальные настройки игнорируются пока жив тунель),

То есть конфиг я составил правильно? С использованием роутмапов.
А в отдельном акле просто прописать подсети этих туннелей? :)
Кинь линком на кошко.ком если не трудно :)

победил их :)
итоговая конфигурация:

изменения на стороне концентратора:
group-policy !GROUP_NAME! attributes
nem disable - перевести в enable

клиентская конфигурация:

crypto ipsec client ezvpn PLINK
connect auto
group !GROUP_NAME! key !GROUP_PASSWORD!
mode network-extension
peer !PLINK_EXTERNAL_PEER!
username !USERNAME! password !PASSWORD!
xauth userid mode local
!
interface Loopback1
description --PLINK--
ip address 172.16.4.xxx 255.255.255.255
ip virtual-reassembly
crypto ipsec client ezvpn PLINK inside
!
interface FastEthernet0/0
description $YOUR_EXTERNAL_INTERFACE$
ip address !YOUR_EXTERNAL_IP!
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto ipsec client ezvpn PLINK
!
ip nat inside source list NAT_to_Inet interface FastEthernet0/0 overload
ip nat inside source list PLINK interface Loopback1 overload
!
ip access-list extended NAT_to_Inet
deny ip !YOUR_INTERNAL_NETWORK! host 192.168.169.70
deny ip !YOUR_INTERNAL_NETWORK! host 192.168.169.74
permit ip !YOUR_INTERNAL_NETWORK! any
ip access-list extended PLINK
permit ip !YOUR_INTERNAL_NETWORK! host 192.168.169.70
permit ip !YOUR_INTERNAL_NETWORK! host 192.168.169.74
при этом работают и нормально матчатся другие айписек туннели :)

Жень, победный конфиг бы закинул в очумелые руки. Для потомков :)