Сообщения без ответов | Активные темы Текущее время: 25 мар 2019, 10:46



Ответить на тему  [ Сообщений: 6 ] 
4331 настройка easy vpn 
Автор Сообщение

Зарегистрирован: 17 мар 2019, 08:14
Сообщения: 3
Здравствуйте. Пытаюсь настроить cisco 4331 в качестве easy vpn сервера.
Есть 3 интерфейса:
GigabitEthernet0/0/0 идет в модем, подключает интернет.
GigabitEthernet0/0/1 подключен к CE роутеру, на который приходит MPLS L3VPN.
GigabitEthernet0/0/2 идет в коммутатор.
До этого момента все работает. Из локальной сети есть доступ в интернет и к ресурсам VPN (10.177.x.x).
Теперь мне нужно подключить несколько удаленных клиентов и дать им доступ к локалке и VPN.
Клиент подключается, трафик шифруется\дешифруется, но с клиента можно только пинговать хосты локалки. Зайти в webui cisco или открыть общую папку на компьютере не получается. Сеть 10.177.x.x также не доступна.
Код:

!
! Last configuration change at 23:47:04 GMT Sat Mar 2 2019
!
version 16.6
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
platform qfp utilization monitor load 80
no platform punt-keepalive disable-kernel-core
!
hostname puhsbyt
!
boot-start-marker
boot system flash bootflash:isr4300-universalk9.16.06.05.SPA.bin
boot-end-marker
!
!
vrf definition Mgmt-intf
 !
 address-family ipv4
 exit-address-family
 !
 address-family ipv6
 exit-address-family
!
logging console emergencies
enable secret 5
!
!
transport-map type persistent ssh sshhandler
 time-out 30
 rsa keypair-name sshkeys
 transport interface GigabitEthernet0
 connection wait allow interruptible
!
transport-map type persistent telnet telnethandler
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login USER-AUTH local
aaa authorization exec default local
aaa authorization network GROUP-AUTH local
!
!
!
!
!
!
aaa session-id common
no process cpu autoprofile hog
clock timezone GMT 3 0
!
!
!
!
!
!
ip nbar http-services
!
!
!
ip domain name test.com
!
ip dhcp pool Sbyt
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.1
 dns-server 194.158.196.137 194.158.196.141
!
!
!
!
!
!
!
!
!
!
subscriber templating
!
!
!
!
!
ipv6 unicast-routing
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
crypto pki trustpoint TP-self-signed-1843133077
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-1843133077
 revocation-check none
 rsakeypair TP-self-signed-1843133077
!
!
crypto pki certificate chain TP-self-signed-1843133077
 certificate self-signed 01
 
     quit
!
!
!
!
!
!
!
!
!
ivr prompt buffers 2
license udi pid ISR4331/K9 sn
license accept end user agreement
license boot level appxk9
license boot level uck9
license boot level securityk9
diagnostic bootup level minimal
spanning-tree extend system-id
!
!
!
username dima privilege 15
username admin privilege 15
username rud1 password 7
!
redundancy
 mode none
!
!
!
!
!
vlan internal allocation policy ascending
!
no cdp run
!
!
!
!
!
!
!
!
crypto isakmp policy 10
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp client configuration group RUD-GROUP
 key RUD
 dns 192.168.1.1
 pool EZVPN-POOL
 acl 110
crypto isakmp profile VPN-CLIENT
   match identity group RUD-GROUP
   client authentication list USER-AUTH
   isakmp authorization list GROUP-AUTH
   client configuration address respond
!
!
crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac
 mode tunnel
!
!
!
crypto dynamic-map DYNMAP 10
 set transform-set 3DES-MD5
 set isakmp-profile VPN-CLIENT
 reverse-route
!
!
crypto map DMAP 1 ipsec-isakmp dynamic DYNMAP
!
!
!
!
!
!
!
!
interface GigabitEthernet0/0/0
 ip address dhcp
 ip mtu 1452
 ip nat outside
 ip nbar protocol-discovery
 ip tcp adjust-mss 1412
 negotiation auto
 pppoe enable group global
 pppoe-client dial-pool-number 1
 spanning-tree portfast trunk
!
interface GigabitEthernet0/0/1
 ip address dhcp
 ip nat outside
 negotiation auto
!
interface GigabitEthernet0/0/2
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 negotiation auto
 spanning-tree portfast disable
!
interface GigabitEthernet0/1/0
 shutdown
 spanning-tree portfast disable
!
interface GigabitEthernet0/1/1
 shutdown
 spanning-tree portfast disable
!
interface GigabitEthernet0/1/2
 switchport mode access
 shutdown
 spanning-tree portfast trunk
!
interface GigabitEthernet0/1/3
 shutdown
 spanning-tree portfast disable
!
interface GigabitEthernet0
 vrf forwarding Mgmt-intf
 no ip address
 shutdown
 negotiation auto
 no cdp enable
!
interface Vlan1
 no ip address
 shutdown
!
interface Dialer1
 ip address negotiated
 ip mtu 1452
 ip nat outside
 encapsulation ppp
 ip tcp adjust-mss 1412
 dialer pool 1
 dialer idle-timeout 0
 dialer persistent
 dialer-group 1
 no cdp enable
 ppp mtu adaptive
 ppp authentication chap pap callin
 ppp chap hostname
 ppp chap password
 ppp pap sent-username
 ppp ipcp dns request
 crypto map DMAP
!
ip local pool EZVPN-POOL 192.168.1.70 192.168.1.85
ip nat inside source route-map NAT_TO_ISP interface Dialer1 overload
ip nat inside source route-map NAT_TO_VPN interface GigabitEthernet0/0/1 overload
ip forward-protocol nd
ip ftp username 1
ip ftp password 7
ip http server
ip http authentication local
ip http secure-server
ip tftp source-interface GigabitEthernet0
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 10.177.0.0 255.255.0.0 10.177.106.1

!
ip ssh version 2
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 110 permit ip 192.168.1.0 0.0.0.255 any
dialer-list 1 protocol ip permit
!
!
route-map NAT_TO_VPN permit 20
 match ip address 1
 match interface GigabitEthernet0/0/1
!
route-map NAT_TO_ISP permit 10
 match ip address 1
 match interface Dialer1 GigabitEthernet0/0/0
!
!
!
!
!
control-plane
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
!

end


17 мар 2019, 13:54
Профиль Отправить email

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 543
откройте для себя Cisco Anyconnect - примеров настройки на цицко.ком полно....

https://www.cisco.com/c/en/us/support/s ... -list.html

И забудьте про эту древнюю муть EazyVPN


17 мар 2019, 16:49
Профиль Отправить email

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 1930
Откуда: Волгоград
root99 писал(а):
откройте для себя Cisco Anyconnect - примеров настройки на цицко.ком полно....

https://www.cisco.com/c/en/us/support/s ... -list.html

И забудьте про эту древнюю муть EazyVPN


А isk 4k стали поддерживать ssl vpn?


18 мар 2019, 08:18
Профиль ICQ

Зарегистрирован: 17 мар 2019, 08:14
Сообщения: 3
Дело не в древности Eazy VPN, а в моей неправильной настройке. С таким же успехом я могу неправильно настроить anyconnect.


18 мар 2019, 09:45
Профиль Отправить email

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 543
начиная с 16.10.х работает такой же код как и для CSR1000v - https://www.cisco.com/c/en/us/td/docs/i ... l-vpn.html

для софта до 16.10 ничто не мешает использовать IKEv2/IPSec для эниконнекта

https://www.cisco.com/c/en/us/support/r ... -list.html


18 мар 2019, 10:06
Профиль Отправить email

Зарегистрирован: 17 мар 2019, 08:14
Сообщения: 3
Цитата:
Router(config)# crypto pki import IKEv2-TP pkcs12 bootflash:IKEv2-TP.p12 password cisco123

А где взять/сгенерировать IKEv2-TP.p12?


19 мар 2019, 22:18
Профиль Отправить email
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 6 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 24


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB