Страница 1 из 1
Настройка Cisco EasyVPN Server
Добавлено: 2012-02-13 16:36:01
Darkwolf
Доброго времени суток!
Возникла необходимость в подключении удалённых клиентов по VPN (с шифрованием трафика) через интернет к нашей сетке. Из имеющегося: у нас - роутер Cisco 2821, выход в инет со свободным статическим ip-адресом; у клиентов – ПК с выходом в инет либо через 3G-модемы, либо через DSL соединение, с динамичными адресами.
Выбор как-то сам собой пал на Cisco EasyVPN.
Погуглив немного решил остановиться на ShrewSoft VPN Client как замене Cisco VPN Client (основная причина – это невозможность подружить последнего с Win7x64, а ShrewSoft VPN Client вроде как хвалили).
Сразу хочу сказать, что я не профи в построении подобных сетей на оборудовании циско, потому сразу полез за инструкциями. Вобщем, настроил Cisco EasyVPN Server опираясь вот на эту инструкцию:
http://www.cisco.com/en/US/prod/collate ... 313bf8.pdf
А клиентскую часть вот по этой:
http://habrahabr.ru/blogs/infosecurity/71077/
Вроде, всё лаконично и понятно, клиент соединяется, получает ip-адрес из пула, но вот пинг не проходит. Ни с клиента не достучаться ни до одного узла в сети предприятия, ни наоборот, с самой циски до клиента, кстати, тоже. В чём может быть проблема? Что я не донастроил (а то складывается такое ощущение, что в инструкции что-то упущено)?
Конфиг циски:
Код: Выделить всё
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router1
!
boot-start-marker
boot-end-marker
!
enable secret 5 pass1
!
aaa new-model
!
!
aaa authentication login userlist local
aaa authorization network remote-clients local
!
aaa session-id common
!
resource policy
!
!
!
ip cef
!
!
ip domain name name.com
ip name-server 62.192.224.249
ip name-server 62.192.255.242
!
!
!
voice-card 0
no dspfarm
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
username admin privilege 15 secret 5 pass2
username cisco password 7 pass3
!
!
!
crypto isakmp policy 1
authentication pre-share
group 2
crypto isakmp client configuration address-pool local dynpool
crypto isakmp xauth timeout 60
!
crypto isakmp client configuration group remote-clients
key key123
dns 192.168.3.10
domain name.local
pool dynpool
acl 150
!
!
crypto ipsec transform-set transform-1 esp-des esp-sha-hmac
!
crypto dynamic-map dynmap 1
set transform-set transform-1
reverse-route
!
!
crypto map dynmap client authentication list userlist
crypto map dynmap isakmp authorization list remote-clients
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap
!
!
!
!
!
interface GigabitEthernet0/0
ip address 192.168.3.3 255.255.0.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface GigabitEthernet0/1
ip address aaa.bbb.ccc.ddd 255.255.255.248
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
crypto map dynmap
!
interface ATM0/1/0
no ip address
shutdown
no atm ilmi-keepalive
dsl operating-mode auto
!
ip local pool dynpool 192.168.7.10 192.168.7.30
ip route 0.0.0.0 0.0.0.0 aaa.bbb.ccc.eee
!
!
no ip http server
no ip http secure-server
ip nat inside source list 10 interface GigabitEthernet0/1 overload
!
access-list 23 permit 192.168.0.0 0.0.255.255
access-list 150 permit ip 192.168.0.0 0.0.255.255 any
no cdp run
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
access-class 23 in
exec-timeout 120 0
privilege level 15
logging synchronous
transport input ssh
!
scheduler allocate 20000 1000
!
end
Таблица маршрутизации с клиента:
Код: Выделить всё
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.33.0.2 10.33.23.1 20
10.33.0.0 255.255.0.0 10.33.23.1 10.33.23.1 20
10.33.0.2 255.255.255.255 10.33.23.1 10.33.23.1 1
10.33.23.1 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.33.23.1 10.33.23.1 20
62.192.235.37 255.255.255.255 10.33.0.2 10.33.23.1 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.0.0 192.168.7.12 192.168.7.12 1
192.168.7.12 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.7.255 255.255.255.255 192.168.7.12 192.168.7.12 30
224.0.0.0 240.0.0.0 10.33.23.1 10.33.23.1 20
224.0.0.0 240.0.0.0 192.168.7.12 192.168.7.12 30
255.255.255.255 255.255.255.255 10.33.23.1 10.33.23.1 1
255.255.255.255 255.255.255.255 192.168.7.12 192.168.7.12 1
Основной шлюз: 10.33.0.2
Re: Настройка Cisco EasyVPN Server
Добавлено: 2012-02-13 17:06:41
lap
Чтоб на вин7-64 заработал клиент, надо брать клиент под вин7-64 (у меня такой дома работает и все ок)
Насчет конфига могу дать кусок с живой железки. Настраивал несколько лет назад и что к чему несовсем помню
Код: Выделить всё
aaa authentication login vpnuserauthen local
aaa authorization network vpngroupauthor local
!
ip cef
!
username vpn-user password vpn-password
!
crypto logging session
!
crypto isakmp policy 5
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 5
lifetime 28800
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 20 periodic
!
crypto isakmp client configuration group VPN-GR
key vpnkey
dns IP1 IP2
pool localippool
acl 199
netmask 255.255.255.255
crypto isakmp profile climap
match identity group VPN-GR
client authentication list vpnuserauthen
isakmp authorization list vpngroupauthor
client configuration address respond
!
crypto ipsec transform-set my-transf-set esp-3des esp-sha-hmac
crypto ipsec transform-set my-transf-set-2 esp-3des esp-md5-hmac comp-lzs
crypto ipsec transform-set my-transf-set-3 esp-3des esp-sha-hmac comp-lzs
crypto ipsec transform-set my-transf-set-4 esp-3des esp-md5-hmac
!
crypto dynamic-map my-dynamap 5
set transform-set my-transf-set my-transf-set-2 my-transf-set-3 my-transf-set-4
set isakmp-profile climap
reverse-route
!
crypto map clientmap 5 ipsec-isakmp dynamic my-dynamap
!
interface GigabitEthernet0/0
description To SW
no ip address
no ip proxy-arp
!
interface GigabitEthernet0/0.16
description (ISP)
encapsulation dot1Q 16
ip address X.X.X.X 255.255.255.252
crypto map clientmap
ip local pool localippool 172.31.31.128 172.31.31.135
access-list 199 permit ip 10.10.50.0 0.0.0.255 any
Re: Настройка Cisco EasyVPN Server
Добавлено: 2012-02-14 11:53:07
Darkwolf
Всё, разобрался.
Вобщем, кому интересно, выкладываю рабочий конфиг:
Код: Выделить всё
!
! Last configuration change at 11:30:44 MSK Tue Feb 14 2012 by admin
! NVRAM config last updated at 11:30:38 MSK Tue Feb 14 2012 by admin
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router1
!
boot-start-marker
boot-end-marker
!
enable secret 5 pass1
!
aaa new-model
!
!
aaa authentication login ciscocp_vpn_xauth_ml_1 local
aaa authorization network ciscocp_vpn_group_ml_1 local
!
aaa session-id common
!
resource policy
!
clock timezone MSK 4
!
!
ip cef
!
!
ip domain name name.com
ip name-server 62.192.224.249
ip name-server 62.192.255.242
!
!
!
voice-card 0
no dspfarm
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto pki trustpoint TP-self-signed-502790975
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-502790975
revocation-check none
rsakeypair TP-self-signed-502790975
!
!
crypto pki certificate chain TP-self-signed-502790975
certificate self-signed 01
30820247 308201B0 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 35303237 39303937 35301E17 0D313230 32313331 31303630
305A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F
532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3530 32373930
39373530 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
CDA45772 99436E19 6AA786DB 49ED3575 F335917A F05C887C 908F5164 7724C050
26646F2A 69D3F175 46ADF308 DC474017 C55D1AA1 525B5FD4 60A8C7E5 A8A6D812
325E2349 BF50BEC4 348D5B78 EB3F5F9F 46D95C99 221829D4 8B76B020 39BE1868
E393E8B6 BED38DC1 48B948C0 F7A5A594 7CD427F4 15078CCA DDCD0816 9376CC43
02030100 01A37130 6F300F06 03551D13 0101FF04 05300301 01FF301C 0603551D
11041530 13821172 6F757465 72312E61 6C76697A 2E636F6D 301F0603 551D2304
18301680 14F917E3 6D797DBC E936F290 39A6FE0E DD7341A5 A1301D06 03551D0E
04160414 F917E36D 797DBCE9 36F29039 A6FE0EDD 7341A5A1 300D0609 2A864886
F70D0101 04050003 81810039 ECDCBAA7 0D299A4F 92E19740 8AFADAEC 3A8DF5CB
007403FC FF0BF164 A37FEC86 E26575BC 7E8FB50A 8702570C 9FE63518 3F0A9708
D07233D1 6C260F20 64428539 DFE20C74 7FC51E35 96071F68 EE26E8CD BD79D344
40D0393F CD89122E D4E5B63E 243F175E 331FCBFD 21B61CA1 820839A3 224E2036
114ADE4B 8A03406F A6F548
quit
username admin privilege 15 secret 5 pass2
username cisco password 7 pass3
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group remote-clients
key key123
dns 192.168.3.10
domain name.local
pool SDM_POOL_1
acl 100
crypto isakmp profile ciscocp-ike-profile-1
match identity group remote-clients
client authentication list ciscocp_vpn_xauth_ml_1
isakmp authorization list ciscocp_vpn_group_ml_1
client configuration address respond
virtual-template 1
!
!
crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac
!
crypto ipsec profile CiscoCP_Profile1
set transform-set transform-1
set isakmp-profile ciscocp-ike-profile-1
!
!
!
!
!
!
interface GigabitEthernet0/0
ip address 192.168.3.3 255.255.0.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface GigabitEthernet0/1
ip address aaa.bbb.ccc.ddd 255.255.255.248
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface ATM0/1/0
no ip address
shutdown
no atm ilmi-keepalive
dsl operating-mode auto
!
interface Virtual-Template1 type tunnel
ip unnumbered GigabitEthernet0/1
tunnel mode ipsec ipv4
tunnel protection ipsec profile CiscoCP_Profile1
!
ip local pool SDM_POOL_1 192.168.7.10 192.168.7.30
ip route 0.0.0.0 0.0.0.0 aaa.bbb.ccc.eee
!
!
no ip http server
no ip http secure-server
ip nat inside source list 10 interface GigabitEthernet0/1 overload
!
access-list 10 permit 192.168.0.0 0.0.255.255
access-list 23 permit 192.168.0.0 0.0.255.255
access-list 100 remark CCP_ACL Category=4
access-list 100 permit ip 192.168.0.0 0.0.255.255 any
no cdp run
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
access-class 23 in
exec-timeout 120 0
privilege level 15
logging synchronous
transport input ssh
!
scheduler allocate 20000 1000
ntp clock-period 17180118
ntp update-calendar
ntp server 62.76.96.10 source GigabitEthernet0/1
ntp server 193.124.4.177 source GigabitEthernet0/1 prefer
ntp server 80.90.180.140 source GigabitEthernet0/1
!
end
Цисковский клиент тоже скачал, работает, точнее они оба нормально работают и ShrewSoft VPN Client и Cisco VPN Client.
Re: Настройка Cisco EasyVPN Server
Добавлено: 2012-04-13 11:44:13
asst
здравствуйте,
Можете посмотреть возвращаются ли ip адреса обратно в пул ,если у пользователя порвался интернет во время vpn сессии или зависают в "in use"
ROUTER#show ip local pool
Pool Begin End Free In use Blocked
ippool 172.16.207.57 172.16.207.57 0 1 0
Re: Настройка Cisco EasyVPN Server
Добавлено: 2012-04-20 14:45:00
Darkwolf
Приветствую!
Надо же, какое совпадение! Вот сейчас как раз с этим мучаюсь. У пользователей (обычно у тех которых 3G) рвётся инет и подвисают адреса в "In use".
От чего зависит удержание адреса, от времени жизни SA или есть ещё какой-то параметер?? И если нет, то как их можно сбросить принудительно?
Re: Настройка Cisco EasyVPN Server
Добавлено: 2013-01-24 15:51:23
itd27m01
В настройках пула можно указать время жизни адреса в секундах "ip local pool VPN 172.18.1.101 172.18.1.199 recycle delay 15".
Re: Настройка Cisco EasyVPN Server
Добавлено: 2013-01-24 16:22:11
Darkwolf
Вобщем-то проблема уже была решена, и актуальность потеряна, но всё равно благодарю за ответ.
Там, кстати, ещё команда есть для сброса sa (так сразу не вспомню её), правда сбрасывались все ассоциации, и как следствие все активные клиенты слетали, для особо запущенных случаев помогала
Re: Настройка Cisco EasyVPN Server
Добавлено: 2013-02-18 4:24:31
pavelыь
Darkwolf
sh cry ses br
У зависших соединений какой статус? Idle или standby?
Если idle, то в настройке криптомапы можно выставить максимальное время простоя, после которого будет пересогласован sa.
set security-association idle-time
А чистить сессии можно по адресам пиров.
sh crypto session
Выведет список сессий.
for example:
Interface: FastEthernet0/1
Session status: UP-ACTIVE
Peer: 212.2.2.2 port 41226
IKE SA: local 57.75.75.75/4500 remote 212.2.2.2/41226 Active
IPSEC FLOW: permit ip 192.168.0.0/255.255.0.0 192.168.100.0/255.255.255.0
Active SAs: 2, origin: dynamic crypto map
clear crypto session remote 212.2.2.2 port 41226
Re: Настройка Cisco EasyVPN Server
Добавлено: 2013-05-22 14:58:18
Aughrim
Darkwolf, так в чем же был затык? И по статье и по твоему конфигу перелопачивую настройки 2811 . коннект есть а сеть не видна. и пинги не ходят ни туда ни сюда.
Re: Настройка Cisco EasyVPN Server
Добавлено: 2014-04-19 19:41:53
Darkwolf
Aughrim писал(а):Darkwolf, так в чем же был затык?
С аутентификацией перемудрил немного и с ACL, если мне склероз не изменяет:)
В любом случае надо видеть полный конфиг что там у тебя получилось и логи.
З.Ы.: Сори, на сообщения не специально не отвечаю, т.к. почему-то перестали приходить уведомления о новых сообщениях в ветке.
Re: Настройка Cisco EasyVPN Server
Добавлено: 2014-04-22 14:01:03
naglfar.ua
Пробовал по мануалу Darkwolf'а настраивать свою железяку 2811. Вот конфиг:
Код: Выделить всё
username uservpn password 0 uservpn
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group RA-VPN-GROUP
key key123
dns 8.8.8.8
domain dom.local.ua
pool VPN-POOL
acl 110
crypto isakmp profile VPN-CLIENT
match identity group RA-VPN-GROUP
client authentication list USER-AUTH
isakmp authorization list GROUP-AUTH
client configuration address respond
virtual-template 1
!
!
crypto ipsec transform-set TFS_1 esp-3des esp-sha-hmac
!
crypto ipsec profile cisco_prof_1
set transform-set TFS_1
set isakmp-profile VPN-CLIENT
!
interface FastEthernet0/0
ip address 192.168.5.5 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
ip address 192.168.7.30 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no mop enabled
!
interface Virtual-Template1 type tunnel
ip unnumbered FastEthernet0/1
tunnel mode ipsec ipv4
tunnel protection ipsec profile cisco_prof_1
!
ip local pool VPN-POOL 192.168.5.20 192.168.5.30
ip classless
!
no ip http server
no ip http secure-server
ip nat inside source list 10 interface FastEthernet0/1 overload
!
access-list 10 permit 192.168.5.0 0.0.0.255
access-list 110 permit ip 192.168.5.0 0.0.0.255 any
На клиенте не идет подключение, хотя конфиг почти такой же.
Вопрос к Darkwolf'у. Почему на Вашем конфиге пул адресов, который выдает VPN не из внутренней сети, а из внешней, т.е.
Код: Выделить всё
ip local pool POOL_1 192.168.7.1 192.168.7.100
,
ведь нас же интересует именно внутренняя сеть
Re: Настройка Cisco EasyVPN Server
Добавлено: 2014-04-22 14:53:48
Darkwolf
naglfar.ua, немного не понял что ты имеешь в виду под терминами "внутренняя" и "внешняя" сети?
aaa.bbb.ccc.ddd/29 - это внешняя сеть (провайдер).
192.168.0.0/16 (int gi0/0) - это самая что ни на есть внутренняя есть, следовательно, пул 192.168.7.0 - 192.168.7.100 сюда очень хорошо вписывается.
Клиент, коннектясь из интернета по easyvpn, получает для тоннельного адаптера адрес из пула 192.168.7.0 - 192.168.7.100, что вполне логично, и т.к. адрес 192.168.7.0, в данном конкретном случае, относится к адресному пространству LAN 192.168.0.0/16, то дополнительных маршрутов не требуется, и некст-хопом для данной сетки на удалённой машине будет тоннельный интерфейс (эту запись easyvpn client создаёт автоматически при установке соединения):
Код: Выделить всё
192.168.0.0 255.255.0.0 192.168.7.12 192.168.7.12
Ну а по твоей проблеме:
naglfar.ua писал(а):Пробовал по мануалу Darkwolf'а настраивать свою железяку 2811.
На клиенте не идет подключение, хотя конфиг почти такой же.
Не вижу в твоём конфиге как настроена AAA.
Re: Настройка Cisco EasyVPN Server
Добавлено: 2014-04-22 15:55:17
naglfar.ua
Большое спасибо. Когда увидел авторизацию в ААА - понял где облажался. Там были совсем другие логин и группа (с другого мануала):)
Re: Настройка Cisco EasyVPN Server
Добавлено: 2014-04-22 16:13:28
Darkwolf
naglfar.ua, да на здоровье
Там у меня в ЖЖшке всё достаточно хорошо разжёвано
главное внимательнее копипастить
Обычно логика такая:
1)Если не соединяется, смотрим в сторону файервола и политик NAT (если есть).
2)Если соединяется, но не проходит авторизация/аутентификация, значит что-то напутал либо с ААА, либо с IPSec.
3)Если всё соединяется и имя пользователя/пароль походят, но ничего не пингуется, то там уже смотри на ACL, роутинг, свитчинг и т.д.
Re: Настройка Cisco EasyVPN Server
Добавлено: 2014-10-20 13:17:15
DellST
Добрый день!
Столкнулся с аналогичной проблемой.
Настроил easyVpn на cisco 881. Удаленный клиент получает адрес из локального пула 192.168.20.200 192.168.20.210. Клиент пингует ip роутера 192.168.1.1, ресурсы локально сети не видит, к пример 192.168.1.98.
Из локальной сети удаленный клиент пингуется.
Может кто-то, сталкивался раньше с такой проблемой?
Cisco#sh run
Building configuration...
Current configuration : 3564 bytes
!
! Last configuration change at 10:35:17 moscow Mon Oct 20 2014 by laskov
!
version 15.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Cisco
!
boot-start-marker
boot system flash:c800-universalk9-mz.SPA.154-2.T.bin
boot-end-marker
!
aqm-register-fnf
!
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login VPN_CLIENT_LOGIN local
aaa authorization network default local
aaa authorization network VPN_CLIENT_GROUP local
!
!
!
!
!
aaa session-id common
memory-size iomem 5
clock timezone moscow 4 0
!
!
!
!
!
!
!
!
!
!
!
ip dhcp excluded-address 192.168.1.1 192.168.1.49
ip dhcp excluded-address 192.168.1.200 192.168.1.254
!
ip dhcp pool POOL
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 93.92.32.93
!
!
!
no ip domain lookup
ip domain name hi-tech.su
ip name-server 8.8.8.8
ip cef
login delay 5
no ipv6 cef
multilink bundle-name authenticated
!
username user password
!
!
no cdp run
!
ip ssh authentication-retries 0
ip ssh port 8871 rotary 1 2
ip ssh version 2
!
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp client configuration group VPN_CLIENTS
key Key
dns 8.8.8.8
pool VPN_CLIENT_POOL
acl 110
!
!
crypto ipsec transform-set TRANS_3DES_SHA esp-3des esp-sha-hmac
mode tunnel
!
crypto dynamic-map EXT_DYNAMIC_MAP 10
set transform-set TRANS_3DES_SHA
!
crypto map EXT_MAP client authentication list VPN_CLIENT_LOGIN
crypto map EXT_MAP isakmp authorization list VPN_CLIENT_GROUP
crypto map EXT_MAP client configuration address respond
crypto map EXT_MAP 10 ipsec-isakmp dynamic EXT_DYNAMIC_MAP
!
interface FastEthernet0
switchport access vlan 101
no ip address
!
interface FastEthernet1
switchport access vlan 101
no ip address
!
interface FastEthernet2
switchport access vlan 101
no ip address
shutdown
!
interface FastEthernet3
switchport access vlan 101
no ip address
shutdown
!
interface FastEthernet4
ip address 10.10.10.10 255.255.255.252
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
crypto map EXT_MAP
!
interface Vlan1
no ip address
!
interface Vlan101
description Office network
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
ip local pool VPN_CLIENT_POOL 192.168.20.200 192.168.20.210
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip dns server
ip nat inside source list LIST interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 10.10.10.9
!
ip access-list extended LIST
deny ip 192.168.1.0 0.0.0.255 192.168.20.0 0.0.0.255
permit ip any any
!
!
access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.20.0 0.0.0.255
!
!
!
control-plane
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
line con 0
no modem enable
line aux 0
access-class sl_def_acl in
line vty 0 4
rotary 1
transport input ssh
!
no scheduler allocate
!
!
end
Re: Настройка Cisco EasyVPN Server
Добавлено: 2014-10-20 14:04:09
Darkwolf
DellST, с маршрутами в сетке всё в порядке? Знают ли узлы в локалке о существовании 192.168.20.0/24? Файерволов, брандмауэров никаких на них не запущено?
И какой-то странный у тебя аксесс-лист для НАТа...
Re: Настройка Cisco EasyVPN Server
Добавлено: 2014-10-20 14:11:56
Darkwolf
Да и туннельного интерфейса не вижу...
Попробуй настроить согласно вот этого мануала (попиарюсь немного)
http://ker-laeda.livejournal.com/2274.html
Re: Настройка Cisco EasyVPN Server
Добавлено: 2014-10-22 18:40:17
DellST
Огромное спасибо! Написано великолепно! Завтра исправлю конфигурацию!