форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

"PPTP клиент не видит локальную сеть"	+/–
Сообщение от alienshot (ok) on 07-Дек-11, 01:36
PPTP клиент не видит локальную сеть. Впервые пришлось конфигурировать Cisco 2911 так что сильно не ругайте) Подключаюсь c Win7 к PPTP серверу, получаю ip, dns и тд... Но ни одного пакета на адреса локальной сети отправить не могу, соответственно кроме как на адрес самой кошки. Что только не перепробовал, нужна помощь знатаков, уверен что проблема на поверхности, но в силу отсутствия опыта я не могу ее увидеть и исправить. Врубил все логи ACL, пусто, инет пробрасыватся такое чувство что трабл в AAA. Как по вашему вообще конфиг для новичка есть ли вопиющие ошибки и косяки? Что делать с PPTP? Заранее благодарен! Вот конфиг кошки: version 15.1 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service compress-config service sequence-numbers ! hostname Cisco ! boot-start-marker boot-end-marker ! ! security authentication failure rate 3 log security passwords min-length 6 logging buffered 51200 logging console critical enable secret 5 ////////////////////////// enable password 7 //////////////////////// ! aaa new-model ! ! aaa authentication login default local aaa authorization console aaa authorization exec default local aaa authorization network default local ! ! ! aaa session-id common ! clock timezone Moscow 4 0 clock calendar-valid ! no ipv6 cef no ip source-route ip cef ! no ip bootp server ip domain name abm ip name-server 192.168.10.2 ip name-server 87.245.145.96 ip inspect log drop-pkt ip inspect name FW dns ip inspect name FW https ip inspect name FW icmp ip inspect name FW http ip inspect name FW pop3 ip inspect name FW smtp ip inspect name FW ssh ip inspect name FW ftp ip inspect name FW pop3s ip inspect name FW tcp ip inspect name FW udp ! multilink bundle-name authenticated ! parameter-map type inspect global log dropped-packets enable vpdn enable vpdn logging vpdn logging local vpdn logging user ! ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin   protocol pptp   virtual-template 1 l2tp tunnel timeout no-session 15 ! ! crypto pki token default removal timeout 0 ! crypto pki trustpoint TP-self-signed-2227124110 ! enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-2227124110 revocation-check none ! ! ! archive log config   logging enable   hidekeys username vpnuser privilege 0 password 7 12345 username Administrator privilege 15 view root secret 5 //////////////// ! redundancy ! ! ip tcp synwait-time 10 no ip ftp passive ip ssh time-out 60 ip ssh authentication-retries 2 ! ! ! ! interface Null0 no ip unreachables ! interface GigabitEthernet0/0 description LAN ip address 192.168.10.7 255.255.255.0 ip access-group LAN in no ip redirects no ip unreachables no ip proxy-arp ip verify unicast reverse-path ip flow ingress ip nat inside ip inspect FW in ip virtual-reassembly in duplex auto speed auto no mop enabled ! interface GigabitEthernet0/1 description WAN ip address 213.170.46.242 255.255.255.248 ip access-group WAN in no ip redirects ! no ip unreachables no ip proxy-arp ip verify unicast reverse-path ip flow ingress ip nat outside ip virtual-reassembly in duplex auto speed auto no mop enabled ! interface GigabitEthernet0/2 no ip address no ip redirects no ip unreachables no ip proxy-arp ip flow ingress shutdown duplex auto speed auto no mop enabled ! interface Virtual-Template1 mtu 1480 ip unnumbered GigabitEthernet0/0 ip nat inside ip inspect FW in ip virtual-reassembly in peer default ip address pool vpn no keepalive ppp authentication ms-chap-v2 ppp ipcp dns 192.168.10.2 ! ! ip local pool vpn 192.168.10.140 192.168.10.149 ip forward-protocol nd ! ip http server ip http access-class 2 ip http authentication local ip http secure-server ! ip dns server ip nat inside source list NAT interface GigabitEthernet0/1 overload ip route 0.0.0.0 0.0.0.0 213.170.46.249 ! ip access-list standard NAT remark NAT permit 192.168.10.0 0.0.0.255 ! ip access-list extended LAN remark Lan to Wan deny   ip 213.170.46.248 0.0.0.7 any log deny   ip host 255.255.255.255 any log deny   ip 127.0.0.0 0.255.255.255 any log permit udp host 192.168.10.2 eq domain any permit tcp host 192.168.10.2 any eq smtp permit udp host 192.168.10.2 host 192.168.10.7 eq ntp deny   tcp any any eq smtp log permit ip 192.168.10.0 0.0.0.255 any deny   ip any any log ! ip access-list extended WAN remark Wan to Lan permit tcp any any eq 1723 permit gre any host 213.170.46.242 permit tcp any host 213.170.46.242 eq 3000 permit icmp any host 213.170.46.242 log unreachable deny   ip 10.0.0.0 0.255.255.255 any log deny   ip 172.16.0.0 0.15.255.255 any log deny   ip 192.168.0.0 0.0.255.255 any log deny   ip 127.0.0.0 0.255.255.255 any log deny   ip host 255.255.255.255 any log deny   ip host 0.0.0.0 any log deny   ip any any log ! logging esm config logging trap debugging logging 192.168.10.24 logging 192.168.10.14 access-list 2 remark HTTP Access-class list (using in ip http server) access-list 2 remark CCP_ACL Category=1 access-list 2 permit 192.168.10.0 0.0.0.255 log access-list 2 deny   any log ! no cdp run ! ! control-plane ! ! ! gatekeeper shutdown ! ! line con 0 exec-timeout 0 0 transport output telnet line aux 0 transport output telnet line vty 0 4 exec-timeout 60 0 privilege level 15 password 7 0010475451505256ghghghA logging synchronous transport input all transport output none ! scheduler allocate 20000 1000 ntp update-calendar ntp server 192.168.10.2 prefer source GigabitEthernet0/1
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "PPTP клиент не видит локальную сеть"	+/–
Сообщение от Дядя_Федор on 07-Дек-11, 08:44
По циске ничего не скажу - знаю поверхностно. Но то, что Вы мучаете лежит в области маршрутизации. И не имеет к самому PPTP никакого отношения. Надо с другого конца копать - со стороны клиента. После создания тоннеля - ВСЕ пакеты с клиента идет на интерфейс тоннеля - то есть на PPP. При этом сама Ваша циска не знает, судя по всему - куда их девать дальше при обращении к машинам локальной сети. Нужно просто в клиенте (Виндовом) указать, что пакеты для локальной сети должны ходить на интерфейс, который смотрит в локальную сеть, а не через PPP-интерфейс. Ну где-то так, наверное. Я подобный фокус делал в маленькой пионер-сети, в которой настраивал PPTP. Но это все было на Линуксе. Суть сводилась к тому, что был создан некий экзешник - который, будучи запущен на виндовом клиенте настраивал в винде статический маршрут (route -p) для доступа в сеть 192.168.0.0/16 на шлюз 192.168.1.1 (для клиента сети 192.168.1.0/24).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "PPTP клиент не видит локальную сеть"	+/–
	Сообщение от pioner (??) on 07-Дек-11, 15:27
	> Суть сводилась к тому, что > был создан некий экзешник - который, будучи запущен на виндовом клиенте > настраивал в винде статический маршрут (route -p) для доступа в сеть > 192.168.0.0/16 на шлюз 192.168.1.1 (для клиента сети 192.168.1.0/24). Бред, получается и тут настраивать и там настраивать, да еще и маршрут писать... Да у меня Dlink нормально раздает pptp и клиент отлично работает, без всяких маршрутов и тд... Так что трабл чисто в конфиге кошки.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	4. "PPTP клиент не видит локальную сеть"	+/–
	Сообщение от Дядя_Федор on 07-Дек-11, 16:49
	> Бред, получается и тут настраивать и там настраивать, да еще и маршрут > писать... > Да у меня Dlink нормально раздает pptp и клиент отлично работает, без > всяких маршрутов и тд... Так что трабл чисто в конфиге кошки. Возможно и бред. Все зависит от конфигурации локальной сети. У меня, например, была куча /24-сетей из диапазона 192.168.0./16. Необходимость настройки на клиентах была связана с тем, что у клиентов разных сетей /24 отличался дефолтный шлюз (например, 192.168.1.1, 192.168.1.2 и т.д.) Если локальная сеть не сегментирована - то все должно быть намного проще. И то, что трабл в конфиге кошки - я тоже вполне допускаю. Точно так же, как и то, что с клиентами возиться не имеет смысла.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "PPTP клиент не видит локальную сеть"	+/–
	Сообщение от Дядя_Федор on 07-Дек-11, 16:51
	Тьфу ты. Выше ошибся в адресах шлюзов - 192.168.1.1, 192.168.2.1, 192.168.3.1. Которые, кстати (если вернуться назад в те времена) были SVI кошки 3550.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

2. "PPTP клиент не видит локальную сеть"	+1 +/–
Сообщение от Алексей (??) on 07-Дек-11, 09:01
>[оверквотинг удален] > interface Virtual-Template1 >  mtu 1480 >  ip unnumbered GigabitEthernet0/0 >  ip nat inside >  ip inspect FW in >  ip virtual-reassembly in >  peer default ip address pool vpn >  no keepalive >  ppp authentication ms-chap-v2 >  ppp ipcp dns 192.168.10.2 Нужно всего то vpdn enable vpdn-group 1 ! Default PPTP VPDN group accept-dialin   protocol pptp   virtual-template 1 interface Virtual-Template1 ip unnumbered Ваш_LAN_интерфейс peer default ip address pool vpnpool ppp encrypt mppe auto ppp authentication ms-chap ip local pool vpnpool 192.168.10.100 192.168.10.110 (или что у Вас там) И все собственно... Да, и убирите с интерфейсов все acl для начала.. Убедитесь, что все работает, а уж потом фильтруйие.. И AAA зачем Вам?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "PPTP клиент не видит локальную сеть"	+/–
	Сообщение от pioner (??) on 07-Дек-11, 18:52
	Походу трабл в строке "l2tp tunnel timeout no-session 15" откуда она вообще появляется хрен знает! Кажется я когда игрался с кошко
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	7. "PPTP клиент не видит локальную сеть"	+/–
	Сообщение от pioner (??) on 07-Дек-11, 18:55
	Походу трабл в строке "l2tp tunnel timeout no-session 15" откуда она вообще появляется хрен знает! Кажется я когда игрался с кошкой пропсал для l2tp эту строку, может и по дефолту, терь никак не могу ее удалить, уже все дефолты перетыкал) Но она меня одназначно раздражает... может кто наталкнет на мысль как ее удалить побыстрее... при удалении через no l2tp tunnel timeout no-session 15  говорит не та команда т.к. сейчас в протокл pptp, захожу под l2tp удаляет и потом опять добавляет)
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "PPTP клиент не видит локальную сеть"	+/–
	Сообщение от Алексей (??) on 08-Дек-11, 10:39
	> Походу трабл в строке "l2tp tunnel timeout no-session 15" откуда она вообще А строчка ip nat inside на Виртуал Темплате не смущает?
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "PPTP клиент не видит локальную сеть"	+/–
	Сообщение от pioner (??) on 08-Дек-11, 15:32
	>> Походу трабл в строке "l2tp tunnel timeout no-session 15" откуда она вообще > А строчка ip nat inside на Виртуал Темплате не смущает? По логике вещей эта строчка не нужна, т.к. клиент PPTP ломится в нет через шлюз 192.168.10.7, но что-то не хочет он ломиться просто так без NAT, складывается впечатление что интерфейс Gig 0/0 (192.168.10.7) совсем ничего не знает про Virtual-template 1? абсурд, вчера снес кошку к заводским настройкам, заново прописал все без ACL и тд, только основные конфиги вбил, но РЕЗУЛЬТАТА НОЛЬ! Как удаленный клиент не пинговал адреса локальной сети, так и не пингует!   Сейчас в сети 2 маршрутизатора, dlink 192.168.10.1  и Cisco 2911 192.168.10.7, подрубаясь к Dlink все гуд, через кошку ничего не проходит! Бред...
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "PPTP клиент не видит локальную сеть"	+/–
Сообщение от hop (??) on 08-Дек-11, 16:38
> Но ни одного пакета на адреса локальной сети отправить не могу, соответственно > кроме как на адрес самой кошки. попробуйте включить ip proxy-arp
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	11. "PPTP клиент не видит локальную сеть"	+/–
	Сообщение от Алексей (??) on 08-Дек-11, 17:11
	А ж Вам посоветовал: оставьте только минимальные настройки.   Попробуйте вообще все снести и через консоль настроить, без всяких сторонних прог настройки, типа SDM. Минимально нужно lkz PPTP: vpdn enable vpdn-group 1 ! Default PPTP VPDN group accept-dialin   protocol pptp   virtual-template 1 interface Virtual-Template1 ip unnumbered Ваш_LAN_интерфейс peer default ip address pool vpnpool ppp encrypt mppe auto ppp authentication ms-chap ip local pool vpnpool 192.168.10.100 192.168.10.110
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "PPTP клиент не видит локальную сеть"	+/–
	Сообщение от pioner (??) on 08-Дек-11, 17:17
	>[оверквотинг удален] > ! Default PPTP VPDN group >  accept-dialin >   protocol pptp >   virtual-template 1 > interface Virtual-Template1 >  ip unnumbered Ваш_LAN_интерфейс >  peer default ip address pool vpnpool >  ppp encrypt mppe auto >  ppp authentication ms-chap > ip local pool vpnpool 192.168.10.100 192.168.10.110 Так я так вчера и поступил, SDM заюзал один раз чисто поглядеть, как увидел че эт за бред сразу перепрыгнул на консоль) P.S. ppp encrypt mppe auto нету!!! Шифрования нету (((
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	13. "PPTP клиент не видит локальную сеть"	+/–
	Сообщение от Алексей (??) on 08-Дек-11, 20:18
	> Так я так вчера и поступил, SDM заюзал один раз чисто поглядеть, > как увидел че эт за бред сразу перепрыгнул на консоль) > P.S. ppp encrypt mppe auto нету!!! Шифрования нету ((( "А теперь, Федор, о главном.." ) IOS то у Вас какой?
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	14. "PPTP клиент не видит локальную сеть"	+/–
	Сообщение от pioner (??) on 08-Дек-11, 22:45
	>> Но ни одного пакета на адреса локальной сети отправить не могу, соответственно >> кроме как на адрес самой кошки. > попробуйте включить > ip proxy-arp Спасибо большое, получилось, врубил на интерфейсе GigabitEthernet 0/0 ip proxy-arp и все чудесным образом заработало! Всем кто откликнулся тоже большое спасибо!!!
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема