Задача - сделать удаленный доступ к сетке за Cisco 1841 с возможностью заходить через Cisco VPN Client.
Я довольно поверхностно обладаю знаниями в этой области. Делал всё через CCP по мануалу (
http://www.cisco.com/en/US/products/...80b34d1f.shtml ). Тест в конце конфигурации он сначала не прошёл, а потом все разы проходил (если это важно). При попытке подключиться пишет:
Secure VPN connection terminated locally by the Client.
Reason 412 :the remlote peer is no more responding
Просветите, где я облажался...
В Cisco VPN Client я уже что только не пробовал вводить, но как я понял, вводится туда следущее?
И, как я понял, на флеш память циски ведь ничего не надо дополнительно закачивать?..
Кстати, в конфиге существует еще туннель gre over ipsec, с другой циской, править я не стал, вдруг не укажу что-то важное, отмечу как мне кажется части, которые отвечают за easy vpn server.
Цитата:
#sh conf
Using 3178 out of 196600 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname //////////
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 /////////////////
enable password 7 ///////////////////
!
aaa new-model
!
!
aaa authentication login ciscocp_vpn_xauth_ml_1 local
aaa authorization network ciscocp_vpn_group_ml_1 local
!
aaa session-id common
!
resource policy
!
ip cef
!
!
!
!
ip domain name ////////////
!
!
crypto pki trustpoint TP-self-signed-174585012
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-174585012
revocation-check none
rsakeypair TP-self-signed-174585012
!
!
crypto pki certificate chain TP-self-signed-174585012
certificate self-signed 01 nvram:IOS-Self-Sig#3201.cer
username //////// privilege 15 password 7 //////////
username ////////// privilege 15 password 7 /////////////////
archive
log config
hidekeys
!
!
!
crypto isakmp policy 10
authentication pre-share
group 2
crypto isakmp key ///321/// address ////внеш-пров-ip-2////
!
crypto isakmp client configuration group ///123///
key ///blabla///
pool SDM_POOL_1
crypto isakmp profile ciscocp-ike-profile-1
match identity group ///123///
client authentication list ciscocp_vpn_xauth_ml_1
isakmp authorization list ciscocp_vpn_group_ml_1
client configuration address respond
virtual-template 1
!
!
crypto ipsec transform-set ESPDES-TS esp-des esp-md5-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto ipsec profile CiscoCP_Profile1
set security-association idle-time 86400
set transform-set ESP-3DES-SHA
set isakmp-profile ciscocp-ike-profile-1
!
!
crypto map myvpn 10 ipsec-isakmp
set peer ////внеш-пров-ip-2////
set transform-set ESPDES-TS
match address 102
!
!
!
!
interface Tunnel0
ip address 10.0.0.2 255.255.255.0
tunnel source FastEthernet0/1
tunnel destination ////внеш-пров-ip////
crypto map myvpn
!
interface Loopback0
ip address 10.0.1.1 255.255.255.0
!
interface FastEthernet0/0
description $LAN$
ip address 172.16.0.1 255.255.254.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
description $WAN$
ip address ////внеш-пров-ip//// 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map myvpn
!
interface Virtual-Template1 type tunnel
ip unnumbered Loopback0
tunnel mode ipsec ipv4
tunnel protection ipsec profile CiscoCP_Profile1
!
ip local pool SDM_POOL_1 10.0.1.10 10.0.1.50
ip route 0.0.0.0 0.0.0.0 ////пров-шлюз////
ip route 172.16.2.0 255.255.254.0 10.0.0.1
!
ip http server
no ip http secure-server
ip nat inside source route-map nonat interface FastEthernet0/1 overload
!
access-list 102 permit gre host ////внеш-пров-ip//// host ////внеш-пров-ip-2////
access-list 175 deny ip 172.16.0.0 0.0.1.255 172.16.2.0 0.0.1.255
access-list 175 permit ip 172.16.0.0 0.0.1.255 any
!
!
!
route-map nonat permit 10
match ip address 175
!
!
!
!
control-plane
!
!
!
line con 0
password 7 /////////
line aux 0
password 7 //////////
line vty 0 4
exec-timeout 60 0
password 7 ///////////
logging synchronous
transport input ssh
line vty 5 807
password 7 ///////////////
!
scheduler allocate 20000 1000
end
|
PS: Сразу хочу задать дополнительный вопрос... Какой наиболее простой способ решения моей основной задачи (удаленный доступ по Cisco VPN Client)? А то меня уже терзают сомнения, что Easy VPN Server нифига не самый простой...
