Hi,
Megint belefutottam egy problémába.
Két routert kell összelőnöm, az egyik egy 826-os a másik egy SOHO 91-es.
A tunnel fel is épül, de nem tudom egyik végpontot sem pingetni.
A SOHO 91-es nem az enyém, a konfig nagy részét sem én csináltam.
Az egyik subnet 192.168.2.0 a másik 192.168.1.0. Az én oldalamról ez már egyszer működött, csak akkor a másik fele egy Linksys befsx41 volt, ami kihalt és lett helyette a SOHO 91.
Ha valaki rámutatna a problémára nagyon megköszönném.
hostname router
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.2.254
!
ip dhcp pool CLIENT
network 192.168.2.0 255.255.255.0
default-router 192.168.2.254
dns-server x.x.x.x
lease 0 2
!
!
ip cef
ip name-server x.x.y.z
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
!
!
!
crypto keyring aa-keyring
pre-shared-key address x.x.x.x key titok
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp profile aa-prof
keyring aa-keyring
match identity address x.x.x.x 255.255.255.255
!
!
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set AES-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set 3DES-SHA-compression esp-3des esp-sha-hmac comp-lzs
crypto ipsec transform-set AES-SHA-compression esp-aes esp-sha-hmac comp-lzs
crypto ipsec transform-set strong ah-sha-hmac esp-3des
!
crypto map VPN 10 ipsec-isakmp
set peer x.x.x.x
set transform-set 3DES-SHA
set isakmp-profile aa-prof
match address Crypto-list-aa
!
!
!
interface Ethernet0
ip address 192.168.2.254 255.255.255.0 secondary
ip address 10.x.x.1 255.255.255.248
ip access-group 122 out
ip nat inside
ip tcp adjust-mss 1452
!
interface Ethernet1
no ip address
duplex auto
pppoe enable
pppoe-client dial-pool-number 1
interface Dialer1
ip address negotiated
ip access-group 111 in
ip mtu 1492
ip nat outside
ip inspect myfw out
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname xxxxxxxxxxx
ppp chap password xxxxxxxxxxx
ppp pap sent-username xxxxxxxxxxx password xxxxxxxxxxxxxx
crypto map VPN
!
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
ip http authentication local
no ip http secure-server
ip http max-connections 4
ip http timeout-policy idle 600 life 86400 requests 10000
!
ip nat inside source list 102 interface Dialer1 overload
!
!
ip access-list extended Crypto-list-aa
permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 102 permit ip 192.168.2.0 0.0.0.255 any
access-list 111 permit tcp any any eq telnet
access-list 111 permit tcp any any eq www
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 111 deny ip any any
access-list 122 deny tcp any any eq telnet
access-list 122 permit ip any any
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
exec-timeout 120 0
login local
no modem enable
stopbits 1
line aux 0
line vty 0 4
exec-timeout 120 0
login local
length 0
!
scheduler max-task-time 5000
end
- 1660 megtekintés
Hozzászólások
"Az én oldalamról ez már egyszer működött, csak akkor a másik fele egy Linksys befsx41 volt"
A konfig ránézésre is jó, de ha már egyszer működött, akkor a hiba okát a megváltozott túloldalon kellene keresni. Fel kellene venni a kapcsolatot a túloldali router kezelőjével, és részletesen egyeztetni vele a paramétereket, ha pedig azután sem megy, akkor debugolni.
- A hozzászóláshoz be kell jelentkezni
A "másik oldalt" is nekem kell hegesztenem. A konfig a másik oldalé egyébként, ezt elfelejtettem. Marad a debugolás.
- A hozzászóláshoz be kell jelentkezni
Okés, reggelre megjavult :(. De utálom, ha nem tudom mitől lesz jó egyszer csak valami.
Ezekre gyanakszom azért kicsit:
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
- A hozzászóláshoz be kell jelentkezni
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
Nem "access-list 111 permit udp any eq bootpc any eq bootps" lenne a második sor? Enélkül probléma lehet a DHCP-vel.
- A hozzászóláshoz be kell jelentkezni
Mivel a 111-es ACL a PPP-s Dialer1-re van felvéve, nem lesz semmilyen DHCP forgalom. Az mondjuk igaz, hogy káosz uralkodik az ACL-ek környékén, például a 122-es out irányban van felvéve az Ethernet0-ra, amellyel a LAN-ra való telnetelést tiltja ellentmondásosan, mivel a 111-es első szabályában beengedte (és a routerre is). Úgy érzem, hogy a vty védelmét próbálta így megoldani. A 111-es utolsó előtti sorának sincs értelme. A többi szabály is elég furcsának tűnik natolás híján (mondjuk a PPTP az IPSec tunnelben, mindkét irányban DHCP szerver feltételezése).
- A hozzászóláshoz be kell jelentkezni