Автор Тема: Помогите исправить конфиг 1811 (Прочитано 1158 раз)

Triangle · « : 25 июня 2016, 19:00:07 »

Хэлп, не понимаю что и где?
По сути надо сменить маску, и блин существует какой то простой способ такие вещи делать?

crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp client configuration address-pool local EZVPN
!
crypto isakmp client configuration group EZVPN
key ******
dns 192.168.1.250
domain prin.local
pool EZVPN
acl SPLIT_TUNNEL
netmask 255.255.255.0
!
!
crypto ipsec transform-set 3DES_MD5 esp-3des esp-md5-hmac
!
crypto dynamic-map DYNAMIC 10
set transform-set 3DES_MD5
reverse-route
crypto map CMAP client authentication list EZVPN
crypto map CMAP isakmp authorization list EZVPN
crypto map CMAP client configuration address respond
crypto map CMAP 1000 ipsec-isakmp dynamic DYNAMIC

interface Vlan1
description LAN
ip address 192.168.1.151 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452

ip access-list extended NATusers
permit ip 192.168.1.0 0.0.0.255 any
deny ip 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255

ip access-list extended Outside
permit ahp any host 212.100.140.115
permit icmp any any
permit tcp any host 212.100.140.115 eq 22
permit udp any host 212.100.140.115 eq isakmp
permit udp any host 212.100.140.115 eq non500-isakmp
permit esp any host 212.100.140.115

ip access-list extended SPLIT_TUNNEL
permit ip 192.168.1.0 0.0.0.255 any

access-list 111 permit ip 192.168.1.0 0.0.0.255 any

sirarthur · « **Ответ #1 :** 25 июня 2016, 19:10:31 »

Triangle, так чо сделать то надо?

Triangle · « **Ответ #2 :** 25 июня 2016, 19:11:21 »

маску расширить надо 255.255.255.0 255.255.254.0

sirarthur · « **Ответ #3 :** 25 июня 2016, 19:13:34 »

блин - ты можешь показать конкретно?
вот это?

Цитата: Triangle от 25 июня 2016, 19:12:26

!
crypto isakmp client configuration group EZVPN
key ******
dns 192.168.1.250
domain prin.local
pool EZVPN
acl SPLIT_TUNNEL
netmask 255.255.255.0
!

1811 - хаб? в смысле - в схеме -хаб ту спок - она хаб?

Triangle · « **Ответ #4 :** 25 июня 2016, 19:16:05 »

Маршрутизатор это.
башка очень болит, туплю, говори чего надо показать я покажу. это vpn сервер на 1811

Updated: 25 June 2016, 19:22:19

Да, вот это, откуда правится?

sirarthur · « **Ответ #5 :** 25 июня 2016, 19:24:48 »

Ага.
ПРосто в твоем куске конфига - конкретно тут
!
crypto isakmp client configuration group EZVPN
key ******
dns 192.168.1.250
domain prin.local
pool EZVPN
acl SPLIT_TUNNEL
netmask 255.255.255.0
!
здесь нетмакс вообще мимом кассы.
если я правильно понял
то маску тебе надо править вот тут
ip access-list extended SPLIT_TUNNEL
permit ip 192.168.1.0 0.0.0.255 any
/23
в транскрипции циски будет 0,0,1,255

Updated: 25 June 2016, 19:25:41

прпобуй так:

Цитировать

crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp client configuration address-pool local EZVPN
!
crypto isakmp client configuration group EZVPN
key ******
dns 192.168.1.250
domain prin.local
pool EZVPN
acl SPLIT_TUNNEL
!
!
crypto ipsec transform-set 3DES_MD5 esp-3des esp-md5-hmac
!
crypto dynamic-map DYNAMIC 10
set transform-set 3DES_MD5
reverse-route
crypto map CMAP client authentication list EZVPN
crypto map CMAP isakmp authorization list EZVPN
crypto map CMAP client configuration address respond
crypto map CMAP 1000 ipsec-isakmp dynamic DYNAMIC

interface Vlan1
description LAN
ip address 192.168.1.151 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452

ip access-list extended NATusers
permit ip 192.168.1.0 0.0.0.255 any
deny ip 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255

ip access-list extended Outside
permit ahp any host 212.100.140.115
permit icmp any any
permit tcp any host 212.100.140.115 eq 22
permit udp any host 212.100.140.115 eq isakmp
permit udp any host 212.100.140.115 eq non500-isakmp
permit esp any host 212.100.140.115

ip access-list extended SPLIT_TUNNEL
permit ip 192.168.1.0 0.0.1.255 any

access-list 111 permit ip 192.168.1.0 0.0.0.255 any

Updated: 25 June 2016, 19:25:54

http://www.cisco.com/c/en/us/td/docs/routers/access/1800/1841/software/configuration/guide/sw/ezvpn.html#55453

Triangle · « **Ответ #6 :** 25 июня 2016, 19:39:49 »

Да в ACL и интерфейсы я уже правлю на раздватри, вот и у меня вопрос, зачем там маска, щас ACL доправлю попробую.

sirarthur · « **Ответ #7 :** 25 июня 2016, 19:58:09 »

да где там то?
в описании сервера - netmask вообще не за чем.
В ацл - так там у тебя сеть /24.

Triangle · « **Ответ #8 :** 25 июня 2016, 20:00:03 »

уффф... поменял маску в листах и на внутреннем интерфейсе, работает, к сожалению я не понимаю этого конфига... Надо садиться разбирать по косточкам. Просто брал солюшены по этому самому easy vpn и там всё как то не так как у меня тут наверчено.

sirarthur · « **Ответ #9 :** 25 июня 2016, 23:24:17 »

Triangle, короч енопесал тебе в пм. если чо - звони нах