ვპ-ს პრობლემა -> თბილისის ფორუმი

Welcome Guest ( ავტორიზაცია | რეგისტრაცია )

ვალიდაციის წერილის ხელახალი გაგზავნა

წესები · დახმარება · ძებნა · წევრები · კალენდარი · რჩეულები · ჩატი

თბილისის ფორუმი -> ტექნიკური კონფერენცია -> პინგვინები და ეშმაკუნები

გამოხმაურება · ახალი თემა · ახალი გამოკითხვა

ვპ-ს პრობლემა, ყველაფერი მგონი სწორადაა მაგრამ :(

მივიღოთ შეტყობინება ამ თემის განახლების შესახებ · გაუგზავნეთ ეს გვერდი სხვას · ამოსაბეჭდი ვერსია | თემის რჩეულებში დამატება/წაშლა

sandroia Super Crazy Member + ჯგუფი: Members
sandroia Super Crazy Member + ჯგუფი: Members წერილები: 14554 წევრი No.: 67441 რეგისტრ.: 14-July 08	#38328596 · 10 Oct 2013, 11:27 · · პროფილი · პირადი მიმოწერა · ჩატი აუ მოდერმა ჩაასწოროს სათაურშI რაა ვპნ-ს პრობლემა უნდა ეწეროს ანუ მაქვს სისცო 871w დავაყენე ვიპიენი, კლიენტები უნდა შემოვიდნენ სისკო ვპნ კლიენტი-თ ჩვენს ქსელში პროგრამა კონექტდება, აიპის იღებს მაგრამ მერე უკვე შიგნით ქსელის რესურსებთან წვდომა არაა რაუტერზე მიწერს ამას: %CRYPTO-4-RECVD_PKT_NOT_IPSEC: Rec'd packet not an IPSEC packet. ესეც კონფიგი აიპიები შეცვლილი მაქვს თუ რამე ისეთი გამომრჩა არ შეიმჩნიოთ Current configuration : 6211 bytes ! version 12.4 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname jjj ! boot-start-marker boot-end-marker ! logging buffered 51200 warnings ! aaa new-model ! ! aaa authentication login default local aaa authentication login userlist local aaa authentication login VPN_AUTHEN local aaa authorization network VPN_AUTHOR local ! aaa session-id common ! resource policy ! ip subnet-zero ip cef ! ! ip domain name fff ip name-server 213.131.32.34 ip name-server 213.131.34.2 ip name-server X.x.x.x ip name-server x.x.x.y ip name-server c.c.c.c ip ssh authentication-retries 2 ip ssh version 2 ip ddns update method sdm_ddns1 DDNS both ! ! ! crypto pki trustpoint TP-self-signed-2188427757 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-2188427757 revocation-check none rsakeypair TP-self-signed-2188427757 ! ! crypto pki certificate chain TP-self-signed-2188427757 certificate self-signed 01 30820254 308201BD A0030201 02020101 300D0609 2A864886 F70D0101 04050030 31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 32313838 34323737 3537301E 170D3032 30333034 32323038 35385A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649 4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 31383834 32373735 3730819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 8100A112 A717B312 7A669E95 1F3B287F B1CE2C79 818102FA 5E766E53 336EAECD 39B90898 A9A6DAB0 218ED3CA 3693284C AA406D3C 9D468C5D C33C6CBB AC415DD4 3EAE594D 1556AD98 96CE3DAE D9865F6A 0F8B3050 770F11BB 95E90ABB 67BC6759 28F01085 E107962A 592BE7EE E9C10B3A 1E54319A 4E628AA4 9A4B7DA4 36EF7950 A2E90203 010001A3 7C307A30 0F060355 1D130101 FF040530 030101FF 30270603 551D1104 20301E82 1C6E617A 616C6164 6576692E 73746174 69737469 63732E67 6F762E67 65301F06 03551D23 04183016 80146049 E47EE7CE 0334A658 571D6088 2C678255 14D4301D 0603551D 0E041604 146049E4 7EE7CE03 34A65857 1D60882C 67825514 D4300D06 092A8648 86F70D01 01040500 03818100 8C7B22C9 DBBD2E08 916CFCA3 3879A03B 76D5E8D5 5C4F1F83 52C29B96 62FF3127 CD156227 8724CAA1 7B1C1395 64669EDD 75E09024 A6DA64A3 AE2DAF0F 7E5DDA88 0461861A A0BD8105 FF78A9BC 3B7CAAF4 1FD7D356 A13F749F A91E6546 024AC7AF D5026FE1 4AB72CC7 0F2A4424 0C329D23 3EEBD133 17130339 F74077C4 72F7C7A7 quit username 333 privilege 15 secret 5 $1$0/4n$BCF7Dxoy5dfsdShix.Q3p0 username 33 privilege 15 secret 5 $1$rZv6$J8uQFxe/yTtDYFBB.3xa.. username 3 privilege 15 secret 5 $1$S.n0$zH6apFZJBgeTTZExMGOH2/ username 33 privilege 15 secret 5 $1$d0Zv$oecq8mgY89qKvs6/JRIRL. ! ! ! crypto isakmp policy 30 encr aes authentication pre-share group 2 lifetime 3600 ! crypto isakmp client configuration group VPN_GROUP key XXX dns 213.131.32.34 213.131.34.2 domain reload pool VPN_POOL acl 130 ! ! crypto ipsec transform-set vpn esp-aes esp-sha-hmac ! crypto dynamic-map VPN_DYNAMIC 100 set transform-set vpn reverse-route ! ! crypto map CM 65535 ipsec-isakmp dynamic VPN_DYNAMIC ! crypto map VPN_CM client authentication list VPN_AUTHEN crypto map VPN_CM isakmp authorization list VPN_AUTHOR crypto map VPN_CM client configuration address respond crypto map VPN_CM 10 ipsec-isakmp dynamic VPN_DYNAMIC ! ! ! interface Tunnel0 ip address ssss keepalive 5 4 tunnel source ssss tunnel destination ssss ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 description $ETH-WAN$ ip address ssss ip access-group SMTP_IN in ip access-group SMTP_IN out ip nat outside ip virtual-reassembly duplex auto speed auto crypto map VPN_CM ! interface Dot11Radio0 no ip address shutdown speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0 station-role root ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$ ip address ssss ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 ! ip local pool VPN_POOL 192.168.1.1 192.168.1.99 ip classless ip route 0.0.0.0 0.0.0.0 ssss ip route ssss Tunnel0 ! ip http server ip http authentication local ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ip nat inside source list 120 interface FastEthernet4 overload ip nat inside source list naz_nat interface FastEthernet4 overload e ip dns server ! ip access-list extended naz_nat remark SDM_ACL Category=2 permit tcp any any permit udp any any permit ip any any ! access-list 120 deny ip qselis_subnet vpn-is subnet access-list 120 permit ip qselis_subnet any access-list 130 permit ip qselis subnet vpn-is subnet route-map vpn permit 10 match ip address 120 ! ! ველი ფორუმის ძალის დახმარებას * * * უპპპპპპპპპპპპპპპ ))) =------------------- This post has been edited by sandroia on 10 Oct 2013, 11:28
	· ციტირება · ^

root_admin რადიოაქტიური, 94 Pu 239 ჯგუფი: Members
root_admin რადიოაქტიური, 94 Pu 239 ჯგუფი: Members წერილები: 4823 წევრი No.: 30927 რეგისტრ.: 6-March 07	#38382647 · 15 Oct 2013, 11:55 · · პროფილი · პირადი მიმოწერა · ჩატი show ip route შედეგები დადე, რას დაგიბრუნებს სავარაუდოდ (ამ ეტაპზე რაც ჩანს) გინდა სტატიკური მარშრუტის გაწერა შემდეგნაირად: ip route ვპნ_ქსელის_მისამართი ვპნ_ქსელის_მასკა Tunnel0 პ.ს. VPN_POOL -ისათვის ჯობია აიღო საბნეტი სწორი მასკით - მაგალითად (126 იუზერისათვის): network - 192.168.1.0 subnet mask - 255.255.255.128 ამ შემთხვევაში პრეფიქსი გექნება /25, და როუტის გაწერაც არ გაგიჭირდება საჭიროების შემთხვევაში. პ.პ.ს ამ როუტერით ინტეერნეტში გასვლა შესაძლებელია? ip route 0.0.0.0 0.0.0.0 ssss - აქ sss-ის ნაცვლად უნდა იყოს პროვაიდერის მიერ მოცემული შენი GW IP This post has been edited by root_admin on 15 Oct 2013, 12:11
	· ციტირება · ^

Azzy Where we All BURN ;) ჯგუფი: Registered
Azzy Where we All BURN ;) ჯგუფი: Registered წერილები: 562 წევრი No.: 11746 რეგისტრ.: 24-July 05	#38382955 · 15 Oct 2013, 12:28 · · პროფილი · პირადი მიმოწერა · ჩატი access-list 130 permit ip qselis subnet any და crypto isakmp client configuration group VPN_GROUP include-local-lan ესე ვპნ კლიენტით მიკონექტერულ როჟას ექნება თავისი GW და შესაბამისად ინტერნეტი + თქვენს private ქსელზე ექნება რუთი შესაბამისად VPN ის გავლით ან თუ არ გინდა კლიენტს რომ ინტერნეტი კონდეს ანუ გინდა რომ გაითიშოს ინეტი დარჩეს მარტო private network -ი მოხსენი crypto isakmp client configuration group VPN_GROUP დან ACL ი This post has been edited by Azzy on 15 Oct 2013, 12:32 -------------------- Building Reliable Networks
	· ციტირება · ^

Distortion ჯგუფი: Moderators
Distortion ჯგუფი: Moderators წერილები: 7601 წევრი No.: 21022 რეგისტრ.: 21-June 06	#38384609 · 15 Oct 2013, 15:04 · · პროფილი · პირადი მიმოწერა · ჩატი ასევე დარწმუნდი, რომ VPN Client Win8-ზე არ გიყენია
	· ციტირება · ^

sandroia
Super Crazy Member +
ჯგუფი: Members

sandroia
Super Crazy Member +

ჯგუფი: Members
წერილები: 14554
წევრი No.: 67441
რეგისტრ.: 14-July 08

#38385229 · 15 Oct 2013, 16:00 · · პროფილი · პირადი მიმოწერა · ჩატი

root_admin

QUOTE

სავარაუდოდ (ამ ეტაპზე რაც ჩანს) გინდა სტატიკური მარშრუტის გაწერა შემდეგნაირად:

ip route ვპნ_ქსელის_მისამართი ვპნ_ქსელის_მასკა Tunnel0

ტუნელ0-ზე არ მინდა არაფერი, ეგ ტუნელი მუშაობს ჯიგრულად

QUOTE

პ.ს. VPN_POOL -ისათვის ჯობია აიღო საბნეტი სწორი მასკით - მაგალითად (126 იუზერისათვის):

network - 192.168.1.0
subnet mask - 255.255.255.128

სხვა რაუტერზე მუშაობს ესეთივე პულით და ესეთივე კონფიგით

QUOTE

პ.პ.ს ამ როუტერით ინტეერნეტში გასვლა შესაძლებელია?
ip route 0.0.0.0 0.0.0.0 ssss - აქ sss-ის ნაცვლად უნდა იყოს პროვაიდერის მიერ მოცემული შენი GW IP

კი გავდივარ ნეტში და ეგრეა კაკრას პროვაიდერის მოცემული გეითვეია.

QUOTE

show ip route

S "tunelis meore boloSi qseli" is directly connected, Tunnel0
"tunelis qseli" is subnetted, 1 subnets
C "tunelis qseli" is directly connected, Tunnel0
"provaideris qseli" is subnetted, 1 subnets
C "ISP GW" is directly connected, FastEthernet4
C "Local Lan" is directly connected, Vlan1
S* 0.0.0.0/0 [1/0] via "ISP GW"

Azzy

QUOTE

access-list 130 permit ip qselis subnet any

და

crypto isakmp client configuration group VPN_GROUP
include-local-lan

ესე ვპნ კლიენტით მიკონექტერულ როჟას ექნება თავისი GW და შესაბამისად ინტერნეტი + თქვენს private ქსელზე ექნება რუთი შესაბამისად VPN ის გავლით

ან თუ არ გინდა კლიენტს რომ ინტერნეტი კონდეს ანუ გინდა რომ გაითიშოს ინეტი დარჩეს მარტო private network -ი მოხსენი
crypto isakmp client configuration group VPN_GROUP დან ACL ი

გავაკეთე ეგრე და იგივეა, პრინციპში ინკლუდ ლოკალ ლან-ის ფუნქციას რომ ის 130-ე აცლ ასრულებდა
Distortion

QUOTE

ასევე დარწმუნდი, რომ VPN Client Win8-ზე არ გიყენია

ოს-ი არაფერ შუაშია, ყველა უკონექტდება მაგრამ რესურსებთან წვდომა აღარ აქვს
ისევ და ისევ რაუტერზე ეს შეცდომაა: %CRYPTO-4-RECVD_PKT_NOT_IPSEC: Rec'd packet not an IPSEC packet.

პ.ს. თვითონ რაუტერის პრობლემა ხომ არაა ნეტავ? ანუ ზუსტად იგივე კონფიგი სხვაზე მუშაობს და აქ არა

This post has been edited by sandroia on 15 Oct 2013, 16:01

· ციტირება · ^

root_admin
რადიოაქტიური, 94 Pu 239
ჯგუფი: Members

root_admin
რადიოაქტიური, 94 Pu 239

ჯგუფი: Members
წერილები: 4823
წევრი No.: 30927
რეგისტრ.: 6-March 07

#38386061 · 15 Oct 2013, 17:12 · · პროფილი · პირადი მიმოწერა · ჩატი

QUOTE

Rec'd packet not an IPSEC packet

ესე იგი რა პაკეტიც მოდის, ეგ არ არის დაკრიპტული.

ამიტომ:

debug crypto isakmp sa

debig crypto ipsec sa

შედეგები დადე

· ციტირება · ^

sandroia
Super Crazy Member +
ჯგუფი: Members

sandroia
Super Crazy Member +

ჯგუფი: Members
წერილები: 14554
წევრი No.: 67441
რეგისტრ.: 14-July 08

#38386650 · 15 Oct 2013, 18:08 · · პროფილი · პირადი მიმოწერა · ჩატი

QUOTE

debug crypto isakmp

*May 17 14:41:13.060: ISAKMP:(1006):DPD/R_U_THERE received from peer ISP GW, sequence 0xAF6578AA
*May 17 14:41:13.060: ISAKMP: set new node -1857915375 to QM_IDLE
*May 17 14:41:13.064: ISAKMP:(1006):Sending NOTIFY DPD/R_U_THERE_ACK protocol 1
spi 2194372872, message ID = -1857915375
*May 17 14:41:13.064: ISAKMP:(1006): seq. no 0xAF6578AA
*May 17 14:41:13.064: ISAKMP:(1006): sending packet to "ISP GW" my_port 4500 peer_port 1260 ® QM_IDLE
*May 17 14:41:13.064: ISAKMP:(1006):purging node -1857915375
*May 17 14:41:13.068: ISAKMP:(1006):Input = IKE_MESG_FROM_PEER, IKE_MESG_KEEP_ALIVE
*May 17 14:41:13.068: ISAKMP:(1006):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE

QUOTE

debug crypto ipsec

*May 17 14:38:38.252: IPSEC(delete_sa): deleting SA,
(sa) sa_dest= gare IP, sa_proto= 50,
sa_spi= 0x5124CA8E(1361365646),
sa_trans= esp-aes esp-sha-hmac , sa_conn_id= 9,
(identity) local= "gare IP", remote= "remote ip",
local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
remote_proxy= "vpn peer ip"/255.255.255.255/0/0 (type=1)
*May 17 14:38:38.256: IPSEC(delete_sa): deleting SA,
(sa) sa_dest= "Remote IP", sa_proto= 50,
sa_spi= 0xAE25F2D6(2921722582),
sa_trans= esp-aes esp-sha-hmac , sa_conn_id= 10,
(identity) local= "gare IP", remote= "remote ip",
local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
remote_proxy= "vpn peer ip"/255.255.255.255/0/0 (type=1)
*May 17 14:38:38.256: IPSec: Flow_switching Deallocated flow for sibling 80000006
*May 17 14:38:38.256: IPSEC(rte_mgr): VPN Route Event rekey so decrement refcount
*May 17 14:38:38.256: IPSEC(rte_mgr): VPN Route Refcount 1 FastEthernet4

sh crypto isakmp sa:

IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
"gare IP" "remote IP" QM_IDLE 1006 0 ACTIVE

IPv6 Crypto ISAKMP SA

This post has been edited by sandroia on 15 Oct 2013, 18:10

· ციტირება · ^

N1x Crazy Member ჯგუფი: Registered
N1x Crazy Member ჯგუფი: Registered წერილები: 1075 წევრი No.: 110293 რეგისტრ.: 24-January 10	#38389336 · 15 Oct 2013, 22:01 · · პროფილი · პირადი მიმოწერა · ჩატი sandroia sh crypto ipsec sa დადე და ნახე count-ები თუ იმატებს სავარაუდოდ ცალმხრივად კრიპტავ
	· ციტირება · ^

Azzy Where we All BURN ;) ჯგუფი: Registered
Azzy Where we All BURN ;) ჯგუფი: Registered წერილები: 562 წევრი No.: 11746 რეგისტრ.: 24-July 05	#38392345 · 16 Oct 2013, 00:53 · · პროფილი · პირადი მიმოწერა · ჩატი 99% sh cry ipsec sa peer და გარე იპ მიკონექტებული ტიპის გაჩვენებს encrypted da encapsulated პაკეტების მატებას (იასნა იმ მომენტში მოკონეკტებული კოპიდან რაიმე შიდა რესურსზე პინგია გაშვებული) ანუ 99% ცალმხრივად ტუნელდება ტრაფიკი გასარკვევია რატომ. 1. 2 პროვიდერი ხომ არ გაქვს 2. sh ip route დადე როცა მოკონეკტებულია კლიენტი 3, კლიენტში მენიუ status----statistics===route details ში ნახე ჩანს შენი private ქსელი secured route ებში
	· ციტირება · ^

sandroia
Super Crazy Member +
ჯგუფი: Members

sandroia
Super Crazy Member +

ჯგუფი: Members
წერილები: 14554
წევრი No.: 67441
რეგისტრ.: 14-July 08

#38393854 · 16 Oct 2013, 09:43 · · პროფილი · პირადი მიმოწერა · ჩატი

Azzy

QUOTE

sh cry ipsec sa peer

interface: FastEthernet4
Crypto map tag: VPN_CM, local addr "gare IP"

protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (192.168.1.5/255.255.255.255/0/0)
current_peer "dakoneqtebulis gare IP" port 3254
PERMIT, flags={}
#pkts encaps: 67, #pkts encrypt: 67, #pkts digest: 67
#pkts decaps: 67, #pkts decrypt: 67, #pkts verify: 67
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: "gare IP", remote crypto endpt.: "dakoneqtebulis gare IP"
path mtu 1500, ip mtu 1500
current outbound spi: 0x549F0D18(1419709720)

inbound esp sas:
spi: 0xD3DFCCCA(3554659530)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel UDP-Encaps, }
conn id: 13, flow_id: C87X_MBRD:13, crypto map: VPN_CM
sa timing: remaining key lifetime (k/sec): (4455457/3514)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas:
spi: 0x549F0D18(1419709720)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel UDP-Encaps, }
conn id: 14, flow_id: C87X_MBRD:14, crypto map: VPN_CM
sa timing: remaining key lifetime (k/sec): (4455451/3468)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE

outbound ah sas:

outbound pcp sas:

1. 2 პროვაიდერი არ მყავს
2. S "tunelis meore boloSi qseli" is directly connected, Tunnel0
"tunelis qseli" is subnetted, 1 subnets
C "tunelis qseli" is directly connected, Tunnel0
"provaideris qseli" is subnetted, 1 subnets
C "ISP GW" is directly connected, FastEthernet4
C "Local Lan" is directly connected, Vlan1
"VPN-is qseli" is subnetted, 1 subnets
S "VPN-is klienti" [1/0] via "dakoneqtebuli qselis gare IP"
S* 0.0.0.0/0 [1/0] via 213.131.33.217

3. კი ჩანს ჩემი ქსელი სეკურედ როუტში

და მიკონექტებული კლიენტიდან რომ ვპინგავ ჩემს შიდა რომელიმე კომპს რეპლაის მიკეთებს არა ის კომპი არამედ ჩემი გარე აიპი
რაღაც ისეთი შეგრძნება მაქვს რომ რაუტინგის პრობლემაა, ანუ ჩემი რაუტერი ინტერფეისის შიგნით აღარ უშვებს ვპნ პაკეტებს

· ციტირება · ^

Distortion

ჯგუფი: Moderators

Distortion

ჯგუფი: Moderators
წერილები: 7601
წევრი No.: 21022
რეგისტრ.: 21-June 06

#38394314 · 16 Oct 2013, 11:00 · · პროფილი · პირადი მიმოწერა · ჩატი

დაიცა ტუნელ ინტერფეისი რა შუაშია, ადამიანს remote access VPN სჭირდება.

CODE

ip route 0.0.0.0 0.0.0.0 ssss
ip route ssss Tunnel0

ეს ჩანაწერი რას ნიშნავს ვერ გავიგე. S2S-ც გაქვს პარალელურად?

CODE

interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address ssss
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452

შიდა IP რომ გამოაჩინო არაფერი მოხდება ამით ცუდი

CODE

interface FastEthernet4
description $ETH-WAN$
ip address ssss
ip access-group SMTP_IN in
ip access-group SMTP_IN out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto

ამ ACL-ში ESP გაქვს დაპერმიტებული?

CODE

ip nat inside source list 120 interface FastEthernet4 overload
ip nat inside source list naz_nat interface FastEthernet4 overload

naz_nat ნატის ACL-ში, VPN პულის ქსელი გაქვს deny-ში? როცა 120-ში deny-დება შემდეგ nat_naz-ს გადაეცემა და თუ იქ დაპერმიტდა დანატავს მაინც.

This post has been edited by Distortion on 16 Oct 2013, 11:04

· ციტირება · ^

sandroia Super Crazy Member + ჯგუფი: Members
sandroia Super Crazy Member + ჯგუფი: Members წერილები: 14554 წევრი No.: 67441 რეგისტრ.: 14-July 08	#38401009 · 16 Oct 2013, 21:48 · · პროფილი · პირადი მიმოწერა · ჩატი ვსიო მოგვარდა პრობლემა ნატ_ნატ მოვაცილე და ამუშავდა
	· ციტირება · ^