|
|
Страница 1 из 1
|
[ Сообщений: 11 ] |
|
Автор |
Сообщение |
tuaret
Зарегистрирован: 12 фев 2015, 10:47 Сообщения: 81
|
Доброго времени суток. Был заменен ISR 2951 на 4451. На 2951 успешно работал PPTP сервер. Конфиг перенесли один в один на 4451 и получили неприятную вещь. PPTP клиент успешно устанавливает соединение, получает адрес - но трафик никуда не ходит вообще. Конфиг pptp: Код: vpdn enable
vpdn-group 1 ! Default L2TP VPDN group ! Default PPTP VPDN group accept-dialin protocol any virtual-template 1
interface Virtual-Template1 ip unnumbered Loopback1 peer default ip address dhcp-pool MSK-VPN no keepalive ppp authentication ms-chap-v2 IAS ppp authorization IAS ppp ipcp dns 192.168.44.5
Виртуальный интерфейс для каждлого клиента в апе: Код: Virtual-Access2.3 is up, line protocol is up Hardware is Virtual Access interface Interface is unnumbered. Using address of Loopback1 (10.2.28.1) MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, LCP Open Open: IPCP PPPoVPDN vaccess, cloned from Virtual-Template1 Vaccess status 0x0 Protocol pptp, tunnel id 54082, session id 30319 Keepalive not set 40 packets input, 2456 bytes 15 packets output, 236 bytes Last clearing of "show interface" counters never
А трафика никакого, ни от pptp клиента, ни к нему. Я был бы очень благодарен за помощь в решении данного вопроса!
|
16 апр 2021, 00:12 |
|
|
tuaret
Зарегистрирован: 12 фев 2015, 10:47 Сообщения: 81
|
На 4451: Код: Cisco IOS XE Software, Version 16.12.03
На 2951: Код: Cisco IOS Software, C2951 Software (C2951-UNIVERSALK9_NPE-M), Version 15.3(3)M
|
16 апр 2021, 07:38 |
|
|
mihalich
Зарегистрирован: 03 дек 2019, 09:17 Сообщения: 42
|
ip routing вкл? nat? ACL? Firewall?
Клиенты подключаются снаружи, я так понимаю?
|
16 апр 2021, 09:51 |
|
|
tuaret
Зарегистрирован: 12 фев 2015, 10:47 Сообщения: 81
|
Да, клиенты подключаются снаружи. ip routing, nat, acl, firewall - ну конечно это все есть. Только трафик pptp разрешен(gre, tcp 1723), соединение у клиента устанавливается, создается виртуальный интерфейс, в таблице маршрутизации появляется запись для подключенного клиента: Код: 10.2.28.8/32 is directly connected, Virtual-Access2.4
а трафик на этого клиента не идет. пытаюсь с маршрутизатора достучаться: Код: GW-4451#ping 10.2.28.8 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.2.28.8, timeout is 2 seconds: .....
Повторюсь, вся конфигурация(включая ip routing, nat, acl, firewall) была перенесена с 2951, где все успешно работало.
|
16 апр 2021, 10:06 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
на ISR4K у вас скорее всего нет лицензии для секурити - на 16.12.х и старше требуется реальная лицуха РТУ здесь нет
|
16 апр 2021, 12:10 |
|
|
tuaret
Зарегистрирован: 12 фев 2015, 10:47 Сообщения: 81
|
sec лицензия имеется: Код: License Authorization: Status: AUTHORIZED on Apr 14 10:20:09 2021 MSK
ISR_4400_UnifiedCommunication (ISR_4400_UnifiedCommunication): Description: Unified Communications License for Cisco ISR 4400 Series Count: 1 Version: 1.0 Status: AUTHORIZED Export status: NOT RESTRICTED
ISR_4400_Security_NPE (ISR_4400_Security_NPE): Description: SEC No Payload Encryption License for Cisco ISR 4400 Series Count: 1 Version: 1.0 Status: AUTHORIZED Export status: NOT RESTRICTED
ISR_4451_2G_Performance (ISR_4451_2G_Performance): Description: Performance on Demand License for 4450 Series Count: 1 Version: 1.0 Status: AUTHORIZED Export status: NOT RESTRICTED
|
16 апр 2021, 12:28 |
|
|
mihalich
Зарегистрирован: 03 дек 2019, 09:17 Сообщения: 42
|
tuaret писал(а): Повторюсь, вся конфигурация(включая ip routing, nat, acl, firewall) была перенесена с 2951, где все успешно работало. Да я понял, что вы перенесли. И всё-таки маршрутизатор другой, ОС другая: дефолтные параметры (которые не видны в show run) могут отличатся. Я бы попробовал для начала отключить фаер и снять ACL. Ещё я думал, что на интерфейсах, которые работают с NAT должны быть включены или nat inside, или nat outside и ip virtual-reassembly in/out. Нет ACL между интерфейсами?
|
16 апр 2021, 12:46 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
PPTP на IOS XE не поддерживается т.к. устарел и его выпилили максимум что можете поднять это L2TP и то без секурити...
|
16 апр 2021, 14:04 |
|
|
tuaret
Зарегистрирован: 12 фев 2015, 10:47 Сообщения: 81
|
Да, действительно.... https://www.cisco.com/c/en/us/td/docs/i ... rview.htmlКод: Client-initiated VPDN tunneling can use the L2TP protocol or the L2TPv3 protocol if the client device is a router. If the client device is a PC then PPTP termination and L2TP over IPSEC termination are not supported on Cisco IOS XE operating system.
Спасибо!
|
16 апр 2021, 18:40 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
root99 писал(а): PPTP на IOS XE не поддерживается т.к. устарел и его выпилили максимум что можете поднять это L2TP и то без секурити... Да, вот народ тоже бился с этим: https://forum.nag.ru/index.php?/topic/1 ... abonentov/И в IOS XE выпилили не только PPTP, но и классический FW (ip inspect in/out). Остался только ZBF (class-ы, policy, и много, все как вы любите ). И AnyConnect (SSL VPN) тоже. Ибо нефиг, идите ASA (etc.) покупать. Вроде AnyConnect умеет работать как IKEv2 клиент. Кто-нибудь пробовал? Как там со всякими Client Config плюшками (split tunnel, split dns, etc.)?
_________________ Knowledge is Power
|
23 апр 2021, 06:55 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
Мне казалось, что не в XE выпилили, а по ходу развития версий XE. То есть, по-моему, в самом начале ip inspect всё-таки был.
|
23 апр 2021, 11:32 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 11 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: Google [Bot] и гости: 43 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|