Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 21:01



Ответить на тему  [ Сообщений: 11 ] 
PPTP - нет трафика 
Автор Сообщение

Зарегистрирован: 12 фев 2015, 10:47
Сообщения: 81
Доброго времени суток.
Был заменен ISR 2951 на 4451.
На 2951 успешно работал PPTP сервер. Конфиг перенесли один в один на 4451 и получили неприятную вещь. PPTP клиент успешно устанавливает соединение, получает адрес - но трафик никуда не ходит вообще.
Конфиг pptp:
Код:
vpdn enable

vpdn-group 1
 ! Default L2TP VPDN group
 ! Default PPTP VPDN group
 accept-dialin
  protocol any
  virtual-template 1

interface Virtual-Template1
 ip unnumbered Loopback1
 peer default ip address dhcp-pool MSK-VPN
 no keepalive
 ppp authentication ms-chap-v2 IAS
 ppp authorization IAS
 ppp ipcp dns 192.168.44.5



Виртуальный интерфейс для каждлого клиента в апе:
Код:
Virtual-Access2.3 is up, line protocol is up
  Hardware is Virtual Access interface
  Interface is unnumbered. Using address of Loopback1 (10.2.28.1)
  MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation PPP, LCP Open
  Open: IPCP
  PPPoVPDN vaccess, cloned from Virtual-Template1
  Vaccess status 0x0
  Protocol pptp, tunnel id 54082, session id 30319
  Keepalive not set
     40 packets input, 2456 bytes
     15 packets output, 236 bytes
  Last clearing of "show interface" counters never


А трафика никакого, ни от pptp клиента, ни к нему.

Я был бы очень благодарен за помощь в решении данного вопроса!


16 апр 2021, 00:12
Профиль

Зарегистрирован: 12 фев 2015, 10:47
Сообщения: 81
На 4451:
Код:
Cisco IOS XE Software, Version 16.12.03


На 2951:
Код:
Cisco IOS Software, C2951 Software (C2951-UNIVERSALK9_NPE-M), Version 15.3(3)M


16 апр 2021, 07:38
Профиль

Зарегистрирован: 03 дек 2019, 09:17
Сообщения: 42
ip routing вкл?
nat?
ACL?
Firewall?

Клиенты подключаются снаружи, я так понимаю?


16 апр 2021, 09:51
Профиль

Зарегистрирован: 12 фев 2015, 10:47
Сообщения: 81
Да, клиенты подключаются снаружи.
ip routing, nat, acl, firewall - ну конечно это все есть. Только трафик pptp разрешен(gre, tcp 1723), соединение у клиента устанавливается, создается виртуальный интерфейс, в таблице маршрутизации появляется запись для подключенного клиента:
Код:
10.2.28.8/32 is directly connected, Virtual-Access2.4


а трафик на этого клиента не идет. пытаюсь с маршрутизатора достучаться:

Код:
GW-4451#ping 10.2.28.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.28.8, timeout is 2 seconds:
.....



Повторюсь, вся конфигурация(включая ip routing, nat, acl, firewall) была перенесена с 2951, где все успешно работало.


16 апр 2021, 10:06
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
на ISR4K у вас скорее всего нет лицензии для секурити - на 16.12.х и старше требуется реальная лицуха РТУ здесь нет


16 апр 2021, 12:10
Профиль

Зарегистрирован: 12 фев 2015, 10:47
Сообщения: 81
sec лицензия имеется:

Код:
License Authorization:
  Status: AUTHORIZED on Apr 14 10:20:09 2021 MSK

ISR_4400_UnifiedCommunication (ISR_4400_UnifiedCommunication):
  Description: Unified Communications License for Cisco ISR 4400 Series
  Count: 1
  Version: 1.0
  Status: AUTHORIZED
  Export status: NOT RESTRICTED

ISR_4400_Security_NPE (ISR_4400_Security_NPE):
  Description: SEC No Payload Encryption License for Cisco ISR 4400 Series
  Count: 1
  Version: 1.0
  Status: AUTHORIZED
  Export status: NOT RESTRICTED

ISR_4451_2G_Performance (ISR_4451_2G_Performance):
  Description: Performance on Demand License for 4450 Series
  Count: 1
  Version: 1.0
  Status: AUTHORIZED
  Export status: NOT RESTRICTED



16 апр 2021, 12:28
Профиль

Зарегистрирован: 03 дек 2019, 09:17
Сообщения: 42
tuaret писал(а):
Повторюсь, вся конфигурация(включая ip routing, nat, acl, firewall) была перенесена с 2951, где все успешно работало.

Да я понял, что вы перенесли. И всё-таки маршрутизатор другой, ОС другая: дефолтные параметры (которые не видны в show run) могут отличатся. Я бы попробовал для начала отключить фаер и снять ACL.
Ещё я думал, что на интерфейсах, которые работают с NAT должны быть включены или nat inside, или nat outside и ip virtual-reassembly in/out.
Нет ACL между интерфейсами?


16 апр 2021, 12:46
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
PPTP на IOS XE не поддерживается т.к. устарел и его выпилили максимум что можете поднять это L2TP и то без секурити...


16 апр 2021, 14:04
Профиль

Зарегистрирован: 12 фев 2015, 10:47
Сообщения: 81
Да, действительно....
https://www.cisco.com/c/en/us/td/docs/i ... rview.html

Код:
Client-initiated VPDN tunneling can use the L2TP protocol or the L2TPv3 protocol if the client device is a router. If the client device is a PC then PPTP termination and L2TP over IPSEC termination are not supported on Cisco IOS XE operating system.


Спасибо!


16 апр 2021, 18:40
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
root99 писал(а):
PPTP на IOS XE не поддерживается т.к. устарел и его выпилили максимум что можете поднять это L2TP и то без секурити...

Да, вот народ тоже бился с этим:

https://forum.nag.ru/index.php?/topic/1 ... abonentov/

И в IOS XE выпилили не только PPTP, но и классический FW (ip inspect in/out).
Остался только ZBF (class-ы, policy, и много, все как вы любите :-) ).

И AnyConnect (SSL VPN) тоже. Ибо нефиг, идите ASA (etc.) покупать.
Вроде AnyConnect умеет работать как IKEv2 клиент.
Кто-нибудь пробовал? Как там со всякими Client Config плюшками (split tunnel, split dns, etc.)?

_________________
Knowledge is Power


23 апр 2021, 06:55
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
Мне казалось, что не в XE выпилили, а по ходу развития версий XE. То есть, по-моему, в самом начале ip inspect всё-таки был.


23 апр 2021, 11:32
Профиль WWW
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 11 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 40


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB