Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco оборудования

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169

Открыть новую тему     Написать ответ в эту тему

Paranoik_13



Крестоносец
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Настройка Cisco оборудования


 
Уже обсуждалось на форуме
Общие
Access list для Router (cisco)
Cisco Catalyst 2950: как правильно обновить  
IOS?

Закачка IOS через tftp-сервер
Switch
Cisco 2950
Catalyst 3548 Series XL
Router
Как поднять NAT на Cisco 2600
Как настроить VPN на CISCO 2611
Cisco 1701 и PPPoE
Настройка Cisco 877 мостом
PIX / ASA
Настройка Cisco PIX Firewall / ASA
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN
Aironet
Cisco Aironet
 
Cisco IPS/IDS
Cisco IDS Sensor (NM-CIDS)
 
Поиск OS
Cisco IOS
 
Cisco Security Software
Cisco Security Software
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
http://anticisco.ru - молодой портал по цискам
 
 

Всего записей: 1451 | Зарегистр. 17-08-2001 | Отправлено: 10:39 27-06-2002 | Исправлено: Komandor, 10:44 31-10-2022
cRYSMAS

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ввел спец. при подключении ВПН польз и пароль не верный - так же ругается на ошибку 619. Я думаю он не проходит аунтификацию пользователя, то есть до проверки пользователя и пароля циска вообще не добегает...
 
Добавлено:
ginger
подправил конфиг, также, =( что то я делаю не так

Всего записей: 137 | Зарегистр. 18-03-2011 | Отправлено: 10:15 28-09-2016
ginger



Рыжик
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
cRYSMAS
Покажите ваш файл конфигурации, спрятав под тег *more

----------
Кто людям помогает, тот тратит время зря... Хорошими делами прославиться нельзя...

Всего записей: 854 | Зарегистр. 03-09-2001 | Отправлено: 11:35 28-09-2016
cRYSMAS

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подробнее...

Всего записей: 137 | Зарегистр. 18-03-2011 | Отправлено: 13:33 28-09-2016 | Исправлено: cRYSMAS, 13:34 28-09-2016
ginger



Рыжик
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
cRYSMAS
Вы используете фильтр на входящем интерфейсе:

Цитата:
interface GigabitEthernet0/1.1570  
 description Outside  
 encapsulation dot1Q 1570  
 ip address *.*.*.162 255.255.255.252  
 ip access-group Outside in

Если его временно отключить и проверить соединение, какой будет результат?

Цитата:
ip access-list extended Outside  
 permit icmp any host *.*.*.162 unreachable  
 permit icmp any host *.*.*.162 echo  
 permit icmp any host *.*.*.162 echo-reply  
 permit icmp any host *.*.*.162 packet-too-big  
 permit icmp any host *.*.*.162 time-exceeded  
 permit icmp any host *.*.*.162 traceroute  
 permit icmp any host *.*.*.162 administratively-prohibited  
 permit tcp any host *.*.*.162 eq www  
 permit tcp any host *.*.*.162 eq 778  
 permit tcp any host *.*.*.162 eq 4090  
 permit udp any host *.*.*.162 eq 4090  
 permit tcp any host *.*.*.162 eq 1723  
 deny   ip any any log  

Вполне возможно необходимо так же добавить правило:
permit gre any host *.*.*.162


----------
Кто людям помогает, тот тратит время зря... Хорошими делами прославиться нельзя...

Всего записей: 854 | Зарегистр. 03-09-2001 | Отправлено: 15:17 28-09-2016
cRYSMAS

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
убрал с интф. лист, перед этим разрешил gre как указли в примере - без результатно.

Всего записей: 137 | Зарегистр. 18-03-2011 | Отправлено: 15:45 28-09-2016
ginger



Рыжик
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
cRYSMAS
Со стороны клиента какие настройки используете?
Пришлите в виде ссылок на снимки экрана каждой из вкладок свойств соединения.

----------
Кто людям помогает, тот тратит время зря... Хорошими делами прославиться нельзя...

Всего записей: 854 | Зарегистр. 03-09-2001 | Отправлено: 16:23 28-09-2016
cRYSMAS

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Обычное виндовое ВПН соединение  
 
http://pixs.ru/showimage/11112JPG_7199079_23473548.jpg
 
http://pixs.ru/showimage/11113JPG_5100388_23473550.jpg
 
параметры IPSec не указаны
 
Общие прописан белый айпи.

Всего записей: 137 | Зарегистр. 18-03-2011 | Отправлено: 07:34 29-09-2016 | Исправлено: cRYSMAS, 07:42 29-09-2016
cRYSMAS

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
vlary
 

а Вы что скажите?

Всего записей: 137 | Зарегистр. 18-03-2011 | Отправлено: 14:58 29-09-2016
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
cRYSMAS
Цитата:
а Вы что скажите?
Так я уже сказал. PPTP никогда не настраивал (и не планирую)
L2TP/IPSec поднимается без проблем.  


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 15:33 29-09-2016
cRYSMAS

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
есть пример настройки l2tp для cisco, только авторизация не клиент cisco и не другой cisco роутер, а обычный роутер или виндовый клиент?

Всего записей: 137 | Зарегистр. 18-03-2011 | Отправлено: 08:18 30-09-2016 | Исправлено: cRYSMAS, 08:19 30-09-2016
alespopov



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
cRYSMAS
Вот тут есть, в самом низу:
http://sysadmins.ru/post8663745.html
 
Для клиента Apple нужно будет там еще добавить:
crypto ipsec transform-set mac_encryption esp-3des esp-sha-hmac  
 mode transport


----------
Да помогут Вам те боги, в которых Вы верите

Всего записей: 377 | Зарегистр. 04-09-2001 | Отправлено: 10:10 03-10-2016 | Исправлено: alespopov, 10:14 03-10-2016
yuris

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Привет всем.
Есть роутер 2801 используется как pptp сервер плюс на нем висит тоннель между офисом и филиалом. Появилась задача выпустить через него подсеть 192.168.2.0/24 на некий сайт lic.site.ru:443. NAT на нем не настроен, acl тоже. Подскажите новичку, желательно подробнее.
Конфиг

Всего записей: 382 | Зарегистр. 19-11-2001 | Отправлено: 10:44 11-10-2016
yuris

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
По моему вопросу нет знатоков? Хоть ткните пальцем в направлении.

Всего записей: 382 | Зарегистр. 19-11-2001 | Отправлено: 10:12 18-10-2016
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yuris
Цитата:
По моему вопросу нет знатоков?
Поднять НАТ на циске это букварь. Думать совсем лениво?
На интерфейс который смотрит в сеть 192.168.2.0/24, вешаешь команду
ip nat inside
На том, который смотрит в интернет (скажем GigabitEthernet0/1), вешаешь
ip nat outside
Разрешаешь НАТ командой  
ip nat inside source list 111 interface GigabitEthernet0/1  overload
Ну и сам акцесс лист
access-list 111 permit ip 192.168.2.0  0.0.0.255 host х.х.х.х
где х.х.х.х айпишник твоего lic.site.ru

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 19:21 18-10-2016
yuris

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Этот букварь я уже до дыр зачитал - просветления пока не наступило.
1) Не понял момент про внешний интерфейс, куда вешать nat outside на Ethernet0/1 или на Dialer1 т.к. подключение по pppoe
2) Нужно ли вешать фильтр туда же ip inspect name

Всего записей: 382 | Зарегистр. 19-11-2001 | Отправлено: 11:14 19-10-2016
alespopov



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
yuris
1) На Dialer
2) Не обязательно
 

Всего записей: 377 | Зарегистр. 04-09-2001 | Отправлено: 12:13 19-10-2016
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yuris
alespopov + 1. Дополнение: Нет смысла что-то инспектировать,
ибо через НАТ пойдет только трафик на х.х.х.х


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 12:38 19-10-2016
yuris

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
Не пойму почему в одном случае работает, в другом нет.
access-list 10 permit 192.168.2.0 0.0.0.255
ip nat inside source list 10 interface Dialer1 overload
тут всё работает, но это не правильно
когда же делаю
ip access-list extended TEST
permit ip 192.168.2.0 0.0.0.255 host 1.1.1.1
permit ip 192.168.2.0 0.0.0.255 host 2.2.2.2
ip nat inside source list TEST interface Dialer1 overload
ответ не приходит, по sh ip nat tra вижу исходящее соединение. Как отловить причину?

Всего записей: 382 | Зарегистр. 19-11-2001 | Отправлено: 16:19 19-10-2016
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yuris
Ну если у тебя  access-list extended, то и правила должны быть  extended
Попробуй так:
ip access-list extended TEST
permit tcp 192.168.2.0 0.0.0.255 host 1.1.1.1 eq 443

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 17:17 19-10-2016
yuris

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
Сделал в acl правила extended.
Заметил, что на самом маршрутизаторе работает, telnet lic.site.ru 443 /source-interface Vlan1
 а из локалки нет. У компа шлюз и днс стоит адрес маршрутизатора, также открываю телнет - долго висит подключение к ... потом сбой подключения.
Нат дебаг какой-то не информативный.

Всего записей: 382 | Зарегистр. 19-11-2001 | Отправлено: 10:45 21-10-2016
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco оборудования


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru