shokonew Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Привет спецам. Ребята у меня такая проблема.   На пиксе фаерволе создал VPn server к нему подключаются клиенты с cisco vpn client 4.1 коннект идет нормально внутренную сеть они видят пингуют и работают с ней, а вот связи между собой клиенты не имееют и не пингуются хотя у них одна подсеть 172.20.0.0 255.255.0.0 как сделать чтоб они могли работать друг с другом.       Название исправлено в соответствии с п. 2.4 правил. lynx. Всего записей: 22 | Зарегистр. 15-10-2004 | Отправлено: 11:12 08-12-2004 | Исправлено: lynx, 21:24 08-12-2004

shokonew Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору неужели никто не сталкивалься ? (( Замечание за нарушение правил подъема тем (п.п. 3.5-3.6 правил). lynx. Всего записей: 22 | Зарегистр. 15-10-2004 | Отправлено: 17:52 08-12-2004 | Исправлено: lynx, 21:21 08-12-2004

roma skydiver Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору я всё ждал когда другие спросят но ладно спрошу сам Цитата: у них одна подсеть 172.20.0.0 255.255.0.0 у кого у клиентов? это типа те айпи по которым они работают в впн?   что даёт трасерт с одного клиента на другой? берусь предположить что звёздочки в первомже хопе?   хорошо бы знать какой айпи имеет впн сервер? т.е. вот после коннекта по впн клиенты видят сервер? по какому айпи?   Цитата: внутренную сеть они видят пингуют и работают с ней какие у нас айпи во внутренней сети? ---------- ну и на кой мне эта подпись? Всего записей: 2908 | Зарегистр. 10-09-2001 | Отправлено: 20:36 08-12-2004

shokonew Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору to ROMA:       клиенты при подключении имеют айпи из сети 172.20.0.0 255.255.0.0, внутренная сеть 172.16.0.0 255.255.0.0  дело в том что при просмотре айписека на пиксе он показывает соединения пар типа локальная пара 192.168.0.192  удаленная пара 192.168.0.64 скажем так трасе при первомже хопе звездочка как ты сказал. Если подключились два клиента скажем с айпи 172.20.0.2 и 172.20.03  они оба видят сеть 172.16.0.0  и пингуют и работают с ней но вот друг друга они не видят.   Я читал что пикс  не роутить с одного интерфейса.   Как сделать что впн клиенты  могли связываться друг с другом тоже по впн через пикс. Всего записей: 22 | Зарегистр. 15-10-2004 | Отправлено: 11:43 09-12-2004

roma skydiver Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору хм... пока чё-то в голову кроме прописывания статических маршрутов ничё не приходит... только вот как ума не приложу...   Цитата: пара 192.168.0.192  удаленная пара 192.168.0.64 это типа реальные интерфейсы в которые впн заворачивается? ---------- ну и на кой мне эта подпись? Всего записей: 2908 | Зарегистр. 10-09-2001 | Отправлено: 12:55 09-12-2004

shokonew Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору да обсолютно верно. типа реальные адреса Всего записей: 22 | Зарегистр. 15-10-2004 | Отправлено: 20:25 10-12-2004

roma skydiver Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору shokonew а впн соединение описывается тоько этими адресаи? я имею ввиду на пиксе у тебя не поднимаются ещё интерфейсы когда клиент коннектится? что-то из разряда 172.16.х.х? ---------- ну и на кой мне эта подпись? Всего записей: 2908 | Зарегистр. 10-09-2001 | Отправлено: 20:59 10-12-2004

shokonew Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору вот отрывок из просмотра клиента который подключен к сети:   tpgate(config)# sh ipsec sa     interface: outside     Crypto map tag: elnmap, local addr. 192.168.0.192      local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)    remote ident (addr/mask/prot/port): (172.20.0.2/255.255.255.255/0/0)    current_peer: 192.168.0.64    dynamic allocated peer ip: 172.20.0.2        PERMIT, flags={}     #pkts encaps: 55, #pkts encrypt: 55, #pkts digest 55     #pkts decaps: 93, #pkts decrypt: 93, #pkts verify 93     #pkts compressed: 0, #pkts decompressed: 0     #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0     #send errors 0, #recv errors 0        local crypto endpt.: 192.168.0.192, remote crypto endpt.: 192.168.0.64      path mtu 1500, ipsec overhead 56, media mtu 1500      current outbound spi: 1b477358        inbound esp sas:       spi: 0x8d5322df(2371035871)         transform: esp-des esp-md5-hmac ,         in use settings ={Tunnel, }         slot: 0, conn id: 4, crypto map: elnmap         sa timing: remaining key lifetime (k/sec): (4607990/25689)         IV size: 8 bytes         replay detection support: Y          inbound ah sas:          inbound pcp sas:          outbound esp sas:       spi: 0x1b477358(457667416)         transform: esp-des esp-md5-hmac ,         in use settings ={Tunnel, }         slot: 0, conn id: 3, crypto map: elnmap         sa timing: remaining key lifetime (k/sec): (4607996/25653)         IV size: 8 bytes         replay detection support: Y       tpgate(config)# sh crypto map   Crypto Map: "elnmap" interfaces: { outside }         client authentication elntac   Crypto Map "elnmap" 10 ipsec-isakmp         Dynamic map template tag: vpnmap   Crypto Map "elnmap" 20 ipsec-isakmp         Peer = 192.168.0.64         access-list  dynacl4; 1 elements         access-list  dynacl4 permit ip any host 172.20.0.2 (hitcnt=58)               dynamic (created from dynamic map vpnmap/10)         Current peer: 192.168.0.64         Security association lifetime: 4608000 kilobytes/28800 seconds         PFS (Y/N): N         Transform sets={ vpnset, }                outbound ah sas:                        outbound pcp sas: Всего записей: 22 | Зарегистр. 15-10-2004 | Отправлено: 13:47 11-12-2004

roma skydiver Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору shokonew я возможно щас спрошу какую-то глупость, но посмотри пожалуйста на пиксе таблицу маршрутизации (1)когда клиенты подключены и (2)когда нет, и скажи есть ли разница и если есть то какая? ---------- ну и на кой мне эта подпись? Всего записей: 2908 | Зарегистр. 10-09-2001 | Отправлено: 01:03 12-12-2004

shokonew Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору нет таблица маршрутезации не изменилась такая же как и ест. не имеет значения клиенты подключены или нет.   На роутере самом эта функция есть. реверс паз называется а вот на пиксе этого нет что с одного внешнего интерфейса на другой на найти как говорится обходной путь Всего записей: 22 | Зарегистр. 15-10-2004 | Отправлено: 12:34 13-12-2004

roma skydiver Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору shokonew хм... ладненько... а как пикс понимает куда слать пакеты для скажем 172.20.0.2? ведь когда приходит ответ из локалки скажем на пинг он же приходит?   Цитата: remote ident (addr/mask/prot/port): (172.20.0.2/255.255.255.255/0/0) вот кстати почему ремоте? ---------- ну и на кой мне эта подпись? Всего записей: 2908 | Зарегистр. 10-09-2001 | Отправлено: 14:57 13-12-2004

shokonew Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору через аксес лист который дает ему понять что пакет пришедшей изнутри следует по впн соединению. Всего записей: 22 | Зарегистр. 15-10-2004 | Отправлено: 18:28 13-12-2004

roma skydiver Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ага, всё проблему понял (гугл рулит) решение я тебе готового не скажу с пиксами ниразу не работал... вобщем основная трабла здесь Цитата: Я читал что пикс  не роутить с одного интерфейса.   т.е. надо заставить приходить пакеты с другого интерфейса на пиксе то два интерфейса ведь (один типа 172,16,0,х а второй 192,168,0,х)?   вобщем как-то так: локалка (172,16,0,0,/16)          | (172.16.0.x) пикс   (192.168.0.х)    /               \ (172.16.0.1)   (172.16.0.2) клиент1           клиент2 так?   вопросы: 1. что у тебя для пикса дефолт гетвей? внутрь? 2. мог бы ты поснифить трафик (после пикса в локалку) когда клиент 172.16.0.2 делает запрос на 172.16.0.1? т.е. что делает пикс режет этот пакет или всё таки куда-то туда (в локалку) шлёт? может на какой-то дефолт гетвей если есть он в локалке...   вобщем решение будет полюбому заключаться в установке дополнительного роутера только вот от ответа на 2 будет зависить то как это будет реализовано... ---------- ну и на кой мне эта подпись? Всего записей: 2908 | Зарегистр. 10-09-2001 | Отправлено: 23:46 13-12-2004

shokonew Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору если поставить роутер пикс не нужен так роутер может делать все.   Здесь как то маршрутизацию поставить надо Всего записей: 22 | Зарегистр. 15-10-2004 | Отправлено: 19:28 16-12-2004

roma skydiver Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору shokonew под роутером я имею ввиду компьютер с одной сетевушкой... можно наверно один из уже работающих компов им сделать... Цитата: Здесь как то маршрутизацию поставить надо не походу не будет пикс с одного интерфейса на него же роутить... ---------- ну и на кой мне эта подпись? Всего записей: 2908 | Зарегистр. 10-09-2001 | Отправлено: 08:39 17-12-2004

shokonew Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору так такой компьютер есть  с адресом 172.16.0.20 но впн клиенты его видят так как клиенты впн соединения с сети 172.20.0.0 255.255.0.0 видят и работают с сетью 172.16.0.0 255.255.0.0   но вот между собой именно то есть два клиента с впн сетки с адресами 172.20.0.2 и 172.20.0.4 видят сеть 172.16.0.0 и работают с клиентами из этой сети. Но вот работать с друг другом они не могут. Всего записей: 22 | Зарегистр. 15-10-2004 | Отправлено: 13:14 20-12-2004

roma skydiver Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору shokonew да понял я всё-понял!!! смотри какая идея: пикс не рутит с одного интерфейса на самогоже себя, так? но между интерфейсам рутит, так? пытаемся делать вот что (но это надо проверить) пикс у тебя ведь в локалку пропускает? так вот там поднять какое нибудь средство маршрутизации чтоб оно пакеты направленные к какому либо клиенту (диапазон айпишников клиентов ведь тебе известен?) пикса на пикс заворачивало...   но самое главное для этого надо проверить ЧТО ДЕЛАЕТ ПИКС С ПАКЕТАМИ КЛИЕНТ-КЛИЕНТ? режет или дальше пускает в локалку? вовнутрь так сказать... ---------- ну и на кой мне эта подпись? Всего записей: 2908 | Зарегистр. 10-09-2001 | Отправлено: 15:12 20-12-2004

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Файервол pix+VPN: клиенты с Cisco VPN client не пингуют себя

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование