Задать вопрос
Maxim_ka
@Maxim_ka
Системный инженер

Замучил VPN (Cisco 2801)

Добрый день, сегодня провозился весь день, но так и не получилось победить проблему, решил обратиться к сообществу.
Надеюсь на помощь, заранее благодарю.

Имеется роутер с настроенным Remote Access VPN.
При подключении к VPN, все внутренние ресурсы доступны (Ping, SSH, https).
Но при подключении по RDP, соединение не проходит (соединяюсь по адресу 192.168.20.1)
telnet 192.168.20.1 3389 также не проходит. Внутри сети RDP работает без проблем.
Отследив трафик в сети, выяснил, что запрос доходит до сервера, но сервер не отвечает.
Отследить трафик на сервере не получается, так как там стоит Windows Server 2012, и на него не устанавливается Wireshark. (глубоко не копал).
Сервер установлен за 2000 км от меня, доступа физически нет.
Access-листы пока не используются.
При настройке static nat сервер сразу становится доступным по RDP извне.
Поэтому, скорее всего, проблема в настройке VPN
Ниже конфиги, касающиеся VPN-туннеля.
Модель маршрутизатора Cisco 2801.

aaa new-model
!
!
aaa authentication login default local enable
aaa authentication login userauthen local
aaa authorization exec default group tacacs+ local
aaa authorization network groupauthor local

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group vpn_users
key XXXXXX
dns XXXXXX
pool vpn_users
acl vpn_acl

!
!
crypto ipsec transform-set TEST esp-3des esp-sha-hmac
!
crypto dynamic-map TEST 10
set transform-set TEST
!
!
crypto map vpn_users client authentication list userauthen
crypto map vpn_users isakmp authorization list groupauthor
crypto map vpn_users client configuration address respond
crypto map vpn_users 10 ipsec-isakmp dynamic TEST

interface FastEthernet0/0
crypto map vpn_users

ip local pool vpn_users 192.168.5.2 192.168.5.10

ip access-list extended vpn_acl
permit ip 192.168.0.0 0.0.255.255 192.168.5.0 0.0.0.255

interface FastEthernet0/0
ip address 85.236.X.X 255.255.255.252
ip verify unicast reverse-path
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no snmp trap link-status
no cdp enable
crypto map vpn_users
end
  • Вопрос задан
  • 8502 просмотра
Подписаться 4 Оценить Комментировать
Решения вопроса 1
Maxim_ka
@Maxim_ka Автор вопроса
Системный инженер
Все разобрался. Спасибо за помощь )

Дело было в том. что обратные пакеты уходили в NAT
Пересоздал заново ACL для NATa, запрещающий натить трафик, который должен идти в туннель
После этого проблема решилась
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 2
@JDima
«Но при подключении по RDP, соединение не проходит (соединяюсь по адресу 192.168.20.1)». Пинги до 192.168.20.1 и обратно доходят, я правильно понял?

«Отследив трафик в сети, выяснил, что запрос доходит до сервера, но сервер не отвечает.» — как выяснили? ACL с permit или capture на интерфейсе к серверу? С каким source IP пакеты летят на сервер — из 192.168.5.0/24?
Где-нибудь еще в конфигурации роутера упоминается конкретно порт 3389?

«telnet 192.168.20.1 3389 также не проходит» — рвется по RST или по таймауту?

На сервере что с локальным файрволом? Нет ли там сети 192.168.5.0/24? Скорее всего, дело именно в этом.
Ответ написан
@tgz
Винда раньше любила для RDP ставить df=1 и такой пакет соответственно не пролезет в vpn из-за большого MTU.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы