Задать вопрос
  • Почему не поднимается тоннель между cisco rv320 и cisco 871?

    @topbanana Автор вопроса
    Думаю это уже другой вопрос. В общем тоннель работает. Все пингуется с обеих сторон. Но не хочет открываться сетевая папка на другом конце и не подключается к rdp серверу. Если подключиться к роутеру по pptp, то все работает. Через ipsec нет.
  • Почему не поднимается тоннель между cisco rv320 и cisco 871?

    @topbanana Автор вопроса
    @ragent А у меня RV320 не хочет, хотя 871 подключается =/
    Похоже это еще не все.
    Сейчас ситуация такая: тоннель поднимается, с обеих сторон можно пропинговать роутер на другом конце.
    Назовем роутеры R1 и R2. R1 - старый роутер, R2 - замена для RV320.
    Со стороны R2 c компьютера можно пропинговать все, что пингуется в сети R1, но не получается ни открыть сетевые папки, ни подключиться по rdp к серверу.
    Со стороны R1 пингуется только роутер R2, компьютер не пингуется.
    Что делать?
  • Почему не поднимается тоннель между cisco rv320 и cisco 871?

    @topbanana Автор вопроса
    @ragent Здравствуйте! Не понял, какие услуги на платной основе?

    Получилось у меня все.
    Теперь 2 роутера подключены напрямую к ISP и имеют белые ip. И оба cisco 871.

    Я взял и недолго думая скопировал настройки с этого мануала www.firewall.cx/cisco-technical-knowledgebase/cisc...

    Попробовал пинг с одного роутера до второго после всех настроек - и ничего. Хотел уже вас просить о помощи, но пропинговав удаленную сеть с компьютера, vpn поднялся и пинг прошел. Не знаю чего оно с роутера не идет.. Хм.. хотя если сделать ping 10.1.1.1 source vlan 1, то и с роутера идет пинг.

    В общем с горем пополам заработало! Спасибо за вашу помощь =)
  • Почему не поднимается тоннель между cisco rv320 и cisco 871?

    @topbanana Автор вопроса
    @ragent Никак) Люди от меня устали и перестали отвечать на вопросы, собираюсь читать книгу по маршрутизации. В крайнем случае придется заплатить специалисту, который настроит туннели на микротиках. По цискам у нас в городе нет мастеров.
  • Почему не поднимается тоннель между cisco rv320 и cisco 871?

    @topbanana Автор вопроса
    Подключил rv320 напрямую к другому провайдеру, теперь у него внешний адрес wan 10.7.100.34, внутренний 10.1.2.1. Тоннель теперь вообще не поднимается.

    вот что пишет 871
    Jul 16 08:00:58.303: ISAKMP (2004): received packet from 193.200.22.2 dport 500 sport 500 Global (R) QM_IDLE
    Jul 16 08:00:58.303: ISAKMP: set new node -611826507 to QM_IDLE
    Jul 16 08:00:58.307: ISAKMP:(2004): processing HASH payload. message ID = -611826507
    Jul 16 08:00:58.307: ISAKMP:(2004): processing SA payload. message ID = -611826507
    Jul 16 08:00:58.307: ISAKMP:(2004):Checking IPSec proposal 0
    Jul 16 08:00:58.307: ISAKMP: transform 0, AH_SHA
    Jul 16 08:00:58.307: ISAKMP:   attributes in transform:
    Jul 16 08:00:58.307: ISAKMP:      group is 5
    Jul 16 08:00:58.307: ISAKMP:      encaps is 1 (Tunnel)
    Jul 16 08:00:58.307: ISAKMP:      SA life type in seconds
    Jul 16 08:00:58.307: ISAKMP:      SA life duration (basic) of 3600
    Jul 16 08:00:58.307: ISAKMP:      authenticator is HMAC-SHA
    Jul 16 08:00:58.307: ISAKMP:(2004):atts are acceptable.
    Jul 16 08:00:58.307: ISAKMP:(2004):Checking IPSec proposal 0
    Jul 16 08:00:58.307: ISAKMP: transform 0, ESP_AES
    Jul 16 08:00:58.307: ISAKMP:   attributes in transform:
    Jul 16 08:00:58.307: ISAKMP:      group is 5
    Jul 16 08:00:58.307: ISAKMP:      encaps is 1 (Tunnel)
    Jul 16 08:00:58.307: ISAKMP:      SA life type in seconds
    Jul 16 08:00:58.307: ISAKMP:      SA life duration (basic) of 3600
    Jul 16 08:00:58.307: ISAKMP:      authenticator is HMAC-SHA
    Jul 16 08:00:58.307: ISAKMP:      key length is 256
    Jul 16 08:00:58.307: ISAKMP:(2004):atts are acceptable.
    Jul 16 08:00:58.307: IPSEC(validate_proposal_request): proposal part #1
    Jul 16 08:00:58.307: IPSEC(validate_proposal_request): proposal part #1,
      (key eng. msg.) INBOUND local= 93.190.177.215, remote= 193.200.22.2,
        local_proxy= 10.1.1.0/255.255.255.0/0/0 (type=4),
        remote_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4),
        protocol= AH, transform= NONE  (Tunnel),
        lifedur= 0s and 0kb,
        spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0
    Jul 16 08:00:58.307: IPSEC(validate_proposal_request): proposal part #2
    Jul 16 08:00:58.307: IPSEC(validate_proposal_request): proposal part #2,
      (key eng. msg.) INBOUND local= 93.190.177.215, remote= 193.200.22.2,
        local_proxy= 10.1.1.0/255.255.255.0/0/0 (type=4),
        remote_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4),
        protocol= ESP, transform= NONE  (Tunnel),
        lifedur= 0s and 0kb,
        spi= 0x0(0), conn_id= 0, keysize= 256, flags= 0x0
    Jul 16 08:00:58.307: Crypto mapdb : proxy_match
            src addr     : 10.1.1.0
            dst addr     : 192.168.1.0
            protocol     : 0
            src port     : 0
            dst port     : 0
    Jul 16 08:00:58.311: Crypto mapdb : proxy_match
            src addr     : 10.1.1.0
            dst addr     : 192.168.1.0
            protocol     : 0
            src port     : 0
            dst port     : 0
    Jul 16 08:00:58.311: map_db_find_best did not find matching map
    Jul 16 08:00:58.311: IPSEC(ipsec_process_proposal): proxy identities not supported
    Jul 16 08:00:58.311: ISAKMP:(2004): IPSec policy invalidated proposal with error 32
    Jul 16 08:00:58.311: ISAKMP:(2004): phase 2 SA policy not acceptable! (local 93.190.177.215 remote 193.200.22.2)
    Jul 16 08:00:58.311: ISAKMP: set new node 277978537 to QM_IDLE
    Jul 16 08:00:58.311: ISAKMP:(2004):Sending NOTIFY PROPOSAL_NOT_CHOSEN protocol 2
            spi 2223674800, message ID = 277978537
    Jul 16 08:00:58.311: ISAKMP:(2004): sending packet to 193.200.22.2 my_port 500 peer_port 500 (R) QM_IDLE
    Jul 16 08:00:58.311: ISAKMP:(2004):Sending an IKE IPv4 Packet.
    Jul 16 08:00:58.311: ISAKMP:(2004):purging node 277978537
    Jul 16 08:00:58.311: ISAKMP:(2004):deleting node -611826507 error TRUE reason "QM rejected"
    Jul 16 08:00:58.311: ISAKMP:(2004):Node -611826507, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
    Jul 16 08:00:58.311: ISAKMP:(2004):Old State = IKE_QM_READY  New State = IKE_QM_READY
    Jul 16 08:00:59.455: ISAKMP:(2003):purging node 2045592847
    Jul 16 08:01:04.348: ISAKMP (0): received packet from 193.200.22.2 dport 500 sport 500 Global (N) NEW SA
    Jul 16 08:01:04.348: %CRYPTO-4-IKMP_NO_SA: IKE message from 193.200.22.2 has no SA and is not an initialization offer
    Jul 16 08:01:08.357: ISAKMP (2004): received packet from 193.200.22.2 dport 500 sport 500 Global (R) QM_IDLE
    Jul 16 08:01:08.357: ISAKMP:(2004): phase 2 packet is a duplicate of a previous packet.
    Jul 16 08:01:08.357: ISAKMP:(2004): retransmitting due to retransmit phase 2
    Jul 16 08:01:08.357: ISAKMP:(2004): ignoring retransmission,because phase2 node marked dead -611826507
    Jul 16 08:01:08.357: ISAKMP (2003): received packet from 193.200.22.2 dport 500 sport 500 Global (R) MM_NO_STATE


    Что за dest addr 192.168.1.0? Этого адреса нет ни в конфиге 871, ни в настройках 320. Похоже, надо было брать d-link какой-нибудь.
  • Почему не поднимается тоннель между cisco rv320 и cisco 871?

    @topbanana Автор вопроса
    Outbound увеличивается при попытке пингануть. 2 пинга, outbound enc'ed 10.

    router#show crypto session detail   
    Crypto session current status
    
    Code: C - IKE Configuration mode, D - Dead Peer Detection     
    K - Keepalives, N - NAT-traversal, T - cTCP encapsulation     
    X - IKE Extended Authentication, F - IKE Fragmentation
    
    Interface: Dialer0
    Uptime: 00:45:11
    Session status: UP-ACTIVE     
    Peer: 93.190.178.205 port 500 fvrf: (none) ivrf: (none)
          Phase1_id: 192.168.1.100
          Desc: (none)
      IKE SA: local 93.190.177.215/500 remote 93.190.178.205/500 Active 
              Capabilities:(none) connid:2001 lifetime:07:14:48
      IPSEC FLOW: permit ip 10.1.1.0/255.255.255.0 10.1.2.0/255.255.255.0 
            Active SAs: 4, origin: dynamic crypto map
            Inbound:  #pkts dec'ed 0 drop 2701 life (KB/Sec) 4437914/888
            Outbound: #pkts enc'ed 10 drop 0 life (KB/Sec) 4438378/888


    На днях отнесу rv320 к другому isp, попробую напрямую подключить его к сети и посмотрю что будет.
  • Почему не поднимается тоннель между cisco rv320 и cisco 871?

    @topbanana Автор вопроса
    Проблема с подключением была из-за окончания срока абонплаты.

    Прошивку обновил еще раз до последней доступной c870-advipservicesk9-mz.124-24.T8.bin

    VSH_871_router#sh crypto session detail 
    Crypto session current status 
    
    Code: C - IKE Configuration mode, D - Dead Peer Detection      
    K - Keepalives, N - NAT-traversal, T - cTCP encapsulation      
    X - IKE Extended Authentication, F - IKE Fragmentation 
    
    Interface: Dialer0 
    Uptime: 00:40:37 
    Session status: UP-ACTIVE      
    Peer: 93.190.178.205 port 500 fvrf: (none) ivrf: (none) 
          Phase1_id: 192.168.1.100 
          Desc: (none) 
      IKE SA: local 93.190.177.103/500 remote 93.190.178.205/500 Active 
              Capabilities:(none) connid:2001 lifetime:07:19:22 
      IPSEC FLOW: permit ip 10.1.1.0/255.255.255.0 10.1.2.0/255.255.255.0 
            Active SAs: 4, origin: dynamic crypto map 
            Inbound:  #pkts dec'ed 0 <b>drop 30</b> life (KB/Sec) 4500544/1162 
            Outbound: #pkts enc'ed 5 drop 0 life (KB/Sec) 4500549/1162


    Пакеты доходят, но он их режет?
  • Ошибка подключения cisco 871 к pptp серверу. В чем может быть проблема?

    @topbanana Автор вопроса
    сделал на dialer0
    no ppp chap hostname
    no ppp chap password
    ppp chap hostname login
    ppp chap password password


    Логин и пароль, как и были раньше, совпадают с договором. Но ошибка та же при подключении.
  • Ошибка подключения cisco 871 к pptp серверу. В чем может быть проблема?

    @topbanana Автор вопроса
    буквально не менялся, я его не перезаливал. Сейчас попробую заново ввести логин и пароль.
  • Почему не поднимается тоннель между cisco rv320 и cisco 871?

    @topbanana Автор вопроса
    @ragent есть такая вкладка habrastorage.org/files/b8f/635/ed0/b8f635ed068646d...
    но там пусто.

    Я обновил ios на 871, теперь у меня другая проблема появилась - он перестал подключаться к pptp серверу провайдера.
  • Почему не поднимается тоннель между cisco rv320 и cisco 871?

    @topbanana Автор вопроса
    @ragent
    Добавил такое же правило в firewall, добавил галку keepalive.
    habrastorage.org/files/868/55f/da4/86855fda46ab454...

    Изменений нет.

    В конфиге тоннеля нет упоминания 192.168.1.1, но есть упоминание 192.168.1.100 - wan адрес rv320, а 192.168.1.1 это tp-link, который шлюз для rv320.

    Прошивка последняя на rv320. В доке написано, что он может быть сервером pptp, но не клиентом. Может надо на 871 прошивку обновить до последней и тогда уже смотреть.

    Вообще изначально настраивать пытался по этой доке https://supportforums.cisco.com/sites/default/file...
    У них в методичке вообще все просто и не предполагается наличие проблем :-/
  • Почему не поднимается тоннель между cisco rv320 и cisco 871?

    @topbanana Автор вопроса
    Пока лазил искал что еще можно на RV320 увидеть, заметил, что у меня было добавлено 3 VLAN по умолчанию, решил 2 лишние удалить. В процессе удаления проскочили несколько пакетов пинга и mtr показал путь до 871. Потом все остановилось. Повторить добавлением и удалением vlan'ов это не получилось.

    Зато если оставить пинг включенным и перезагрузить RV320, то пинг проскакивает, или как это понимать?
    habrastorage.org/files/eb9/a9c/cac/eb9a9ccac6a6427...
    Тут я дважды перезагружал RV320.
  • Почему не поднимается тоннель между cisco rv320 и cisco 871?

    @topbanana Автор вопроса
    @ragent, Не знаю, как тут в комментариях вставить картинки дам ссылки. На RV320 стоит лог вот этого:
    habrastorage.org/files/ae2/b13/3fb/ae2b133fb22b416...

    После попытки пинга с rv320 вот что в логе:

    2014-07-08, 21:58:02    VPN Log    [g2gips0]: cmd=up-client peer=93.190.176.206 peer_client=10.1.1.0/24 peer_client_net=10.1.1.0 peer_client_mask=255.255.255.0 
    2014-07-08, 21:58:02    VPN Log    ip route add 10.1.1.0/24 via 192.168.1.1 dev eth1 metric 35 
    2014-07-08, 21:58:02    VPN Log    iptables -t nat -I vpn -s 10.1.2.0/24 -d 10.1.1.0/24 -j ACCEPT 
    2014-07-08, 21:58:02    VPN Log    iptables -t nat -I vpn -s 10.1.1.0/24 -d 10.1.2.0/24 -j ACCEPT 
    2014-07-08, 21:58:02    VPN Log    iptables -t nat -I vpn_postrouting -s 10.1.2.0/24 -d 10.1.1.0/24 -j ACCEPT 
    2014-07-08, 21:58:02    VPN Log    iptables -t nat -I vpn_postrouting -o eth0 -s 10.1.1.0/24 -d 10.1.2.0/24 -j ACCEPT 
    2014-07-08, 21:58:02    VPN Log    [g2gips0] #1107: [Tunnel Established] sent QI2, IPsec SA established {ESP=>0x2f20b67b < 0xcc2ebbfa AH=>0x774b729a < 0xc43b8961}


    Еще есть статистика по трафику. Непонятно, что за пакеты уходят в WAN2, если она не подключена. Цифры там потихоньку увеличиваются.
    habrastorage.org/files/0ad/bdf/846/0adbdf84607a417...

    На TP-Link вот такие настройки стоят:
    habrastorage.org/files/1ea/93f/9f5/1ea93f9f512f4a4...
  • Почему не поднимается тоннель между cisco rv320 и cisco 871?

    @topbanana Автор вопроса
    Так что же делать? Тоннель нужен очень. Можно пожертвовать возможностью ходить во внутреннюю сеть провайдера.
  • Почему не поднимается тоннель между cisco rv320 и cisco 871?

    @topbanana Автор вопроса
    Если её убрать, то я с 871 не могу достучаться до компьютеров во внутренней сети провайдера. Но могу из этой сети достучаться до роутера. В принципе мне именно из сети провайдера до роутера и надо достучаться, чтобы подключаться к компьютеру за ним по rdp.

    В любом случае наличие этого правила не влияет на работоспособность тоннеля.
  • Почему не поднимается тоннель между cisco rv320 и cisco 871?

    @topbanana Автор вопроса
    @ragent да, пинговал, конечно.
    По поводу конфигурации на 871, мне так подсказал @throughtheether в ответе на вопрос на настройке pptp для этого 871-го вот тут Что не так с настройкой pptp client на cisco 871?
  • Почему не поднимается тоннель между cisco rv320 и cisco 871?

    @topbanana Автор вопроса
    @ragent, убрал match interface Dialer0, ничего не изменилось для тоннеуля. Убрал дополнительно ip nat inside source route-map LOCAL interface fastEthernet 4 overload, тоже ничего не поменялось. Возвращаю.
  • Почему не поднимается тоннель между cisco rv320 и cisco 871?

    @topbanana Автор вопроса
    router(config)#no ip nat inside source route-map LOCAL interface fastEthernet 4 overload 
    router(config)#exit 
    router#ping 10.1.2.1 source 10.1.1.1
    
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 10.1.2.1, timeout is 2 seconds:
    Packet sent with a source address of 10.1.1.1 
    .....
    Success rate is 0 percent (0/5)


    возвращаю ip nat inside source route-map LOCAL interface fastEthernet 4 overload
  • Почему не поднимается тоннель между cisco rv320 и cisco 871?

    @topbanana Автор вопроса
    Ну и вот, чтобы быть уверенным, что я не зря пингую
    #show crypto session 
    Crypto session current status
    
    Interface: Dialer0
    Session status: UP-ACTIVE     
    Peer: 93.190.178.205 port 500 
      IKE SA: local 93.190.176.206/500 remote 93.190.178.205/500 Active 
      IPSEC FLOW: permit ip 10.1.1.0/255.255.255.0 10.1.2.0/255.255.255.0 
            Active SAs: 4, origin: dynamic crypto map