Настройка VPN на Cisco 871

@despc · Регистрация: 10.10.2012

Студворк — интернет-сервис помощи студентам

Добрый вечер. Настроил cisco 871 роутером. Настроил VPN подключение к виндовому серверу, коннект есть, светодиод ppp горит а vpn нет. Проблема в том что адреса локальной сети в которой находится впн сервер не пингуются и доступа к ним нет я подозреваю что нужно как то хитро настроить нат.
Вот конфиг

Кликните здесь для просмотра всего текста

!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
no ip gratuitous-arps
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.100.1 192.168.100.99
!
ip dhcp pool LAN
network 192.168.100.0 255.255.255.0
default-router 192.168.100.1
dns-server 192.168.99.1
!
!
ip multicast-routing
vpdn enable
!
vpdn-group 1
request-dialin
protocol pptp
rotary-group 0
initiate-to ip 85.198.121.90
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description Internet
ip address dhcp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
description LAN
ip address 192.168.100.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Dialer0
mtu 1450
ip address negotiated
ip pim dense-mode
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip igmp query-interval 125
dialer in-band
dialer idle-timeout 0
dialer string 123
dialer vpdn
dialer-group 1
no cdp enable
ppp pfc local request
ppp pfc remote apply
ppp encrypt mppe auto
ppp chap hostname vpn2
ppp chap password 0 20132013
!
ip route 0.0.0.0 0.0.0.0 192.168.99.1
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 85.198.121.90 255.255.255.255 192.168.99.1
ip route 85.198.121.90 255.255.255.255 FastEthernet0
ip route 85.198.121.90 255.255.255.255 dhcp
!
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source list NAT interface FastEthernet0 overload
ip nat inside source list TO_NAT interface FastEthernet4 overload
!
ip access-list extended NAT
permit ip host 192.168.100.1 any
ip access-list extended TO_NAT
permit ip 192.168.100.0 0.0.0.255 any
!
access-list 1 permit 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit
!
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
login
!
scheduler max-task-time 5000
end

настраивал впн по этой штуке https://supportforums.cisco.com/thread/2229532
подозреваю что по незнанию накрутил чего то не того.
Заранее благодарен за помошь.

Jabbson · 17.10.2013, 17:10

access-list 1 permit 192.168.1.0 0.0.0.255

это про что?

ip nat inside source list NAT interface FastEthernet0 overload

на fa0 нет адреса, что имелось ввиду?

ip nat inside source list TO_NAT interface FastEthernet4 overload

fa4 - это не выход в интернет, что имелось ввиду?

ip route 0.0.0.0 0.0.0.0 192.168.99.1
ip route 0.0.0.0 0.0.0.0 Dialer0

вам нужна per-flow балансировка трафика с непредсказуемыми результатами?

ip route 85.198.121.90 255.255.255.255 192.168.99.1
ip route 85.198.121.90 255.255.255.255 FastEthernet0
ip route 85.198.121.90 255.255.255.255 dhcp

этот адрес находится за всеми тремя интерфейсами?

@despc · 17.10.2013, 17:14 **[ТС]**

это я от безысходности тыкал все кнопки. это взято с хабра

Кликните здесь для просмотра всего текста

! создаем список IP имеющих доступ к NAT
ip access-list extended NAT
permit ip host 192.168.???.??? any

! включаем NAT на внешнем интерфейсе
ip nat inside source list NAT interface FastEthernet0/0 overload

адрес 85.198.121.90 это адрес VPN сервера который фиг знает где находится соответственно за циской, за тплинком который интернет получает, и потом через интернет

Jabbson · 17.10.2013, 17:16

я бы посоветовал почистить все, что уже сделано и начать заново.
адрес на dialer interface получили?

@despc · 17.10.2013, 17:19 **[ТС]**

получает. например сейчас получило 192.168.0.66

Jabbson · 17.10.2013, 17:22

у Вас серые адреса С класса провайдер дает?

@despc · 17.10.2013, 17:26 **[ТС]**

провайдер тот что со стороны циски работает через static IP с адресом 195.208.36.207

Jabbson · 17.10.2013, 17:27

а кто адрес дает?

@despc · 17.10.2013, 17:32 **[ТС]**

адрес 192.168.0.66 на интерфейс Dialer0 дал dhcp сервер который находится с той стороны впн

Jabbson · 17.10.2013, 17:34

то есть это правильно, и такой адрес и должен быть на Вашем внешнем интерфейсе, да?

@despc · 17.10.2013, 17:41 **[ТС]**

Да, на том интерфейсе который соединяется с впн сервером и должен быть такой. тут вроде правильно всё. но не пингуются адреса подсети 192.168.0.0 всё равно

Jabbson · 17.10.2013, 17:43

покажите sh ip route

@despc · 18.10.2013, 13:54 **[ТС]**

Кликните здесь для просмотра всего текста

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route

Gateway of last resort is 192.168.99.1 to network 0.0.0.0

85.0.0.0/32 is subnetted, 1 subnets
S 85.198.121.90 [1/0] via 192.168.99.1
C 192.168.99.0/24 is directly connected, FastEthernet4
C 192.168.100.0/24 is directly connected, Vlan1
S* 0.0.0.0/0 [1/0] via 192.168.99.1
is directly connected, Dialer0

Теперь почему то перестал конектиться даже.

Jabbson · 18.10.2013, 13:59

Сообщение от despc

Теперь почему то перестал конектиться даже.

тогда смысла от show ip route особого нет

как же так - вчера коннектилось, а сегодня уже нет?

@despc · 18.10.2013, 14:07 **[ТС]**

Вы не поверите, сам не понимаю. ничего не менял на циске. перезагрузили VPN сервер и всё, перестало конектиться. Буду разбираться.

@despc · 21.10.2013, 17:21 **[ТС]**

Подключение настроил. лампочка ppp горит.
конфиг

Кликните здесь для просмотра всего текста

Current configuration : 1693 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
no ip gratuitous-arps
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.100.1 192.168.100.99
!
ip dhcp pool LAN
network 192.168.100.0 255.255.255.0
default-router 192.168.100.1
dns-server 192.168.99.1
!
!
ip multicast-routing
vpdn enable
!
vpdn-group 1
request-dialin
protocol pptp
rotary-group 0
initiate-to ip 192.168.99.106
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description === Internet ===
ip address dhcp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
description === LAN ===
ip address 192.168.100.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Dialer0
mtu 1450
ip address negotiated
ip pim dense-mode
encapsulation ppp
dialer in-band
dialer idle-timeout 0
dialer string 123
dialer vpdn
dialer-group 1
no cdp enable
ppp pfc local request
ppp pfc remote apply
ppp encrypt mppe auto
ppp chap hostname test2
ppp chap password 0 123456
!
ip route 0.0.0.0 0.0.0.0 192.168.99.1
!
!
no ip http server
no ip http secure-server
ip nat inside source list TO_NAT interface FastEthernet4 overload
!
ip access-list extended TO_NAT
permit ip 192.168.100.0 0.0.0.255 any
!
dialer-list 1 protocol ip permit
!
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
login
!
scheduler max-task-time 5000
end

show ip route

Кликните здесь для просмотра всего текста

Gateway of last resort is 192.168.99.1 to network 0.0.0.0

C 192.168.99.0/24 is directly connected, FastEthernet4
192.168.5.0/32 is subnetted, 2 subnets
C 192.168.5.5 is directly connected, Dialer0
C 192.168.5.1 is directly connected, Dialer0
S* 0.0.0.0/0 [1/0] via 192.168.99.1

Подскажите как быть с маршрутами теперь, что бы доступиться к локалке за VPN сервером?

Jabbson · 21.10.2013, 23:53

вот, собрал как пример:
Вопросы будут - задавайте.

Router configuration:

Кликните здесь для просмотра всего текста

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
Router#show run 
 
service internal 
 
ip multicast-routing  
 
vpdn enable 
 
vpdn-group VPDN 
 request-dialin 
  protocol pptp 
  rotary-group 1 
 initiate-to ip 50.1.1.254 
 
interface FastEthernet0/0 
 ip address dhcp 
 
interface FastEthernet0/1 
 ip address 192.168.1.254 255.255.255.0 
 ip nat inside 
 
interface Dialer1 
 ip address negotiated 
 ip pim dense-mode 
 ip nat outside 
 encapsulation ppp 
 dialer in-band 
 dialer string 123 
 dialer vpdn 
 dialer-group 1 
 ppp pfc local request 
 ppp pfc remote apply 
 ppp encrypt mppe auto 
 ppp chap hostname user1 
 ppp chap password 0 user1 
 
ip route 0.0.0.0 0.0.0.0 Dialer1 
 
ip nat inside source list NAT interface Dialer1 overload 
 
ip access-list extended NAT 
permit ip 192.168.1.0 0.0.0.255 any 
 
dialer-list 1 protocol ip permit

проверка:

Source:

Кликните здесь для просмотра всего текста

Code
1
2
3
4
5
6
7
Source#ping 8.8.8.8
 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
..!!!
Success rate is 60 percent (3/5), round-trip min/avg/max = 8/14/28 ms
Source#

Destination:

Кликните здесь для просмотра всего текста

Code
1
2
3
4
5
6
7
8
9
Destination#deb ip icmp
*Mar  1 01:02:25.627: %SYS-5-CONFIG_I: Configured from console by console
Destination#deb ip icmp
ICMP packet debugging is on
Destination#
*Mar  1 01:03:45.535: ICMP: echo reply sent, src 8.8.8.8, dst 100.1.1.1
*Mar  1 01:03:45.551: ICMP: echo reply sent, src 8.8.8.8, dst 100.1.1.1
*Mar  1 01:03:45.567: ICMP: echo reply sent, src 8.8.8.8, dst 100.1.1.1
Destination#

Новые блоги и статьи Все статьи Все блоги /
Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .	Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.
Фиксация колонок в отчете СКД Maks 14.04.2026 Фиксация колонок в СКД отчета типа Таблица. Задача: зафиксировать три левых колонки в отчете. Процедура ПриКомпоновкеРезультата(ДокументРезультат, ДанныеРасшифровки, СтандартнаяОбработка) / / . . .	Настройки VS Code Loafer 13.04.2026 { "cmake. configureOnOpen": false, "diffEditor. ignoreTrimWhitespace": true, "editor. guides. bracketPairs": "active", "extensions. ignoreRecommendations": true, . . .	Оптимизация кода на разграничение прав доступа к элементам формы Maks 13.04.2026 Алгоритм из решения ниже реализован на нетиповом документе, разработанного в конфигурации КА2. Задачи, как таковой, поставлено не было, проделанное ниже исключительно моя инициатива. Было так:. . .	Контроль заполнения и очистка дат в зависимости от значения перечислений Maks 12.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: реализовать контроль корректности заполнения дат назначения. . .

@despc 3 / 3 / 1 Регистрация: 10.10.2012 Сообщений: 26

	Настройка VPN на Cisco 871 17.10.2013, 17:05. Показов 6837. Ответов 16 Метки нет (Все метки) Добрый вечер. Настроил cisco 871 роутером. Настроил VPN подключение к виндовому серверу, коннект есть, светодиод ppp горит а vpn нет. Проблема в том что адреса локальной сети в которой находится впн сервер не пингуются и доступа к ним нет я подозреваю что нужно как то хитро настроить нат. Вот конфиг Кликните здесь для просмотра всего текста ! version 12.4 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption service internal ! hostname Router ! boot-start-marker boot-end-marker ! ! no aaa new-model ! resource policy ! no ip gratuitous-arps ip cef ! ! no ip dhcp use vrf connected ip dhcp excluded-address 192.168.100.1 192.168.100.99 ! ip dhcp pool LAN network 192.168.100.0 255.255.255.0 default-router 192.168.100.1 dns-server 192.168.99.1 ! ! ip multicast-routing vpdn enable ! vpdn-group 1 request-dialin protocol pptp rotary-group 0 initiate-to ip 85.198.121.90 ! ! ! ! ! ! ! ! ! ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 description Internet ip address dhcp ip nat outside ip virtual-reassembly duplex auto speed auto ! interface Vlan1 description LAN ip address 192.168.100.1 255.255.255.0 ip nat inside ip virtual-reassembly ! interface Dialer0 mtu 1450 ip address negotiated ip pim dense-mode ip nat outside ip virtual-reassembly encapsulation ppp ip igmp query-interval 125 dialer in-band dialer idle-timeout 0 dialer string 123 dialer vpdn dialer-group 1 no cdp enable ppp pfc local request ppp pfc remote apply ppp encrypt mppe auto ppp chap hostname vpn2 ppp chap password 0 20132013 ! ip route 0.0.0.0 0.0.0.0 192.168.99.1 ip route 0.0.0.0 0.0.0.0 Dialer0 ip route 85.198.121.90 255.255.255.255 192.168.99.1 ip route 85.198.121.90 255.255.255.255 FastEthernet0 ip route 85.198.121.90 255.255.255.255 dhcp ! ! no ip http server no ip http secure-server ip nat inside source list 1 interface Dialer0 overload ip nat inside source list NAT interface FastEthernet0 overload ip nat inside source list TO_NAT interface FastEthernet4 overload ! ip access-list extended NAT permit ip host 192.168.100.1 any ip access-list extended TO_NAT permit ip 192.168.100.0 0.0.0.255 any ! access-list 1 permit 192.168.1.0 0.0.0.255 dialer-list 1 protocol ip permit ! ! ! ! control-plane ! ! line con 0 no modem enable line aux 0 line vty 0 4 login ! scheduler max-task-time 5000 end настраивал впн по этой штуке https://supportforums.cisco.com/thread/2229532 подозреваю что по незнанию накрутил чего то не того. Заранее благодарен за помошь. 0

@despc 3 / 3 / 1 Регистрация: 10.10.2012 Сообщений: 26
	17.10.2013, 17:14 [ТС]
	это я от безысходности тыкал все кнопки. это взято с хабра Кликните здесь для просмотра всего текста ! создаем список IP имеющих доступ к NAT ip access-list extended NAT permit ip host 192.168.???.??? any ! включаем NAT на внешнем интерфейсе ip nat inside source list NAT interface FastEthernet0/0 overload адрес 85.198.121.90 это адрес VPN сервера который фиг знает где находится соответственно за циской, за тплинком который интернет получает, и потом через интернет 0

Jabbson 5907 / 3359 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	17.10.2013, 17:16
	я бы посоветовал почистить все, что уже сделано и начать заново. адрес на dialer interface получили? 0

@despc 3 / 3 / 1 Регистрация: 10.10.2012 Сообщений: 26
	17.10.2013, 17:19 [ТС]
	получает. например сейчас получило 192.168.0.66 0

Jabbson 5907 / 3359 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	17.10.2013, 17:22
	у Вас серые адреса С класса провайдер дает? 0

@despc 3 / 3 / 1 Регистрация: 10.10.2012 Сообщений: 26
	17.10.2013, 17:26 [ТС]
	провайдер тот что со стороны циски работает через static IP с адресом 195.208.36.207 0

Jabbson 5907 / 3359 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	17.10.2013, 17:27
	а кто адрес дает? 0

@despc 3 / 3 / 1 Регистрация: 10.10.2012 Сообщений: 26
	17.10.2013, 17:32 [ТС]
	адрес 192.168.0.66 на интерфейс Dialer0 дал dhcp сервер который находится с той стороны впн 0

Jabbson 5907 / 3359 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	17.10.2013, 17:34
	то есть это правильно, и такой адрес и должен быть на Вашем внешнем интерфейсе, да? 0

@despc 3 / 3 / 1 Регистрация: 10.10.2012 Сообщений: 26
	17.10.2013, 17:41 [ТС]
	Да, на том интерфейсе который соединяется с впн сервером и должен быть такой. тут вроде правильно всё. но не пингуются адреса подсети 192.168.0.0 всё равно 0

Jabbson 5907 / 3359 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	17.10.2013, 17:43
	покажите sh ip route 0

@despc 3 / 3 / 1 Регистрация: 10.10.2012 Сообщений: 26
	18.10.2013, 13:54 [ТС]
	Кликните здесь для просмотра всего текста Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is 192.168.99.1 to network 0.0.0.0 85.0.0.0/32 is subnetted, 1 subnets S 85.198.121.90 [1/0] via 192.168.99.1 C 192.168.99.0/24 is directly connected, FastEthernet4 C 192.168.100.0/24 is directly connected, Vlan1 S* 0.0.0.0/0 [1/0] via 192.168.99.1 is directly connected, Dialer0 Теперь почему то перестал конектиться даже. 0

@despc 3 / 3 / 1 Регистрация: 10.10.2012 Сообщений: 26
	18.10.2013, 14:07 [ТС]
	Вы не поверите, сам не понимаю. ничего не менял на циске. перезагрузили VPN сервер и всё, перестало конектиться. Буду разбираться. 0

@despc 3 / 3 / 1 Регистрация: 10.10.2012 Сообщений: 26
	21.10.2013, 17:21 [ТС]
	Подключение настроил. лампочка ppp горит. конфиг Кликните здесь для просмотра всего текста Current configuration : 1693 bytes ! version 12.4 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption service internal ! hostname Router ! boot-start-marker boot-end-marker ! ! no aaa new-model ! resource policy ! no ip gratuitous-arps ip cef ! ! no ip dhcp use vrf connected ip dhcp excluded-address 192.168.100.1 192.168.100.99 ! ip dhcp pool LAN network 192.168.100.0 255.255.255.0 default-router 192.168.100.1 dns-server 192.168.99.1 ! ! ip multicast-routing vpdn enable ! vpdn-group 1 request-dialin protocol pptp rotary-group 0 initiate-to ip 192.168.99.106 ! ! ! ! ! ! ! ! ! ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 description === Internet === ip address dhcp ip nat outside ip virtual-reassembly duplex auto speed auto ! interface Vlan1 description === LAN === ip address 192.168.100.1 255.255.255.0 ip nat inside ip virtual-reassembly ! interface Dialer0 mtu 1450 ip address negotiated ip pim dense-mode encapsulation ppp dialer in-band dialer idle-timeout 0 dialer string 123 dialer vpdn dialer-group 1 no cdp enable ppp pfc local request ppp pfc remote apply ppp encrypt mppe auto ppp chap hostname test2 ppp chap password 0 123456 ! ip route 0.0.0.0 0.0.0.0 192.168.99.1 ! ! no ip http server no ip http secure-server ip nat inside source list TO_NAT interface FastEthernet4 overload ! ip access-list extended TO_NAT permit ip 192.168.100.0 0.0.0.255 any ! dialer-list 1 protocol ip permit ! ! ! ! control-plane ! ! line con 0 no modem enable line aux 0 line vty 0 4 login ! scheduler max-task-time 5000 end show ip route Кликните здесь для просмотра всего текста Gateway of last resort is 192.168.99.1 to network 0.0.0.0 C 192.168.99.0/24 is directly connected, FastEthernet4 192.168.5.0/32 is subnetted, 2 subnets C 192.168.5.5 is directly connected, Dialer0 C 192.168.5.1 is directly connected, Dialer0 S* 0.0.0.0/0 [1/0] via 192.168.99.1 Подскажите как быть с маршрутами теперь, что бы доступиться к локалке за VPN сервером? 0