Возможно ли решить следующую задачу? Имеются два Cisco ASA, которые обеспечивают VPN подключение (Client to Site), аутентификация через один RADIUS сервер (Windows NPS). Необходимо ограничить кол-во подключений с одной учётной записи через оба маршрутизатора. На RRAS это реализуется через самописный Administration DLL (при каждом подключении\отключении идёт обращение на State сервер).
» Настройка Cisco оборудования
да и такой вопрос - у меня 1800 циска
sh ver показывает
---------------------------
Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.4(25), RELEASE SOFTWARE (fc2)
можно перешиться на c1841-adventerprisek9-mz.151-4.M1.bin
на некоторых сайтах пишут что проблема в проше
sh ver показывает
---------------------------
Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.4(25), RELEASE SOFTWARE (fc2)
можно перешиться на c1841-adventerprisek9-mz.151-4.M1.bin
на некоторых сайтах пишут что проблема в проше
OOD
Из достаточно простого - cacti (правда не помню как хранит статистику (SQL или нет), zabbix, munin.
Мне лично zabbix нравится. Шаблоны у них на сайте есть, можно свои один раз сделать, если что-то не устраивает. А вообще если только загрузка портов интересует то можно его цеплять как generic snmp device.
То что вам выше написали можете посмотреть - продукты фирмы manageengine, в частности opmanager как раз для этих целей (но он платный, вроде как).
Добавлено:
MagistrAnatol
Цитата:
Включите отладку - может там что видно:
debug ppp mppe detailed
term mon
Из достаточно простого - cacti (правда не помню как хранит статистику (SQL или нет), zabbix, munin.
Мне лично zabbix нравится. Шаблоны у них на сайте есть, можно свои один раз сделать, если что-то не устраивает. А вообще если только загрузка портов интересует то можно его цеплять как generic snmp device.
То что вам выше написали можете посмотреть - продукты фирмы manageengine, в частности opmanager как раз для этих целей (но он платный, вроде как).
Добавлено:
MagistrAnatol
Цитата:
подскажи такое дело - почему не работает ppp encrypt mppe auto - при подключении клиентов и на андроиде и на винде приходиться убирать галку шифрования - иначе не подключается
Включите отладку - может там что видно:
debug ppp mppe detailed
term mon
tsypkin
Oct 11 07:20:52.537: %LINK-3-UPDOWN: Interface Virtual-Access3, changed state to up
Oct 11 07:20:52.585: %LINK-3-UPDOWN: Interface Virtual-Access3, changed state to down
Добавлено:
и как зашифровать пароль для конкретного пользователя
username пользователь privilege 0 secret 5 12345678
ну и соответственно получаю - введите зашифрованный пароль
Oct 11 07:20:52.537: %LINK-3-UPDOWN: Interface Virtual-Access3, changed state to up
Oct 11 07:20:52.585: %LINK-3-UPDOWN: Interface Virtual-Access3, changed state to down
Добавлено:
и как зашифровать пароль для конкретного пользователя
username пользователь privilege 0 secret 5 12345678
ну и соответственно получаю - введите зашифрованный пароль
MagistrAnatol
если у вас маршрутизатор настроен как pptp сервер, то для локальной аутентификации пользователей нужно заводить используя опцию password a не secret.
К примеру: username vpnuser password XXXX
P.s. вручную ничего шифровать не нужно, маршрутизатор сам снимет хэш пароля и сохранит его в NVRAM.
если у вас маршрутизатор настроен как pptp сервер, то для локальной аутентификации пользователей нужно заводить используя опцию password a не secret.
К примеру: username vpnuser password XXXX
P.s. вручную ничего шифровать не нужно, маршрутизатор сам снимет хэш пароля и сохранит его в NVRAM.
MagistrAnatol
Что-то никакого mppe в отладке совсем нет, только link-state
Если вы ставите что-то отличное от нуля после secret - это значит дальше уже будет зашифрованый пароль (это нужно для переноса конфигураций, не для создания новых пользователей)
Что-то никакого mppe в отладке совсем нет, только link-state
Если вы ставите что-то отличное от нуля после secret - это значит дальше уже будет зашифрованый пароль (это нужно для переноса конфигураций, не для создания новых пользователей)
mxtvbk
не зашифровало , в ран конфиг сохранилось в открытом виде
не зашифровало , в ран конфиг сохранилось в открытом виде
MagistrAnatol
все верно, я ошибся.
нужно добавить в конфиг такую директиву:
service password-encryption
все верно, я ошибся.
нужно добавить в конфиг такую директиву:
service password-encryption
mxtvbk
у меня стоит no service password-encryption - ето вообще зачем?
у меня стоит no service password-encryption - ето вообще зачем?
MagistrAnatol
Без password-encryption видя зашифрованные пароли в конфиге их можно легко расшифровать.
Без password-encryption видя зашифрованные пароли в конфиге их можно легко расшифровать.
что то я сегодня туплю, - для повышенной безопасности должно стоять service password-encryption а не no service password-encryption - верно?
MagistrAnatol
Да должно быть включено
Сделайте sh run | i user до и после включения - посмотрите разницу.
Да должно быть включено
Сделайте sh run | i user до и после включения - посмотрите разницу.
tsypkin
Цитата:
а на secret 5 моно как-то перевести
Добавлено:
как заставить циску зашифровать в мд5 или может есть сайти для шифрования
Цитата:
посмотрите разницу.увидел, только password 7 очень просто расшифровать
а на secret 5 моно как-то перевести
Добавлено:
как заставить циску зашифровать в мд5 или может есть сайти для шифрования
Цитата:
как заставить циску зашифровать в мд5 или может есть сайти для шифрования
In order to encrypt a user password with MD5 hashing, issue the username secret global configuration command.
username <name> secret <password>
В краце service password-encryption включает шифрование для пользователей и enable password шифром Виженера, если нужно использовать MD5 - тогда secret.
tsypkin
пасибо получилось
А что по поводу не рабочего шифрования??
Добавлено:
И повторю вопрос можно обновить операционку с
Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.4(25), RELEASE SOFTWARE (fc2)
на c1841-adventerprisek9-mz.151-4.M1.bin
Циска 1800 - просто в нете не нашел инфы о совместимости
пасибо получилось
А что по поводу не рабочего шифрования??
Добавлено:
И повторю вопрос можно обновить операционку с
Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.4(25), RELEASE SOFTWARE (fc2)
на c1841-adventerprisek9-mz.151-4.M1.bin
Циска 1800 - просто в нете не нашел инфы о совместимости
По поводу обновления - покажите полный вывод show version
tsypkin
[more=вот]Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.4(25), RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2009 by Cisco Systems, Inc.
Compiled Tue 21-Apr-09 10:04 by prod_rel_team
ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
c1841br uptime is 3 days, 39 minutes
System returned to ROM by power-on
System restarted at 11:15:48 KYIV Fri Oct 11 2013
System image file is "flash:c1841-advipservicesk9-mz.124-25.bin"
This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email to
export@cisco.com.
Cisco 1841 (revision 7.0) with 234496K/27648K bytes of memory.
Processor board ID FCZ1445C69J
2 FastEthernet interfaces
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity disabled.
191K bytes of NVRAM.
62720K bytes of ATA CompactFlash (Read/Write)
Configuration register is 0x2102
[/more]
[more=вот]Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.4(25), RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2009 by Cisco Systems, Inc.
Compiled Tue 21-Apr-09 10:04 by prod_rel_team
ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
c1841br uptime is 3 days, 39 minutes
System returned to ROM by power-on
System restarted at 11:15:48 KYIV Fri Oct 11 2013
System image file is "flash:c1841-advipservicesk9-mz.124-25.bin"
This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email to
export@cisco.com.
Cisco 1841 (revision 7.0) with 234496K/27648K bytes of memory.
Processor board ID FCZ1445C69J
2 FastEthernet interfaces
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity disabled.
191K bytes of NVRAM.
62720K bytes of ATA CompactFlash (Read/Write)
Configuration register is 0x2102
[/more]
MagistrAnatol
Можете обновлять, по памяти проходите:
DRAM/Flash: 192 / 64
Дальше будем смотреть шифрование.
Можете обновлять, по памяти проходите:
DRAM/Flash: 192 / 64
Дальше будем смотреть шифрование.
tsypkin
а такой нюанс - у нас растянута корпоративная сетка по впн тунелю - если я обновлюсь на более высокую версию не будет прикола как с заводом в домен 2003 95 винды - посношаться надо основательно что бы заработало?????
а такой нюанс - у нас растянута корпоративная сетка по впн тунелю - если я обновлюсь на более высокую версию не будет прикола как с заводом в домен 2003 95 винды - посношаться надо основательно что бы заработало?????
MagistrAnatol
Ну я бы флешку cf поставил побольше, чтобы можно было быстро откатиться. Так просто удобнее.
Да там нечему не работать.
Ну я бы флешку cf поставил побольше, чтобы можно было быстро откатиться. Так просто удобнее.
Да там нечему не работать.
MagistrAnatol
Цитата:
Цитата:
обновлюсь на более высокую версиюНовая версия, новые баги. Я бы подумал прежде чем обновляться. 15-ые Иосы кривущие в усмерть. Если 12.4 обновляешь, тогда можно.
Насчет обновления к сожалению не прокатит - вышестоящая контора запретила.
Может посмотрите [more=конфу]!
! Last configuration change at 18:50:43 KYIV Tue Oct 8 2013 by antarey
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname c1841br
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
aaa session-id common
clock timezone KYIV 2
clock summer-time KYIV recurring last Sun Mar 2:00 last Sun Oct 3:00
clock calendar-valid
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool wifi_dhcp
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
dns-server 10.31.4.10
lease 30
!
!
no ip domain lookup
ip domain name cterycyer.com
ip host members.dyndns.org 999.99.99.99
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
ip ddns update method dyndns
HTTP
add http://....:.....@dynupdate.no-ip.com/nic/update?hostname=<h>&myip=<a>
remove http://....:....@dynupdate.no-ip.com/nic/update?hostname=<h>&myip=<a>
interval maximum 0 10 0 0
interval minimum 0 2 0 0
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
!
!
crypto pki trustpoint TP-self-signed-261599588
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-261599588
revocation-check none
rsakeypair TP-self-signed-261599588
!
!
crypto pki certificate chain TP-self-signed-261599588
certificate self-signed 02
30820249 ... 52
quit
username antarey privilege 15 secret 5 ..........................
!
!
!
!
!
bba-group pppoe global
!
!
interface Tunnel0
....
!
interface FastEthernet0/0
description Eth-Link-BR-network
ip address 10.31.4.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1360
duplex auto
speed auto
!
interface FastEthernet0/1
description Link-to-ADSL-Internet-modem
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Virtual-Template1
ip unnumbered FastEthernet0/0
peer default ip address pool vpn_pool
no keepalive
ppp encrypt mppe auto
ppp authentication pap chap ms-chap
!
interface Dialer1
mtu 1492
ip ddns update hostname ......no-ip.org
ip ddns update dyndns
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
no ip mroute-cache
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username ...@dsl.ukrtel.net password 0 .......
!
router eigrp 1
redistribute connected
network 999.999.999.0
distribute-list 25 out
distribute-list 24 in
no auto-summary
!
ip local pool vpn_pool 10.31.4.200 10.31.4.230
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
no ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 170 interface Dialer1 overload
ip nat inside source static tcp 10.31.4.2 46465 interface Dialer1 46465
ip nat inside source static tcp 10.31.4.10 46464 interface Dialer1 46464
ip nat inside source static tcp 10.31.4.12 26666 interface Dialer1 26666
!
access-list 23 ....
access-list 70 .....
access-list 170 permit ip host 10.31.4.10 any
access-list 170 permit ip 192.168.1.0 0.0.0.255 any
access-list 170 permit ip 10.31.4.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 170 permit ip host 10.31.4.151 any
snmp-server community public RO 23
snmp-server location ....
snmp-server contact ...@....
!
!
!
control-plane
!
!
banner login ^C
-----------------------------------------------------------------------
Welcom to ....................
-----------------------------------------------------------------------
^C
!
line con 0
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
transport input telnet ssh
line vty 5 15
access-class 23 in
privilege level 15
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp clock-period 17178473
ntp master 3
ntp server 999.999.999.99
ntp server 999.999.9.99 prefer
end
[/more] чет там моно подшаманить
Может посмотрите [more=конфу]!
! Last configuration change at 18:50:43 KYIV Tue Oct 8 2013 by antarey
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname c1841br
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
aaa session-id common
clock timezone KYIV 2
clock summer-time KYIV recurring last Sun Mar 2:00 last Sun Oct 3:00
clock calendar-valid
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool wifi_dhcp
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
dns-server 10.31.4.10
lease 30
!
!
no ip domain lookup
ip domain name cterycyer.com
ip host members.dyndns.org 999.99.99.99
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
ip ddns update method dyndns
HTTP
add http://....:.....@dynupdate.no-ip.com/nic/update?hostname=<h>&myip=<a>
remove http://....:....@dynupdate.no-ip.com/nic/update?hostname=<h>&myip=<a>
interval maximum 0 10 0 0
interval minimum 0 2 0 0
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
!
!
crypto pki trustpoint TP-self-signed-261599588
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-261599588
revocation-check none
rsakeypair TP-self-signed-261599588
!
!
crypto pki certificate chain TP-self-signed-261599588
certificate self-signed 02
30820249 ... 52
quit
username antarey privilege 15 secret 5 ..........................
!
!
!
!
!
bba-group pppoe global
!
!
interface Tunnel0
....
!
interface FastEthernet0/0
description Eth-Link-BR-network
ip address 10.31.4.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1360
duplex auto
speed auto
!
interface FastEthernet0/1
description Link-to-ADSL-Internet-modem
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Virtual-Template1
ip unnumbered FastEthernet0/0
peer default ip address pool vpn_pool
no keepalive
ppp encrypt mppe auto
ppp authentication pap chap ms-chap
!
interface Dialer1
mtu 1492
ip ddns update hostname ......no-ip.org
ip ddns update dyndns
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
no ip mroute-cache
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username ...@dsl.ukrtel.net password 0 .......
!
router eigrp 1
redistribute connected
network 999.999.999.0
distribute-list 25 out
distribute-list 24 in
no auto-summary
!
ip local pool vpn_pool 10.31.4.200 10.31.4.230
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
no ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 170 interface Dialer1 overload
ip nat inside source static tcp 10.31.4.2 46465 interface Dialer1 46465
ip nat inside source static tcp 10.31.4.10 46464 interface Dialer1 46464
ip nat inside source static tcp 10.31.4.12 26666 interface Dialer1 26666
!
access-list 23 ....
access-list 70 .....
access-list 170 permit ip host 10.31.4.10 any
access-list 170 permit ip 192.168.1.0 0.0.0.255 any
access-list 170 permit ip 10.31.4.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 170 permit ip host 10.31.4.151 any
snmp-server community public RO 23
snmp-server location ....
snmp-server contact ...@....
!
!
!
control-plane
!
!
banner login ^C
-----------------------------------------------------------------------
Welcom to ....................
-----------------------------------------------------------------------
^C
!
line con 0
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
transport input telnet ssh
line vty 5 15
access-class 23 in
privilege level 15
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp clock-period 17178473
ntp master 3
ntp server 999.999.999.99
ntp server 999.999.9.99 prefer
end
[/more] чет там моно подшаманить
MagistrAnatol
debug ppp negotiation
debug ppp mppe events
term mon
при включеном и выключеном mppe
Должно быть что-то вроде:
Oct 16 11:46:05.295: Vi3 MPPE: Generate keys using local MS_CHAP-V2 database
Oct 16 11:46:05.295: Vi3 MPPE: Initialize V2 keys
Oct 16 11:46:05.295: Vi3 MPPE: [128 bit encryption] [stateless mode]
debug ppp negotiation
debug ppp mppe events
term mon
при включеном и выключеном mppe
Должно быть что-то вроде:
Oct 16 11:46:05.295: Vi3 MPPE: Generate keys using local MS_CHAP-V2 database
Oct 16 11:46:05.295: Vi3 MPPE: Initialize V2 keys
Oct 16 11:46:05.295: Vi3 MPPE: [128 bit encryption] [stateless mode]
всем спасибо немного порылся в нете, перебрал с десяток конфигураций - настроил
все отлично работает
все отлично работает
Кто-нибудь на платформе ASR 5000 сталкивался с необходимостью перенаправления видео трафика ( по определенным критериям) на другой сервер ? Если да , то очень интересует набросок конфигурации или логика . Спасибо заранее
Доброго времени, джентльмены!
Помогите подключить ipsec между циской и всферой.
Сделал все по учебнику ни фига не работает, и ума не хватает понять почему
Конфиг, дебаг лог и схема сети здесь
Заранее большое спасибо!
Помогите подключить ipsec между циской и всферой.
Сделал все по учебнику ни фига не работает, и ума не хватает понять почему
Конфиг, дебаг лог и схема сети здесь
Заранее большое спасибо!
Здравствуйте!
Знающие люди, помогите добрым словом и дельным советом.. пишу Вам с ноутбука уволенного товарища )) уже, наверное, месяц времени убил над решением проблемы.
Суть: есть корпоративная сеть (192.168.0.0/24), выход в мир регулирует Кошка 1921.
На ней - два интерфейса: Wan G0/0 (10.10.10.10) Lan G0/1 (192.168.0.1/24).
Поднял EasyVpn.
С ПК1 извне конекчусь к своему Wan-порту, получаю IP (192.168.99.100/24), вижу нужные маршруты - все гуд.
Но пинг на 192.168.0.1 - не проходит.
Методом тыка определил, что проблема в НАТ; если отключить - все работает
Вопрос: как VPN-сетью обойти НАТ-трансляцию?
Настройки НАТ:
ip nat inside source list NAT interface GigabitEthernet0/0 overload
ip access-list extended NAT
permit ip 192.168.0.0 0.0.0.255 any
deny ip 192.168.99.0 0.0.0.255 any - не помогает ((
Интерфейсы:
interface GigabitEthernet0/0
description WAN
ip address 10.10.10.10 255.0.0.0
no ip redirects
no ip proxy-arp
ip verify unicast reverse-path
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
no cdp enable
crypto map stat-cmap
end
interface GigabitEthernet0/1
description LAN
ip address 192.168.0.1 255.255.255.0
ip wccp web-cache redirect in
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
end
Знающие люди, помогите добрым словом и дельным советом.. пишу Вам с ноутбука уволенного товарища )) уже, наверное, месяц времени убил над решением проблемы.
Суть: есть корпоративная сеть (192.168.0.0/24), выход в мир регулирует Кошка 1921.
На ней - два интерфейса: Wan G0/0 (10.10.10.10) Lan G0/1 (192.168.0.1/24).
Поднял EasyVpn.
С ПК1 извне конекчусь к своему Wan-порту, получаю IP (192.168.99.100/24), вижу нужные маршруты - все гуд.
Но пинг на 192.168.0.1 - не проходит.
Методом тыка определил, что проблема в НАТ; если отключить - все работает
Вопрос: как VPN-сетью обойти НАТ-трансляцию?
Настройки НАТ:
ip nat inside source list NAT interface GigabitEthernet0/0 overload
ip access-list extended NAT
permit ip 192.168.0.0 0.0.0.255 any
deny ip 192.168.99.0 0.0.0.255 any - не помогает ((
Интерфейсы:
interface GigabitEthernet0/0
description WAN
ip address 10.10.10.10 255.0.0.0
no ip redirects
no ip proxy-arp
ip verify unicast reverse-path
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
no cdp enable
crypto map stat-cmap
end
interface GigabitEthernet0/1
description LAN
ip address 192.168.0.1 255.255.255.0
ip wccp web-cache redirect in
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
end
kib5
Цитата:
Код: ip access-list extended NAT
deny ip 192.168.99.0 0.0.0.255 192.168.0.0 0.0.0.255
deny ip 192.168.0.0 0.0.0.255 192.168.99.0 0.0.0.255
permit ip 192.168.99.0 0.0.0.255 any
permit ip 192.168.0.0 0.0.0.255 any
Цитата:
не помогает ((А если так?
Код: ip access-list extended NAT
deny ip 192.168.99.0 0.0.0.255 192.168.0.0 0.0.0.255
deny ip 192.168.0.0 0.0.0.255 192.168.99.0 0.0.0.255
permit ip 192.168.99.0 0.0.0.255 any
permit ip 192.168.0.0 0.0.0.255 any
vlary
Ураааа, все заработало!!!
Поверить не могу... мне тут знакомые "гуру"-кошководы сказки рассказывают про мегаконфиги - а оказывается все так просто (для знающего человека)!
Большое спасибо Тебе добрый человек! )))
Добавлено:
Ураааа, все заработало!!!
Поверить не могу... мне тут знакомые "гуру"-кошководы сказки рассказывают про мегаконфиги - а оказывается все так просто (для знающего человека)!
Большое спасибо Тебе добрый человек! )))
Добавлено:
Plaague
Настройки ISAKMP разные вот и не поднимается, согласовать не могут.
Настройки ISAKMP разные вот и не поднимается, согласовать не могут.
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394
Предыдущая тема: Не могу побороть вирус Nimda
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.