» Настройка Cisco оборудования

Народ, подскажите аналог Winagent HyperConf, перестал работать .
Что-то товарищи помогли и теперь не могу посмотреть раннинг/стартап конфиг
%Error opening tftp://10.31.67.11/mk-bo67_c1841_b-confg (Undefined error)
терминал работает

Начал знакомство с оборудованием Cisco. Сейчас на руках 10 коммутаторов Catalyst 2960 Plus (WS-C2960+48TC-L). IOS 15.2(1)E2
Почитал документацию и смог произвести первоначальную настройку через терминал.
Из интереса поставил программы Cisco Configuration Assistant и Cisco Network Assistant, но так и не смог ими воспользоваться - программы сообщают что устройство не поддерживаться. Так и должно быть или я чего-то не пойму?

Mosl
Цитата:

Так и должно быть или я чего-то не пойму?

Возможно, это старые версии, не имеющие понятия о релизе IOS 15.2.
А вообще в топку все эти Cisco Configuration Assistant и Cisco Network Assistant, работай
с командной строкой, если хочешь серьезно заниматься циской.
Она дает намного большие возможности в конфигурации, а заодно позволяет изучить
предмет намного глубже, чем при тупом тыкании мышью.

vlary

Цитата:

работай
с командной строкой, если хочешь серьезно заниматься циской

Я это понимаю, было интересно посмотреть что позволяют сделать эти программы.

Если не сложно, посмотрите пожалуйста мой конфиг: https://dl.dropboxusercontent.com/u/4928793/last
Если какие-то замечания? Что стоило бы настроить еще?
Хотел отключить telnet и оставить только SSH, но почему-то telnet по прежнему работает.

line vty 0 4
exec-timeout 60 0
password 7 xxxx
transport input ssh

Mosl
Цитата:

Если какие-то замечания? Что стоило бы настроить еще?

Это зависит только от желания задействовать какие-то дополнительные функции.
В отличие от роутеров, коммутаторы могут прекрасно работать в режиме обычного
неуправляемого свитча вообще без какой-либо настройки.

Я понимаю что эти железки могут работать без всяких настроек и настройка дополнительных функций зависит только от моих нужд.
Посмотрев инструкции, почитав рекомендации по настройке, я настроил то что посчитал нужным на данном этапе. Но так-как я делал это в первый раз, я бы хотел что бы кто-то из знающих людей посмотрел конфиг на предмет ошибок. Возможно я что то пропустил из того что должно быть настроено обязательно или наоборот настроил что-то лишнее.
Возможно Вы все таки сможете дать дельный совет новичку?

Mosl
Цитата:

а про SSH что скажите?

Убери из кофига line vty 5 15 вобще,
либо также поставь там transport input ssh, и телнет должен перестать пускать.

vlary
Спасибо, уже разобрался. Сделал так:
line vty 5 15
transport input none

Подскажите а можно ли отключить аппаратную кнопку "mode"?

Mosl
Цитата:

Подскажите а можно ли отключить аппаратную кнопку "mode"?

Добавить в конфиг строчку
no setup express

День добрый, подскажите как лучше подойти к проблеме: имеется циска slm224g айпишник какой у нее хз... айпишник 192.168.1.254 основной шлюз(не она - фряха), что настроено на циске не могу знать... и не кто не знает =(
как поступить что б дров не наломать?
ресет не предлагать !

cRYSMAS
Цитата:

как поступить что б дров не наломать?

Ну вообще-то для цисок имеется стандартная процедура смены пароля, гуглится на раз.
После чего сохраняется стартап конфиг, потом восстанавливается.
Подойдет ли это для данного конкретного девайса - хз, но попытка не пытка.
Восстановление пароля в Cisco

Цитата:

Добавить в конфиг строчку
no setup express

На сколько я понимаю это просто сделает невозможным переход в режим Express Setup.
А если возможность отключить сброс устройства к дефолтовым настройкам при удержании кнопку "mode" в течении 10 сек?

Mosl
Цитата:

А если возможность отключить сброс устройства к дефолтовым настройкам при удержании кнопку "mode" в течении 10 сек?

Цитата:

The primary purpose of the no setup express command is to prevent someone from deleting the switch configuration by pressing the Mode button for 10 seconds.
This example shows how to disable Express Setup mode:
Switch(config)# no setup express
You can verify that Express Setup mode is disabled by pressing the Mode button. The mode LEDs only turn solid green or begin blinking green if Express Setup mode is enabled on the switch.

Привет всем!

Имеется Tandberg E 20, может кто подскажет как его перешить и сбросить к заводским настройкам? Поставил ip, подключил в сеть - не видно его...

Ответ на вопрос tgrisha
Почему нельзя? Можно, Гриша!
SNMP: Frequently Asked Questions About IOS Software
При условии, что IOS в твоем свитче это поддерживает.

Vlary, По моему, моя Cisco IOS это не поддерживает. У меня модели Cisco SG300-28P и SGE2010P. Для тех кто не в курсе, я писал в другой теме, что мне нужно автоматически, по расписанию, перезагружать два управляемых свитча Cisco. Как это сделать? По SNMP видимо мне нельзя, так как IOS не поддерживает. Говорили, что можно по SSH или по Телнету. В принципе, наверно, можно, и я даже создал скрипт для перезагрузки по телнету. В ручную он работает, но по расписанию, в фоновом режиме, нет. Не подскажите почему? Как мне заставить этот скрипт работать в фоновом режиме, автоматически, без участия пользователя на сервере? Может быть как то Putty пристроить или plink(ом). Посоветуйте.
Вот сам скрипт:

Set oShell = WScript.CreateObject("WScript.Shell")
oShell.Run "telnet.exe 10.5.0.3"
WScript.Sleep 1000
oShell.SendKeys "cisco"
WScript.Sleep 1000
oShell.SendKeys "+{tab}"
WScript.Sleep 1000
oShell.SendKeys "password"& chr (13)
WScript.Sleep 1000
oShell.SendKeys "^{Z}"
WScript.Sleep 1000
oShell.SendKeys "lcli" & chr (13)
WScript.Sleep 1000
oShell.SendKeys "cisco" & chr (13)
WScript.Sleep 1000
oShell.SendKeys "password"& chr (13)
WScript.Sleep 1000
oShell.SendKeys "reload" & chr(13)
WScript.Sleep 1000
oShell.SendKeys "{Y}"
WScript.Sleep 1000
oShell.SendKeys "Exit" & chr(13)

Такой скрипт в ручную работает и у меня Cisco перезагружаются. Но в фоновом режиме, тишина, ничего не работает.

tgrisha
Цитата:

По моему, моя Cisco IOS это не поддерживает

Ну, значит, не судьба...
Цитата:

Говорили, что можно по SSH или по Телнету

И еще говорили, что для этого очень хорошо использовать Expect.
Если в сети нет ни одного компа с линуксом, то не беда, Expect имеется даже для виндовс.
Можно также с тем же Putty использовать AutoIt, но сам я ни разу им не пользовался,
ибо других инструментов хватало.

Всем привет. В одну организацию поставили Cisco ASA 5505, настроили VPN, открыли нужные порты и вроде бы все хорошо. Но возникла проблема такого рода: пользователи из своей сети (172.31.1.0/24)хотят при переходе по внешнему IP (1.1.1.1), попадать на сервер (172.31.1.1). В интернет куча статей по этому вопросу, но к сожалению ни одна не помогла. Версия IOS - 8.2. Кто-нибудь сталкивался с подобными вещами?
Приведу часть конфигурации:!
interface Vlan1
nameif inside
security-level 100
ip address 172.31.1.5 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 1.1.1.1 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
same-security-traffic permit intra-interface
object-group network VPN-USERS
network-object 172.31.1.0 255.255.255.0
access-list ACL_WAN_IN extended permit icmp any any
access-list ACL_WAN_IN extended permit tcp any interface outside eq ftp
access-list ACL_WAN_IN extended permit tcp any interface outside eq ftp-data
access-list ACL_WAN_IN extended permit tcp any interface outside eq https
access-list ACL_WAN_IN extended permit tcp any interface outside eq smtp
access-list ACL_WAN_IN extended permit tcp any interface outside eq 2525
access-list ACL_WAN_IN extended permit tcp any interface outside eq www
access-list ACL_LAN_IN extended permit icmp any any
access-list ACL_LAN_IN extended permit tcp 172.31.1.0 255.255.255.0 any
access-list ACL_LAN_IN extended permit udp 172.31.1.0 255.255.255.0 any
access-list ACL_NO_NAT extended permit ip any object-group VPN-USERS
access-list MG_SPLIT standard permit 172.31.1.0 255.255.255.0
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool VPNCL 172.31.1.100-172.31.1.125 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
icmp permit any outside
no asdm history enable
arp timeout 14400
global (inside) 1 interface
global (outside) 1 interface
nat (inside) 0 access-list ACL_NO_NAT
nat (inside) 1 172.31.1.0 255.255.255.0
static (inside,outside) tcp interface ftp 172.31.1.1 ftp netmask 255.255.255.255
static (inside,outside) tcp interface ftp-data 172.31.1.1 ftp-data netmask 255.255.255.255
static (inside,outside) tcp interface smtp 172.31.1.1 smtp netmask 255.255.255.255
static (inside,outside) tcp interface 2525 172.31.1.1 2525 netmask 255.255.255.255
static (inside,outside) tcp interface https 172.31.1.1 https netmask 255.255.255.255
static (inside,outside) tcp interface www 172.31.1.1 www netmask 255.255.255.255
static (inside,inside) 1.1.1.1 172.31.1.1 netmask 255.255.255.255
access-group ACL_WAN_IN in interface outside
route outside 0.0.0.0 0.0.0.0 1.1.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
http server enable
http 172.31.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set VPN-SET esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map VPN-CRYPTO 10 set transform-set VPN-SET
crypto map VPN-MAP 65535 ipsec-isakmp dynamic VPN-CRYPTO
crypto map VPN-MAP interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh 172.31.1.0 255.255.255.0 inside
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 5
console timeout 0

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
group-policy MG internal
group-policy MG attributes
dns-server value 172.31.1.1
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value MG_SPLIT


Вывод packet-tracer:

packet-tracer input inside tcp 172.31.1.10 ftp 1.1.1.1 ftp

Phase: 1
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found no matching flow, creating a new flow

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
static (inside,inside) 1.1.1.1 172.31.1.1 netmask 255.255.255.255
match ip inside host 172.31.1.1 inside any
static translation to 1.1.1.1
translate_hits = 0, untranslate_hits = 114
Additional Information:
NAT divert to egress interface inside
Untranslate 1.1.1.1/0 to 172.31.1.1/0 using netmask 255.255.255.255

Phase: 3
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:

Phase: 4
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: INSPECT
Subtype: inspect-ftp
Result: ALLOW
Config:
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
inspect ftp
service-policy global_policy global
Additional Information:

Phase: 6
Type: NAT-EXEMPT
Subtype:
Result: ALLOW
Config:
match ip inside any inside 172.31.1.0 255.255.255.0
NAT exempt
translate_hits = 244, untranslate_hits = 120
Additional Information:

Phase: 7
Type: NAT-EXEMPT
Subtype: rpf-check
Result: DROP
Config:
match ip inside any inside 172.31.1.0 255.255.255.0
NAT exempt
translate_hits = 244, untranslate_hits = 120
Additional Information:

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

ravenich
Цитата:

В одну организацию поставили Cisco ASA 5505

Ты промахнулся темой. Для АСЫ есть отдельная ветка:
Настройка Cisco PIX Firewall / ASA

Подскажите, почему меня не пускает в cisco автоматом по SSH с помощью утилиты plink?
Ввожу строчку в командной строке:
plink -ssh -l user -pw password 10.58.1.1
После нажатия клавиши ввод, пишет: Using username "user" и далее вновь просит ввести логин, а потом пароль. А почему автоматом то не получается? Я же в командной строке дал логин и пароль с которыми нужно логинится. В ручную забиваю, всё входит, правильно, автоматом не получается, не видит она эти пароли и логины. Везде написано, что команда -l для ввода имени пользователя, а -pw для ввода пароля.

tgrisha
Цитата:

почему меня не пускает в cisco автоматом по SSH с помощью утилиты plink?

Карма плохая, наверное. Чего не хватишься, ничего нет.
Я сейчас проверил на своей циске, меня так она спокойно пустила.
plink из комплекта Putty.
Кстати, сталкивался на одной из филиальских цисок, что с первого разу
не пускает по телнету в терминале Koala, с настроенным сценарием входа.
То ли логин неправильно получает, то ли пароль.
Со второго раза цепляется нормально.

tgrisha

Цитата:

Подскажите, почему меня не пускает в cisco автоматом по SSH с помощью утилиты plink?

Plink is probably not what you want if you want to run an interactive session in a console window.
вот примерно по этому. это цитата из доки на putty

не понял я, конечно, почему она не может. Но со множества попыток у меня ничего не получается, и пароль, и логин ввожу правильно в команде. Странно... =(

tgrisha
тут не гадать надо. а включить дебаг и посмотреть
а еще конфиг выложить, который по делу.
например секцию vty конфига.

tgrisha
Цитата:

не понял я, конечно, почему она не может.

Да все она прекрасно может. Сегодня поднял SSH на одной из филиальских цисок,
и спокойно подключился к ней с помощью утилиты plink.
Кстати, попробуй для начала просто подключиться к циске с помощью PuTTY или plink интерактивно.
mxtvbk
Цитата:

Plink is probably not what you want...

Посмотрел доку, там есть пояснение этой фразы.
Цитата:

The output sent by the server will be written straight to your command prompt window, which will most likely not interpret terminal control codes in the way the server expects it to. So if you run any full-screen applications, for example, you can expect to see strange characters appearing in your window. Interactive connections like this are not the main point of Plink.

Короче говоря, виндузовое командное окно не самый лучший эмулятор терминала.
Потому для интерактивных сессий лучше использовать GUI PuTTY, которое много лучше приспособлено под контрольные коды.
А plink оставить для задач, которые требуют автоматизации выполнения чего-либо.
К примеру - установить коннект, сделать серверу ребут и отключиться.

ситуация следующая: есть две циски, надо поднять между ними туннель. В свзяи с тем, что одна из их за неподконтрольным мне провайдерским натом вариант в IPSEC GRE отпадает, из того что сразу приходит на ум PPTP.
На той циске что имеет реальный адрес настроен PPTP-сервер, все корректно работает, во всяком случае WIndows-клиент нормально соединяется, получает адрес, требуемые ресурсы доступны.
А вот с настройкой PPTP-клиента в циске возникли проблемы. Туннель не поднимается

[more=Конфиг..]


Current configuration : 4541 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service internal
!
hostname c851
!
boot-start-marker
boot-end-marker
!
no logging buffered
!
no aaa new-model
!
resource policy
!
ip subnet-zero
no ip gratuitous-arps
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.3.51 192.168.3.254
ip dhcp excluded-address 192.168.0.1 192.168.3.9
ip dhcp excluded-address 192.168.3.1 192.168.3.8
ip dhcp excluded-address 192.168.3.1 192.168.3.9
!
ip dhcp pool DHCP_pool
network 192.168.1.0 255.255.255.0
dns-server 8.8.8.8
default-router 192.168.1.1
!
ip dhcp pool wifi
network 192.168.3.0 255.255.255.0
dns-server 8.8.8.8
default-router 192.168.3.1
!
!
ip cef
ip domain name home.int
ip name-server 192.168.245.14
ip name-server 192.168.248.21
ip multicast-routing
vpdn enable
!
vpdn-group 1
request-dialin
protocol pptp
rotary-group 0
initiate-to ip <реальный адрес циски, где поднят PPTP-сервер>
!
!
!
crypto pki trustpoint TP-self-signed-1409342422
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1409342422
revocation-check none
rsakeypair TP-self-signed-1409342422
!
!
crypto pki certificate chain TP-self-signed-1409342422
certificate self-signed 01
30820245 308201AE A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31343039 33343234 3232301E 170D3036 30343130 31383232
32355A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 34303933
34323432 3230819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100A4B6 33ED5927 7EC4C317 7DE0E639 8456CC54 0BFDBB92 79410C1D 0B1C536A
C0EC1F91 0EF8F4D4 AA2ECE75 4F7EC339 F055FE7F FFCFB4EE 23F9E567 B65FC12F
29572D9B 8630EBEC F687625D C5CD687A 0C31EEE6 73A63D3E AA47D32F 20F2F060
0C52E9D3 787E6D35 819C636E 71761975 36169213 A65CC680 A04A1DD0 B4DDCD82
275D0203 010001A3 6D306B30 0F060355 1D130101 FF040530 030101FF 30180603
551D1104 11300F82 0D633835 312E686F 6D652E69 6E74301F 0603551D 23041830
168014DF 96008FE8 07F26511 67166488 3D32B8CE 209CC630 1D060355 1D0E0416
0414DF96 008FE807 F2651167 1664883D 32B8CE20 9CC6300D 06092A86 4886F70D
01010405 00038181 00776E03 3CADC2E6 C7A33A5D A2DF4354 00B0B845 E0217D3A
CF872568 4E8083E4 78CC3699 CC0D6AD2 8EE4CF04 0C12C8CF 35D8550F B435F165
BF0539DA 482F8A4E 28CBC413 AC708922 C67AAA25 AADBED23 79C5D923 76251B6C
A1B13310 6D3999A5 6F3BDF6C 00DAD8BC CEE9E630 52325374 FE338057 84B14925
DEA7E14B 159B17B4 EA
quit
username root privilege 15 secret 5 $1$5wEq$jv.2MCeALPgbFt04ljcQz/
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description WAN
mac-address 101c.c01f.3621
ip address 10.204.247.102 255.255.252.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Dot11Radio0
ip address 192.168.3.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
encryption vlan 1 mode ciphers tkip
!
encryption mode ciphers tkip
!
ssid Shakran
authentication open
authentication key-management wpa
guest-mode
wpa-psk ascii 7 1521030D0F23072D2F216D74
!
speed basic-1.0 basic-2.0 basic-5.5 basic-6.0 basic-9.0 basic-11.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic-48.0 basic-54.0
station-role root
no dot11 extension aironet
no cdp enable
!
interface Vlan1
description LAN
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Dialer0
mtu 1450
ip address 192.168.0.11 255.255.255.0
encapsulation ppp
dialer in-band
dialer idle-timeout 0
dialer string 123
dialer vpdn
dialer-group 1
no cdp enable
ppp pfc local request
ppp pfc remote apply
ppp encrypt mppe auto
ppp chap hostname root
ppp chap password 7 040B2A550B744116
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.204.244.1
ip route 192.168.1.0 255.255.255.0 Vlan1
ip route 192.168.3.0 255.255.255.0 Dot11Radio0
!
ip http server
ip http authentication local
ip http secure-server
ip http secure-trustpoint CA-trust-local
ip nat inside source list NAT interface FastEthernet4 overload
!
ip access-list extended NAT
permit ip 192.168.0.0 0.0.3.255 any
!
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input ssh
!
scheduler max-task-time 5000
end
[/more]

ну и еще что видно
[more]
c851#show ip interface brief
Interface IP-Address OK? Method Status Protocol
Dot11Radio0 192.168.3.1 YES NVRAM up up
FastEthernet0 unassigned YES unset up down
FastEthernet1 unassigned YES unset up up
FastEthernet2 unassigned YES unset up down
FastEthernet3 unassigned YES unset up down
FastEthernet4 10.204.247.102 YES NVRAM up up
Vlan1 192.168.1.1 YES NVRAM up up
NVI0 unassigned YES unset up up
Virtual-Dot11Radio0 192.168.3.1 YES TFTP down down
Dialer0 192.168.0.11 YES manual up up
Virtual-Access1 unassigned YES unset down down
c851#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route

Gateway of last resort is 10.204.244.1 to network 0.0.0.0

10.0.0.0/22 is subnetted, 1 subnets
C 10.204.244.0 is directly connected, FastEthernet4
C 192.168.0.0/24 is directly connected, Dialer0
C 192.168.1.0/24 is directly connected, Vlan1
C 192.168.3.0/24 is directly connected, Dot11Radio0
S* 0.0.0.0/0 [1/0] via 10.204.244.1
c851#ping 192.168.0.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
[/more]

С цисками не особо много дела имел, так что подскажите в каком направлении копать

bga83
Цитата:

А вот с настройкой PPTP-клиента в циске возникли проблемы

Думаю, не у тебя одного Я бы рекомендовал сменить протокол на L2TP/IPSec.

Цитата:

Думаю, не у тебя одного

судя по этому у людей получается, гуглятся и другие страницы с аналогичными настройками. IPSec не подойдет по той причине, что как уже сказал, одна из цисок на провайдерским натом, нужна именно клиент-серверная технология туннелировая. Попробую посмотреть с сторону L2TP

bga83 L2TP/IPSec и просто IPSec туннели - разные вещи.
К тому же протокол PPTP также требует GRE.

Подскажите, что может быть с Cisco Catalyst 500 - после перезагрузки слетает дата/время?