» Настройка Cisco оборудования

MagistrAnatol Собственно, L2TP/IPSec как разновидность ppp не раздает маршруты.
А вот если использовать родные цискины EasyVPN или WebVPN, там это без проблем.
Прописываешь все, что нужно либо в
crypto isakmp client configuration group (первый вариант)
либо в policy group ( svc split include 10.91.4.0 255.255.255.0 второй вариант)
Я к примеру цепляюсь эниконнектом к своей циске, и спокойно хожу по всем филиалам.

vlary
а можно для второго варианта подробнее как для идиота
у меня нет policy group
какие надо команды для циски, что бы все организовать
Спасибо

vlary
а нельзя подшаманить мою конфигурацию ВПН? может через аксес листы или маршруты?

MagistrAnatol
Цитата:

а можно для второго варианта подробнее как для идиота

Ну, с идиотами в этом разделе у меня вообще разговор короткий.
Многа букав писать не люблю, потому вот тебе популярная статейка.
Если ее будет недостаточно. то уже будешь знать, что искать на цискодроме.
Про виртуальные сети. Внедряем WebVPN (SSLVPN)
Кстати, последнее время для своих сотрудников употребляю именно его,
Cisco System VPN Client как-то не прижился.

vlary
, мне с циской приходится разбираться по ходу, ето слегка не мое. А за статейку спасибо, почитаем. Ты мне не первый раз помогаеш

Добрый день!

У меня есть два коммутатора SF220-48 с VLAN1 (по-умолчанию) и VLAN2 & VLAN3 (которые создал я) на каждом коммутаторе.

Коммутаторы находятся в разных комнатах и соединены Ethernet кабелем, который подключен в 481 порт каждого коммутатора.

Как я должен настроить 48й порт чтобы сделать транк (по которому должны ходить VLAN1,2,3) между двумя коммутаторами?

Заранее благодарен!

iron9999
Цитата:

ак я должен настроить 48й порт чтобы сделать транк

А что, этот вариант не помогает?
interface fastethernet48
switchport trunk allowed vlan add 1-3

[more] [more] Уважаемые коллеги, прошу помощи. Четвертый день бьюсь с проблемой.
Поднял VPN PPTP туннель на Циске. Туннель подымается, клиент получает IP адрес(192.168.1.220), 192.168.1.1 пингуется и отзывается полностью, но вот локалка(например 192.168.1.128) за ним недоступна клиенту ни в какую. Proxy ARP включен.
Прошу помощи, чего я не вижу в этом дивном конфиге и как победить проблему.


Current configuration : 16136 bytes
!
! Last configuration change at 04:27:23 kz Sun Feb 15 2015 by roman
! NVRAM config last updated at 00:14:57 kz Sun Feb 15 2015 by sateladmin
! NVRAM config last updated at 00:14:57 kz Sun Feb 15 2015 by sateladmin
version 15.1
no service pad
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
!
hostname rsatel
!
boot-start-marker
boot-end-marker
!
!
logging buffered 128000
logging console errors
!
no aaa new-model
!
memory-size iomem 10
clock timezone kz 6 0
crypto pki token default removal timeout 0
!

ip source-route
!
!
!
ip dhcp excluded-address 192.168.1.1 192.168.1.199
ip dhcp excluded-address 192.168.1.251 192.168.1.254
ip dhcp excluded-address 10.10.100.1 10.10.100.10
!
ip dhcp pool lan
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 192.168.1.15 217.15.178.2 217.15.178.4
lease 5
!
ip dhcp pool 777
host 192.168.1.70 255.255.255.0
client-identifier 0100.0945.5bb5.e8
!
ip dhcp pool 705
host 192.168.1.71 255.255.255.0
client-identifier 0100.0945.5bb7.0e
!
ip dhcp pool 708
host 192.168.1.72 255.255.255.0
client-identifier 0100.0945.5bb5.84
!
ip dhcp pool 704
host 192.168.1.73 255.255.255.0
client-identifier 0100.0945.5bb6.0e
!
ip dhcp pool 706
host 192.168.1.74 255.255.255.0
client-identifier 0100.0945.5bb6.e2
!
ip dhcp pool 703
host 192.168.1.75 255.255.255.0
client-identifier 0100.0945.5bb6.ec
!
ip dhcp pool 702
host 192.168.1.76 255.255.255.0
client-identifier 0100.0945.5bb6.14
!
ip dhcp pool 701
host 192.168.1.77 255.255.255.0
client-identifier 0100.0945.5bb5.7e
!
ip dhcp pool 707
host 192.168.1.78 255.255.255.0
client-identifier 0100.0945.5bb6.e0
!
ip dhcp pool 709
host 192.168.1.79 255.255.255.0
client-identifier 0100.0945.5bb5.ee
!
ip dhcp pool fedorov
host 192.168.1.152 255.255.255.0
client-identifier 01dc.85de.5296.5c
!
ip dhcp pool fedorov2
host 192.168.1.153 255.255.255.0
client-identifier 0150.465d.e7be.b7
!
ip dhcp pool voice
network 10.10.100.0 255.255.255.0
!
!

!
!
multilink bundle-name authenticated
vpdn enable
!
vpdn-group VPN
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
l2tp tunnel timeout no-session 15
!
parameter-map type urlf-glob url-blacklist
pattern *.sex.com
pattern my.mail.ru
pattern odnoklassniki.ru
pattern *.odnoklassniki.ru
pattern badoo.com
pattern *.badoo.com
pattern mamba.ru
pattern *.mamba.ru
pattern linkedin.com
pattern *.linkedin.com
pattern woman.ru
pattern *.woman.ru
pattern mirtesen.ru
pattern *.mirtesen.ru
pattern vkrugudruzei.ru
pattern *.vkrugudruzei.ru
pattern kiwi.kz
pattern *.kiwi.kz
pattern youtube.com
pattern *.youtube.com
pattern zaycev.net
pattern *.zaycev.net
pattern habrahabr.ru
pattern *.habrahabr.ru
pattern namba.kz
pattern *.namba.kz
pattern nur.kz
pattern *.nur.kz
pattern *.facebook.com
pattern facebook.com

parameter-map type urlf-glob keyword-blacklist
pattern hack
pattern *sex*

parameter-map type urlf-glob fullaccess
pattern *

parameter-map type urlf-glob url-whitelist
pattern www.cisco.com

parameter-map type urlf-glob url-blacklist2
pattern *.sex.com
pattern vkontakte.com
pattern *vkontakte.com
pattern *vk.com
pattern vk.com
pattern *vkontakte.ru
pattern my.mail.ru
pattern odnoklassniki.ru
pattern *.odnoklassniki.ru
pattern badoo.com
pattern *.badoo.com
pattern mamba.ru
pattern *.mamba.ru
pattern linkedin.com
pattern *.linkedin.com
pattern woman.ru
pattern *.woman.ru
pattern mirtesen.ru
pattern *.mirtesen.ru
pattern vkrugudruzei.ru
pattern *.vkrugudruzei.ru
pattern kiwi.kz
pattern *.kiwi.kz
pattern zaycev.net
pattern *.zaycev.net
pattern habrahabr.ru
pattern *.habrahabr.ru
pattern namba.kz
pattern *.namba.kz
pattern nur.kz
pattern *.nur.kz


parameter-map type ooo global
tcp reassembly timeout 10
tcp reassembly queue length 128
license udi pid CISCO887VA-SEC-K9 sn FCZ161991SY
!
!
object-group network 1
description IpPhones and Fast Internet computers
range 192.168.1.70 192.168.1.80
host 192.168.1.28
host 192.168.1.14
host 192.168.1.15
host 192.168.1.102
host 192.168.1.11
host 192.168.1.5
host 192.168.1.7
range 192.168.1.198 192.168.1.199
host 192.168.1.2
host 192.168.1.128
!

!
object-group service popular-service
tcp eq www
tcp eq telnet
tcp eq 443
tcp eq 8080
tcp eq smtp
tcp eq pop3
tcp eq 143
tcp eq ftp
tcp eq ftp-data
tcp eq 993
tcp eq 465
tcp eq 587
!
object-group network wan-ip
host 1.1.1.202
range 1.1.1.204 1.1.1.205
!

!
!
!
!
controller VDSL 0
!
ip ssh version 2
!
class-map type inspect match-all filtering-exempt-hosts
match protocol http
match access-group 124
class-map type urlfilter match-any permitted-sites
match server-domain urlf-glob url-whitelist
class-map type urlfilter match-any blocked-sites
match server-domain urlf-glob url-blacklist
match url-keyword urlf-glob keyword-blacklist
match server-domain urlf-glob url-blacklist2
class-map type urlfilter match-any fullaccess-sites
match server-domain urlf-glob fullaccess
class-map type inspect match-any rest-traffic
match protocol tcp
match protocol udp
match protocol icmp
match protocol ftp
class-map type inspect match-all filte[spam_detected]s
match protocol http
match access-group 123
class-map type inspect match-all out->in
match access-group name out->in
!
!
policy-map type inspect urlfilter all-hosts-filter
class type urlfilter blocked-sites
reset
class type urlfilter fullaccess-sites
allow
policy-map type inspect urlfilter urlfilter-actions
class type urlfilter blocked-sites
reset
class type urlfilter permitted-sites
allow
policy-map type inspect in->out
class type inspect filtering-exempt-hosts
inspect
service-policy urlfilter all-hosts-filter
class type inspect filte[spam_detected]s
inspect
service-policy urlfilter urlfilter-actions
class type inspect rest-traffic
inspect
class class-default
drop
policy-map type inspect out->in
class type inspect out->in
inspect
class class-default
drop
!
zone security out-zone
zone security in-zone
zone-pair security in-to-out source in-zone destination out-zone
service-policy type inspect in->out
zone-pair security INBOUND2 source out-zone destination in-zone
service-policy type inspect out->in
!
!
!
!
!
!
!
interface Ethernet0
no ip address
shutdown
no fair-queue
!
interface ATM0
no ip address
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
pvc 0/40
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
description WAN to ISP
switchport access vlan 2
no ip address
!
interface FastEthernet1
description to SW-HP Gi43
no ip address
shutdown
!
interface FastEthernet2
description test-trunk-to-SW-HP-Gi2
switchport trunk allowed vlan 1,20,100,1002-1005
switchport mode trunk
no ip address
spanning-tree cost 10
!
interface FastEthernet3
description to Asterisk-Server
switchport access vlan 2
no ip address
!
interface Virtual-Template1
ip unnumbered Vlan20
ip mask-reply
zone-member security in-zone
peer default ip address pool VPN
no keepalive
ppp encrypt mppe auto
ppp authentication pap chap ms-chap ms-chap-v2
ppp ipcp mask 255.255.255.0
!
interface Vlan1
no ip address
ip virtual-reassembly in
shutdown
!
interface Vlan2
description WAN QNet
ip address 1.1.1.202 255.255.255.248
ip access-group block in
ip nat outside
ip virtual-reassembly in
zone-member security out-zone
!
interface Vlan20
description LAN-DATA
bandwidth 100000
ip address 192.168.1.1 255.255.255.0
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly in
zone-member security in-zone
ip policy route-map megaline
!
interface Vlan100
description voice
ip address 10.10.100.1 255.255.255.0
!
interface Dialer1
description Megaline
ip address negotiated
ip nat outside
ip virtual-reassembly in
zone-member security out-zone
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname 88888
ppp chap password 888888
!
ip local pool VPN 192.168.1.220 192.168.1.230
ip forward-protocol nd
ip http server
ip http access-class 1
ip http authentication local
ip http secure-server
!
ip flow-export source Vlan1
ip flow-export version 5
ip flow-export destination 192.168.1.28 9996
!
ip nat inside source list internet interface Vlan2 overload
ip nat inside source list megaline interface Dialer1 overload
ip nat inside source static tcp 192.168.1.15 20 1.1.1.202 20 extendable
ip nat inside source static tcp 192.168.1.15 21 1.1.1.202 21 extendable
ip nat inside source static tcp 192.168.1.28 80 1.1.1.202 80 extendable
ip nat inside source static tcp 192.168.1.240 443 1.1.1.202 443 extendable
ip nat inside source static tcp 192.168.1.28 3389 1.1.1.202 3389 extendable
ip nat inside source static tcp 192.168.1.240 3900 1.1.1.202 3900 extendable
ip nat inside source static tcp 192.168.1.124 80 1.1.1.202 7069 extendable
ip nat inside source static tcp 192.168.1.124 7080 1.1.1.202 7081 extendable
ip nat inside source static tcp 192.168.1.124 22 1.1.1.202 7090 extendable
ip nat inside source static tcp 192.168.1.240 443 1.1.1.202 7443 extendable
ip nat inside source static tcp 192.168.1.28 8080 1.1.1.202 8080 extendable
ip nat inside source static tcp 192.168.1.15 8080 1.1.1.202 8081 extendable
ip nat inside source static tcp 192.168.1.15 3389 1.1.1.202 10001 extendable
ip nat inside source static tcp 192.168.1.15 8080 1.1.1.202 10002 extendable
ip nat inside source static tcp 192.168.1.28 3389 1.1.1.202 10015 extendable
ip nat inside source static tcp 192.168.1.128 3389 1.1.1.202 10016 extendable
ip nat inside source static tcp 192.168.1.15 80 1.1.1.204 80 extendable
ip nat inside source static tcp 192.168.1.15 3389 1.1.1.204 3389 extendable
ip nat inside source static tcp 192.168.1.24 8080 1.1.1.204 8080 extendable
ip nat inside source static tcp 192.168.1.102 80 1.1.1.205 80 extendable
ip route 0.0.0.0 0.0.0.0 1.1.1.201
!
ip access-list extended block
deny tcp host 146.255.193.210 any eq www
deny tcp host 176.58.32.6 any eq www
deny tcp host 89.218.19.17 any eq www
deny tcp host 50.7.158.18 any eq www
deny tcp host 146.255.192.198 any eq www
deny tcp host 89.218.19.50 any eq www
deny tcp host 89.218.19.16 any eq www
deny tcp host 95.211.95.1 any eq www
deny tcp host 89.218.19.43 any eq www
deny tcp host 176.58.32.42 any eq www
deny tcp host 178.250.246.194 any eq www
deny tcp host 95.142.205.77 any eq www
deny tcp host 95.142.205.69 any eq www
deny tcp host 178.236.136.60 any eq www
deny tcp host 146.255.192.134 any eq www
deny tcp host 146.255.192.130 any eq www
deny tcp host 89.218.19.19 any eq www
deny tcp host 146.255.193.6 any eq www
deny tcp host 213.186.127.54 any eq www
deny tcp host 5.9.81.80 any eq www
deny tcp host 89.218.19.34 any eq www
permit ip any any
ip access-list extended internet
permit udp any any eq domain
permit tcp any any eq domain
permit ip object-group 1 any
ip access-list extended line
permit tcp any any eq 22
permit tcp 192.168.1.0 0.0.0.255 any eq telnet
deny tcp any any eq telnet
ip access-list extended megaline
deny udp any any eq domain
deny tcp any any eq domain
deny ip object-group 1 any
deny ip object-group wan-ip any
permit icmp any any
permit ip any object-group hoster.kz
permit object-group popular-service any any
permit ip any host 92.46.61.21
permit ip host 192.168.1.152 any
permit ip host 192.168.1.153 any
permit ip host 192.168.1.19 any
permit tcp any any eq 8080
permit tcp any any eq 8443
deny ip any any
ip access-list extended out->in
permit tcp any host 192.168.1.15 eq 3389
permit ip host 81.211.250.10 any
permit tcp any host 192.168.1.28 eq www 3389 8080
permit tcp any host 192.168.1.15 range 50000 51000
permit tcp any host 192.168.1.102 eq www
permit tcp any host 192.168.1.24 eq 8080
permit tcp any host 192.168.1.15 eq 8080
permit tcp any host 192.168.1.124 eq 7080
permit tcp any host 192.168.1.124 eq www
permit tcp any host 192.168.1.124 eq 22
permit tcp any host 192.168.1.240 eq 443
permit tcp any host 192.168.1.240 eq 3900
permit tcp any host 192.168.1.128 eq 3389
!
logging facility local0
access-list 1 remark CCP_ACL Category=17
access-list 1 permit 192.168.1.28
access-list 1 permit 192.168.1.225
access-list 1 permit 192.168.1.224
access-list 1 permit 192.168.1.227
access-list 1 permit 192.168.1.226
access-list 1 permit 192.168.1.229
access-list 1 permit 192.168.1.228
access-list 1 permit 192.168.1.230
access-list 1 permit 192.168.1.221
access-list 1 permit 192.168.1.220
access-list 1 permit 192.168.1.223
access-list 1 permit 192.168.1.222
access-list 1 permit 192.168.1.128
access-list 3 permit 192.168.1.124
access-list 4 permit 192.168.1.240
access-list 124 deny ip object-group 1 any
access-list 124 deny ip host 192.168.1.152 any
access-list 124 deny ip host 192.168.1.153 any
access-list 124 deny ip host 192.168.1.13 any
access-list 124 permit ip any any
arp 192.168.1.1 a44c.11a4.0a5e ARPA
!
!
!
!
route-map megaline permit 10
description Megaline
match ip address megaline
set interface Dialer1
!
snmp-server community sateladmin RO
snmp-server trap-source Vlan1
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
access-class line in
exec-timeout 120 0
logging synchronous
login local
transport input telnet ssh
!
ntp master 1
ntp update-calendar
ntp server 91.226.136.136 source Vlan2
end

[/more] [/more]

Romach1 Ты наворотил в циске туеву кучу правил, в которых, похоже, сам запутался.
С твоими настройками клиент должен видеть всех и быть виден всем.
И если этого не происходит, то проблема в кривой настройке фаервола либо на циске,
либо на хостах локальной сети.

Если бы я накручивал. Наследство. К сожалению прямого доступа к железке нету, чтоб перестроить с нуля по-своему.
Догадываюсь, что в файрволе дело, но где именно не могу вкурить.

Romach1
В конфиг не вникал, но обычно самая распространенная ошибка - отсутствие маршрута из твоих локальных сетей на пул адресов vpn.

slut Не, тут не этот случай. У Romach1 пул клиентских адресов в маске
локалки, связь с ними не через маршрутизацию, а через прокси-арп.
Думаю, тут косяки в настройке правил, поэтому я бы посоветовал сбэкапить конфиг,
создать минималистский, без запрещений, и проверить работу.
Если заработает, потихоньку добавлять правила, и смотреть, где заткнется.

Как мониторить все потоки E1 по SNMP на ISR-1 и ISR-2?

Ищу OID который будет показывать количество активных звонков на каждом потоке маршрутизатора. Железки разные, есть и 28ХХ, и 39ХХ. На данный момент пользуюсь:
"Object    cpmDS1ActiveDS0s
OID    1.3.6.1.4.1.9.10.19.1.1.9.1.3
MIB CISCO-POP-MGMT-MIB", но данный OID показывает активные тайм слоты только на первой плате маршрутизатора. Вычитал в интернете, что нужно искать OIDы в CISCO-ISDN-MIB, но к сожалению не увидел там нужных. Ещё пользуюсь:
"Object    cvCallActiveDS0s
OID    1.3.6.1.4.1.9.9.63.1.3.3
MIB CISCO-VOICE-DIAL-CONTROL-MIB", но данный OID показывает общее количество занятых тайм слотов на всём маршрутизаторе и всех платах. Заранее спасибо за любую информацию.

Ссылка на обсуждение с другого форума.

Всем бодрого!

Подскажите, кто в теме http://forum.ru-board.com/topic.cgi?forum=8&topic=52568#1

Уважаемые спецы!
Помогите с выбором или советом.
В общем компания давно уперлась в предельные возможности простеньких микротиков. Нужна модернизация.
Что имеем: завод с администрацией(100 раб мест)+удаленный склад офис магазин(30 рм)+еще 2 точки по городу(10 рм в каждой). 3 равноправных AD, 3 asterisk, перемещаемые профили пользователей, l2tp+ipsec, почтовик, внутренний сайт(sharepoint), резервные каналы. Вобщем нагрузки хватает.

Какое железо предназначено для решения этих задач? И там еще и лицензии какие то нужно докупать? От обилия инфы уже крыша едет. К завтраму нежен ответ а у меня, чем больше читаю тем больше вопросов. Помогите пожалуйста. Возможно есть фирмы которые смогут проконсольтировать? (Русские)

essesdv Собственно, в примерно аналогичных масштабах у меня
работает циска 3825 в центре, и мелкие циски типа 1700 в филиалах.
Но поскольку их больше не выпускает, ориентироваться надо скорее
на 29хх в центре, 19хх на складе, на точках менее 10 человек можно
оставить те же микротики.
Про лицензии можешь прочесть там: Ссылка
Думаю, стандартный пакет SECK9 вам вполне подойдет.
А получить консультации или реализовать проект - в любой фирме-интеграторе.

Решение найдено: https://tools.cisco.com/bugsearch/bug/CSCee16176

http://anticisco.ru/forum/viewtopic.php?f=2&t=7659&p=56157#p56156

Все разобрался по своему вопросу, проблема была в другой сети 192.168.1.0/21 нужно было указать шлюзу что у нас(у меня за айпи 192.168.1.27) есть есть 10.2.10.0/24, прописал в роутер ОС маршрут и все пинги прошли. Всем Огромное Спасибо, сорь что я так тупил =(
Отдельное Спасибо alespopov
Вопрос покажется Вам глупым но комрады подскажите как на циске сделать пинг постоянный?
тобишь ping 192.168.1.1 -t в командной строке, а на циске как? И как пинг остановить Ctrl+C в командной сроке останавливает действие, тобишь пинг или другая задача

cRYSMAS
Цитата:

подскажите как на циске сделать пинг постоянный?

У циски такой фишки нету, но командой
ping 192.168.1.1 repeat 2147483646
можно пинговать очень долго.
Так же можно повесить постоянный пинг через ip sla

Код: ip sla 100
icmp-echo 8.8.4.4 source-ip 1.1.1.1
timeout 500
frequency 5
ip sla schedule 100 life forever start-time now

Цитата:

vlary

благодарю, а еще вопрос
есть dhcp на cisco 881 как мне имортировать например 100 польз. с мак адресами и айпишниками?
пример как я делал

ip dhcp pool User
host 10.2.40.10 /24
client-identifier 0000.b341.ce84.12
client-name Buh

Ну это я делал для 25 пользователей, а если их будет например 100-500
Как импортировать список в таблицу dhcp сервера?
и в чем разница между
client-identifier 0000.b341.ce84.12 и hardware-address 02c7.f800.0422 ieee802 ?

cRYSMAS
Цитата:

как мне имортировать например 100 польз. с мак адресами и айпишниками?

Ну, например, скриптом на перле ил списка юзер мак айпи
сгенерить кусок конфига, вставить его в цикин стартап, и залить по тфтп.
Но ИМХО, для 100+ человек надо бы уже сервер типа ISC DHCPD
Цитата:

и в чем разница между  

Для microsoft сетей идентификатором данной сети является 01 ПЕРЕД MAC-адресом. Для UNIX сетей необходимо проставлять 00

Цитата:

Для microsoft сетей идентификатором данной сети является 01 ПЕРЕД MAC-адресом. Для UNIX сетей необходимо проставлять 00

да да про это я в курсе так и делал, опечатка там

Коллеги, добрый день.

На Cisco ASA 5510 забыли обновить сертификат под vpn.


В наличие:
1) Cгенерированый с помощью openssl и подписанного thawte.com сертификата на нужное имя.
2) Корневых сертификатов от thawte.com
3) Секретный ключ от сертификата


Гугление привело к нескольким how to.
Пример1: http://blog.tonns.org/2013/02/importing-ssltls-wildcard-certificate.html
Пример2: http://nosovdn-cisco.blogspot.ru/2012/11/cisco-asa.html


К сожалению ни одино из руководств не помогло запихнуть сертификат в асу. Нужна ваша помощь.

SPashala
Цитата:

На Cisco ASA 5510 забыли обновить сертификат под vpn

Малость темкой промахнулся. Здесь по оборудованию, по Асе отдельная тема.
Настройка Cisco PIX Firewall / ASA (
Поищи в ней в режиме "для печати", возможно найдешь там про сертификат.
На роутере это это делается так. Удаляются старый ключ и сертификат.
Генерится новый ключ и CSR (запрос на подпись).
Этот CSR подписывается корневым сертификатом.
Подписанный сертификат устанавливается на роутере.

Спасибо, гляну.

P.S. Как делать на роутере знаю, но сейчас интересне использовать готовый сертификат.

Отвечу сам себе. Обновил cisco ios. Все заработало. Проблема была в sha256 (прошлый образ его не поддерживал)

доброе не подскажите как убрат ьайпи айдрес с интр. NVI0 ?и как в него вообще зайти
зы разобрался уже не требуется

Добрый день. Возникла проблема с настройкой NAT на маршрутизаторе cisco 851. Подобная проблема рассматривалась в этой теме, но честно говоря я не понял вариант решения проблемы.
Идея проста, на порт fa4 (wan) подключен провайдер (с циски пинг проходит в интернет), а на Vlan локальная сеть, соответственно.
1. Если сначала прописываю ip nat insaid и ip nat outside, а потом ip nat inside source list NAT interface FastEthernet4 overload появляется сообщение configuration failed, но команда записывается.
2. Если сначала ip nat inside source list NAT interface FastEthernet4 overload, то сообщение configuration failed появляется после команды ip nat outside.
С локальной сети доступа в интернет нет.
Подскажите где неправ.
Заранее благодарен.

Вот конфиг:

Current configuration : 1453 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
no service password-recovery
no service dhcp
!
hostname RP
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 25
!
!
dot11 syslog
!
!
ip cef
ip domain name isp
ip name-server 213.108.183.3
ip name-server 213.108.176.5
ip name-server 8.8.8.8
!
!
!
username admin2 privilege 15 secret 5 $1$kw14$q50BNGzaBQJqNiIXcYSO/.
username admin privilege 15 secret 5 $1$cjo6$aFxMm/ssPXBBdvFSTPraS0
!
!
archive
log config
hidekeys
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address dhcp
ip nat outside
ip virtual-reassembly
shutdown
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.10.251 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 FastEthernet4
!
no ip http server
no ip http secure-server
ip nat inside source list NAT interface FastEthernet4 overload
!
ip access-list standard NAT
permit 192.168.10.0 0.0.0.255
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end

webadmin4ik Попробуй несколько изменить конфиг.
Код: access-list 111
permit ip 192.168.10.0 0.0.0.255 any
ip nat inside source list 111 interface FastEthernet4 overload

vlary
Спасибо большое. Сегодня я не на работе и проверить не смогу, а завтра внесу изменения в конфиг и отпишусь о результатах.