GoldenLine
Zaloguj się
Bartosz Tarnowski

Bartosz Tarnowski Władam techniką

Temat: Problem z VPNem

Nie wiem, czy zakładam wątek w dobrym miejscu, ale zapytam.

Po zmianach w konfiguracji routera przestał działać tunel VPN od klienta do tego routera. Połączenie poprawnie się zestawia i klient dostaje właściwy adres z odpowiedniego local-pool, ale nie dostaje właściwego adresu bramy (zamiast tego bramą staje się pierwszy adres z podsieci) ani nie można pingować w bramę ani w sieć lokalną. W internecie sporo ludzi ma ten sam problem, ale nigdzie nie ma rozwiązania (może to jakaś tajemnica).

Konkretnie:
Klient zestawia połączenie z VPNem i dostaje adres 192.168.0.212.
Bramą powinien być adres 192.168.0.2, ale zamiast tego pojawia się 192.168.0.1.
Nie da się pingować do bramy 192.168.0.2 ani do żadnego adresu z sieci lokalnej za routerem.
Klient powinien się skonfigurować przez DHCP, co nie następuje, być może właśnie dlatego, że nie ma komunikacji.
W tablicy routingu routera nie pojawia się adres klienta. Powinno być tak, że pojawia się wpis do pojedynczego hosta: 192.168.0.212 via 1.2.3.4 (gdzie drugi adres to adres publiczny komputera klienta), ale nic takiego się nie dzieje.
Nie da się oczywiście także pingować adresu klienta z routera.

Jeżeli ktoś miał podobny problem, to proszę pisać. Interesuje mnie bardziej, żeby zrozumieć, co się naprawdę dzieje, niż żeby po prostu znaleźć rozwiązanie.
Link do wypowiedziLink
Paweł C.

Paweł C. ,

Temat: Problem z VPNem

A z jaki adres ma siec klienta? :)
Link do wypowiedziLink
Bartosz Tarnowski

Bartosz Tarnowski Władam techniką

Temat: Problem z VPNem

Klient łączy się z adresu publicznego. To nie jest kwestia tego, że lokalna sieć klienta gryzie się z wewnętrzną siecią routera. Klient ma adres publiczny i nie ma nawet NATa.

Najbardziej interesuje mnie, co się właściwie dzieje. To jest dość tajemnicza sprawa, bo mnóstwo ludzi o tym pisze, ale nikt nie podał rozwiązania.
Link do wypowiedziLink
Krzysztof Kania

Krzysztof Kania Inżynier systemowy
Cisco (CCNA R&S,
Voice, Security)

Temat: Problem z VPNem

Bartosz T.:
Po zmianach w konfiguracji routera

A jakie to były zmiany? W sumie to sam sobie powinieneś zadać to pytanie ale dobra, zadam je ja.
klient dostaje właściwy adres z odpowiedniego local-pool, ale nie dostaje właściwego adresu bramy (zamiast tego bramą staje się pierwszy adres z podsieci)

No to trzeba klientowi powiedzieć w konfiguracji jaki adres ma być adresem bramy.
Klient powinien się skonfigurować przez DHCP, co nie następuje, być może właśnie dlatego, że nie ma komunikacji.

Zastanów się jak klient nie mający adresu IP ma zapytać przez VPN, który przepuszcza ruch określony ACL'ką, serwer DHCP poprzez rozesłanie requesta na adres rozgłoszeniowy wysłany z adresu 0.0.0.0. Jak już sobie odpowiesz że to oczywiście niemożliwe to może dojdziesz i do tego że klient nie dowie się z DHCP jak ma się skonfigurować. Oj nie.
Jeżeli ktoś miał podobny problem, to proszę pisać. Interesuje mnie bardziej, żeby zrozumieć, co się naprawdę dzieje, niż żeby po prostu znaleźć rozwiązanie.

No to wędkę już masz.
Link do wypowiedziLink
Bartosz Tarnowski

Bartosz Tarnowski Władam techniką

Temat: Problem z VPNem

A jakie to były zmiany? W sumie to sam sobie powinieneś zadać to pytanie ale dobra, zadam je ja.

Były to zmiany zupełnie niezwiązane z VPNem.
No to trzeba klientowi powiedzieć w konfiguracji jaki adres ma być adresem bramy.

To powinno się stać dzięki DHCP.
Zastanów się jak klient nie mający adresu IP ma zapytać przez VPN

Klient posiada adres IP przyznany z local-pool. DHCP służy wyłącznie do skonfigurowania bramy i DNSów. Klient nie pobiera adresu z DHCP, pobiera go z local-pool.
który przepuszcza ruch określony ACL'ką, serwer DHCP poprzez rozesłanie requesta na adres rozgłoszeniowy
wysłany z adresu 0.0.0.0. Jak już sobie odpowiesz że to oczywiście niemożliwe to może dojdziesz i do tego że
klient nie dowie się z DHCP jak ma się skonfigurować. Oj nie.

Nie tak to działa w tej konfiguracji. Klient posiada już adres, kiedy wysyła zapytanie do DHCP. Sprawdzę Twoją sugestię odnośnie ACLek.
Link do wypowiedziLink
Krzysztof Kania

Krzysztof Kania Inżynier systemowy
Cisco (CCNA R&S,
Voice, Security)

Temat: Problem z VPNem

Bartosz T.:
Były to zmiany zupełnie niezwiązane z VPNem.

A może tylko Ty tak uważasz skoro działało i przestało.
To powinno się stać dzięki DHCP.

A ja już Ci wyjaśniłem że się nie stanie.
Klient posiada adres IP przyznany z local-pool. DHCP służy wyłącznie do skonfigurowania bramy i DNSów. Klient nie pobiera adresu z DHCP, pobiera go z local-pool.

Przeczysz sam sobie bo wiersz wyżej piszesz "To powinno się stać dzięki DHCP."
Nie tak to działa w tej konfiguracji. Klient posiada już adres, kiedy wysyła zapytanie do DHCP.

Tak? Hmmm, skoro posiada adres to po co i o co pyta?
Sprawdzę Twoją sugestię odnośnie ACLek.

Moja sugestia nie dotyczyła ACL'ek.
Link do wypowiedziLink

konto usunięte

Temat: Problem z VPNem

Nie rozumiem czemu sluzy dokladnie ta dyskusja, bo na razie zamiast pomagac prowadzi do nikad.

Kolega Bartosz przyznal sie, ze zmienila sie konfiguracja routera, niech powie dokladnie co sie zmienilo i na czym ten vpn wogole chodzi (router.... cisco? linksys? inny? vpn jaki? ipsec/ssl? klient vpn anyconnect / vpn client / cos innego ? )

moze jakis listing konfiguracji?

np. z zycia wziete, klient Cisco VPN client 5.x instalowany na Win7/8 x64 na poczatku dziala potem po updateach systemu nie dziala, objawy idealnie pasuja, ale nie wiemy jakie srodowisko jest tu omawiane....

/F.Ten post został edytowany przez Autora dnia 27.09.13 o godzinie 12:11
Link do wypowiedziLink
Bartosz Tarnowski

Bartosz Tarnowski Władam techniką

Temat: Problem z VPNem

Fryderyk C.:
np. z zycia wziete, klient Cisco VPN client 5.x instalowany na Win7/8 x64 na poczatku dziala potem po updateach systemu nie dziala, objawy idealnie pasuja, ale nie wiemy jakie srodowisko jest tu omawiane....

Bingo. Problem rzeczywiście leżał po stronie komputera klienta. Jednak to Windows jest najsłabszym ogniwem.
Zmiany w konfiguracji faktycznie nie miały żadnego wpływu na VPN. To Windows się popsuł.

To by też tłumaczyło, dlaczego nigdzie nie ma odpowiedzi na to pytanie, bo to nie wina Cisco :).

Dziękuję za pomoc. Piwo dla kolegi.
Link do wypowiedziLink

konto usunięte

Temat: Problem z VPNem

Bartosz T.:
Fryderyk C.:
np. z zycia wziete, klient Cisco VPN client 5.x instalowany na Win7/8 x64 na poczatku dziala potem po updateach systemu nie dziala, objawy idealnie pasuja, ale nie wiemy jakie srodowisko jest tu omawiane....

Bingo. Problem rzeczywiście leżał po stronie komputera klienta. Jednak to Windows jest najsłabszym ogniwem.
Zmiany w konfiguracji faktycznie nie miały żadnego wpływu na VPN. To Windows się popsuł.

To by też tłumaczyło, dlaczego nigdzie nie ma odpowiedzi na to pytanie, bo to nie wina Cisco :).

Dziękuję za pomoc. Piwo dla kolegi.

Niestety to jest wina cisco i po czesci (malej) samego OSa.

Czas zmigrowac sie na anyconnecta i ssl vpn'a , problemy znikna ;p
ale pewnie router nie da rady tego obsluzyc (chyba ze to conajmniej ISR G2 jesli mowimy o cisco)

/F.Ten post został edytowany przez Autora dnia 27.09.13 o godzinie 22:58
Link do wypowiedziLink
Przemysław Bober

Przemysław Bober

Temat: Problem z VPNem

Mam ten sam problem, byłbym wdzięczyny za informację co się popsuło w W8 po stronie klienta.
Link do wypowiedziLink

konto usunięte

Temat: Problem z VPNem

A ktoś próbował na 8-ce zamiast cisco vpn client użyć shrew soft VPN client ?
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj