o co common ? VPN SITE TO SITE
o co common ? VPN SITE TO SITE
Moje zadanie jest następujące:
Zestawić połączenie vpn pomiędzy dwoma routerami.
Jeden to 2821 drugi 871.
Niestety efekt moich wypocin jest taki że status połączenia mam down
Zestawić połączenie vpn pomiędzy dwoma routerami.
Jeden to 2821 drugi 871.
Niestety efekt moich wypocin jest taki że status połączenia mam down
Ostatnio zmieniony 08 mar 2009, 10:21 przez umbro, łącznie zmieniany 3 razy.
Re: o co common ? VPN SITE TO SITE
Piękny config , tylko po zazdrościć jak trzeba troubleshooting zrobić
Pierwsza rzecz jaką bym zrobił na 2800 to restore to default configuration
Dwa , zrezygnował bym z SDM i użył CLI do konfiguracji routera
Trzy , to skorzystanie z http://cisco.com/en/US/tech/tk583/tk372 ... ddbb.shtml
Cztery, zapoznał bym się z :
Pięć, był bym dumny , że nareszcie VPN działa
p.s.
Jeden z problemów, to błąd na routerze 871 w :
Pierwsza rzecz jaką bym zrobił na 2800 to restore to default configuration
Dwa , zrezygnował bym z SDM i użył CLI do konfiguracji routera
Trzy , to skorzystanie z http://cisco.com/en/US/tech/tk583/tk372 ... ddbb.shtml
Cztery, zapoznał bym się z :
Kod: Zaznacz cały
debug crypto isakmp sa
debug crypto ipsec sa
p.s.
Jeden z problemów, to błąd na routerze 871 w :
Kod: Zaznacz cały
crypto isakmp policy 1
https://vpnonline.pl - Twój prywatny VPN - 61 serwery VPN w 29 lokalizacjach na świecie, 470 adresów IP.
jestem początkującym więc prosiłbym o w miarę do mojego poziomu wytłumaczenie o co chodzi.
Pierwsza rzecz: resetowanie routera z serii 2800 odpada, w tej chwili działa na nim około 30 tuneli .
tak konfigurecje tunela na 28xx zrobiłem za pomocą sdm , analogicznie do innych tuneli.Więc podejrzewam że coś musiało mi umknąć lub skopałem coś na 871.
Jeśli chodzi o policy na 871 : co tam jest nie tak?
Pierwsza rzecz: resetowanie routera z serii 2800 odpada, w tej chwili działa na nim około 30 tuneli .
tak konfigurecje tunela na 28xx zrobiłem za pomocą sdm , analogicznie do innych tuneli.Więc podejrzewam że coś musiało mi umknąć lub skopałem coś na 871.
Jeśli chodzi o policy na 871 : co tam jest nie tak?
Na głownym routerze nie masz chyba ruchu szyfrowanego wywalonego z NAT'a ... Sprawdz dokładniej ale nie widziałem tego ruchu zdefiniowanego, chyba ,ze gdzies masz maski wydłuzone...
"...co pan myśli, że jeśli nie podbijam karty w fabryce azbestu, o siódmej, albo drutu, albo nie napierdalam z datownikiem, listy na poczcie do szesnastej to nie jestem w pracy?! Kumasz pan to, czy masz pan za daleko do łba?! Ja tutaj właśnie pracuję!..."
ok uporządkuje:
Konfiguracja centralnego routera 2821:
Konfiguracja routera 871 :
Konfiguracja centralnego routera 2821:
Kod: Zaznacz cały
!This is the running config of the router: 10.1.1.1
!----------------------------------------------------------------------------
!version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname RT00
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 52000 debugging
enable secret 5 $jakies tam
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
aaa authorization network sdm_vpn_group_ml_1 local
aaa authorization network sdm_vpn_group_ml_2 local
!
aaa session-id common
!
resource policy
!
ip subnet-zero
ip tcp synwait-time 10
!
!
ip cef
!
!
no ip bootp server
ip domain name xx.pl
ip name-server 192.168.0.253
!
!
voice-card 0
no dspfarm
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto pki trustpoint TP-self-signed-1965592476
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1965592476
revocation-check none
rsakeypair TP-self-signed-1965592476
!
!
crypto pki certificate chain TP-self-signed-1965592476
certificate self-signed 01
30820249 308201B2 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31393635 35393234 3736301E 170D3037 31323131 31323532
33345A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 39363535
39323437 3630819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100DF05 91C48915 20DDA711 4A47280F 38505F29 C875D308 07B3D7C2 45C6E5AA
8B55A8B3 B81DBD33 23334C23 5733DC91 7B9E7695 76845DAB 53DCEAE0 7CE0C32F
B866987D E22EC403 3A8FC3E8 3CB1004D 68792840 DF575EA5 FCA8584E FEDB1573
40DA49DB B2C27834 781BD4AA AF035B5B FBD28187 830119FF 17EA1E55 A74322C7
E1A90203 010001A3 71306F30 0F060355 1D130101 FF040530 030101FF 301C0603
551D1104 15301382 11525430 302E7072 696D616D 6F64612E 706C301F 0603551D
23041830 1680145F 65B89E07 4CDFCEB2 5ACA29AD B96A249B AAB3C830 1D060355
1D0E0416 04145F65 B89E074C DFCEB25A CA29ADB9 6A249BAA B3C8300D 06092A86
4886F70D 01010405 00038181 006E547D 206801AB 865CB2F2 7F554641 0C3564CB
1619A351 6D660BD5 C1E3B778 E00CE803 5B2F57F4 F3735F6B 6C077B45 3B08E974
B0D1EDB0 328E6A9A D1726453 AC7DC3EA 0E20DED8 C4302FE5 FBF9E0E8 8EF27740
7A4A9E24 161B00BB ECF7DB62 BF4CDB92 317817DF 14B9B46E 81A8A081 EC050F1B
87D3643E 00723E75 CD14840B 65
quit
username admin privilege 15 secret 5 $jakies tam
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
!
crypto isakmp policy 2
hash md5
authentication pre-share
crypto isakmp key 12345678910 address 212.77.xx.xx no-xauth
crypto isakmp keepalive 10
crypto isakmp xauth timeout 15
!
crypto isakmp client configuration group menago
key menago8
pool SDM_POOL_1
max-users 5
netmask 255.255.255.0
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-3DES-SHA1 esp-des esp-md5-hmac
!
crypto map SDM_CMAP_1 43 ipsec-isakmp
description head->skl31
set peer 212.77.xx.xx
set transform-set ESP-3DES-SHA
match address 141
!
!
!
!
interface Null0
no ip unreachables
!
interface GigabitEthernet0/0
description $ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$$FW_OUTSIDE$$ETH-LAN$
ip address 192.168.0.1 255.255.255.0
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/1
description $FW_INSIDE$$ETH-LAN$
ip address 10.1.1.1 255.255.255.0
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1/0
vlan-id dot1q 1
exit-vlan-config
!
!
interface FastEthernet0/1/1
!
interface FastEthernet0/1/2
switchport access vlan 2
!
interface FastEthernet0/1/3
switchport access vlan 2
!
interface Serial0/0/0
ip address 62.87.xx.xx 255.255.255.252
ip verify unicast reverse-path
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1394
crypto map SDM_CMAP_1
!
interface Vlan1
no ip address
!
ip local pool SDM_POOL_1 192.168.0.210 192.168.0.220
ip classless
ip route 0.0.0.0 0.0.0.0 62.87.xx.xx
!
ip flow-top-talkers
top 50
sort-by bytes
!
ip http server
ip http access-class 99
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip access-list extended NAT
remark SDM_ACL Category=2
remark IPSec Rule
deny ip 192.168.0.0 0.0.0.255 192.168.31.0 0.0.0.255
deny ip 10.1.1.0 0.0.0.255 192.168.31.0 0.0.0.255
ip access-list extended NAT_RULE
remark SDM_ACL Category=2
remark IPSec Rule
deny ip 192.168.0.0 0.0.0.255 192.168.31.0 0.0.0.255
deny ip 10.1.1.0 0.0.0.255 192.168.31.0 0.0.0.255
ip access-list extended NN
remark SDM_ACL Category=2
permit ip 10.1.1.0 0.0.0.255 192.168.0.0 0.0.255.255
remark SDM_ACL Category=2
ip access-list extended internet
remark company->internet
remark SDM_ACL Category=2
deny ip 192.168.0.0 0.0.0.255 192.168.31.0 0.0.0.255
deny ip 10.1.1.0 0.0.0.255 192.168.31.0 0.0.0.255
!
access-list 1 remark SDM_ACL Category=2
access-list 141 remark IPSEC Rule
access-list 141 remark SDM_ACL Category=4
access-list 141 remark IPSecRule
access-list 141 permit ip 192.168.0.0 0.0.0.255 192.168.31.0 0.0.0.255
access-list 180 remark PVPN
access-list 180 remark SDM_ACL Category=4
access-list 180 remark PVPN
access-list 180 permit ip 192.168.0.0 0.0.0.255 host 88.156.xx.xx
access-list 198 remark SDM_ACL Category=1
access-list 198 permit ip 10.1.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 198 remark SDM_ACL Category=1
access-list 199 remark SDM_ACL Category=1
access-list 199 permit ip 192.168.0.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 199 remark SDM_ACL Category=1
no cdp run
!
route-map SDM_RMAP_4 permit 1
match ip address NAT
!
route-map SDM_RMAP_5 permit 1
match ip address 108
!
route-map SDM_RMAP_1 permit 1
match ip address NAT_RULE
!
route-map SDM_RMAP_2 permit 1
match ip address NAT
!
route-map SDM_RMAP_3 permit 1
match ip address internet
set ip next-hop 83.16.xx.xx
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
banner login ^CCPMSA
^C
alias exec c conf t
alias exec r sh run
!
line con 0
line aux 0
line vty 0 4
access-class 23 in
transport input telnet ssh
line vty 5 15
access-class 23 in
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp clock-period 17180100
ntp update-calendar
ntp server 10.1.1.253 source GigabitEthernet0/1 prefer
ntp server 192.168.0.253 prefer
!
end
Konfiguracja routera 871 :
Kod: Zaznacz cały
Building configuration...
Current configuration : 4832 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname rt31
!
boot-start-marker
boot-end-marker
!
logging buffered 51200
logging console critical
enable secret 5 $1$JRxO$bS5InqvIFCHfdgdBcEoOo1
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-248151516
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-248151516
revocation-check none
rsakeypair TP-self-signed-248151516
!
!
crypto pki certificate chain TP-self-signed-248151516
certificate self-signed 01
30820247 308201B0 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 32343831 35313531 36301E17 0D303230 33303130 30303635
385A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F
532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3234 38313531
35313630 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
C867BA5C DDAD909E 2D89D49E B73E1803 0056C74B B08D2FDC 8AE26C96 31BC87AB
87D3DECD E6BF6C26 4209C0CB 069CC497 DE6C5F21 9A68D2C5 B6995293 48221177
93A5DE52 9C89B2C3 72CDB75E F5F4F869 2C2ACC01 9896DC73 44882DFF 61BA0B9D
97FA2C49 C9C00820 7D8472D2 339A6A38 C57EF139 F86C0F71 A35D5AFE 05A1AFF5
02030100 01A37130 6F300F06 03551D13 0101FF04 05300301 01FF301C 0603551D
11041530 13821172 7432372E 7072696D 616D6F64 612E706C 301F0603 551D2304
18301680 1433912A 2148E4BC 81B9A4E1 AE6CDEE7 8C7E698E 3C301D06 03551D0E
04160414 33912A21 48E4BC81 B9A4E1AE 6CDEE78C 7E698E3C 300D0609 2A864886
F70D0101 04050003 81810019 244CDB9E 843287E5 DFA773D1 449ED374 56DDEF9B
19A99D91 81FEF02B 4616A24E AC882317 9CFFA13B 8A01D37B 58B304EF 09CD7C43
3696B511 60DD1AB6 360CFC24 AD92D7E4 F1A1B9C6 15F5C710 A2FACFC9 C2E84F77
504C4D76 8FE9F485 E1B50FE0 F1FCF607 111DDC97 6B219AC6 548ECC1E A234FF21
D042E786 3CD02380 226F7E
quit
dot11 syslog
no ip source-route
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.31.1 192.168.31.99
ip dhcp excluded-address 192.168.31.201 192.168.31.254
!
ip dhcp pool sdm-pool1
import all
network 192.168.31.0 255.255.255.0
default-router 192.168.27.1
!
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
no ip bootp server
ip domain name xx.pl
ip name-server 81.15.146.169
ip name-server 194.204.159.1
!
!
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
crypto isakmp key 12345678910 address 62.87.xx.xx no-xauth
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-md5-hmac
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
description skl31->Head
set peer 62.87.xx.xx
set transform-set ESP-3DES-SHA
match address 141
!
archive
log config
hidekeys
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $ES_WAN$$FW_OUTSIDE$
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
crypto map SDM_CMAP_1
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 192.168.31.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 212.77.xx.xx
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source route-map rmap interface FastEthernet4 overload
!
ip access-list extended NAT
deny ip 192.168.31.0 0.0.0.255 192.168.0.0 0.0.0.255
permit ip 192.168.31.0 0.0.0.255 any
!
logging trap debugging
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.31.0 0.0.0.255
access-list 110 permit ip 192.168.31.0 0.0.0.255 192.168.0.0 0.0.0.255
no cdp run
!
!
route-map rmap permit 1
match ip address NAT
!
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end
Ostatnio zmieniony 08 mar 2009, 10:21 przez umbro, łącznie zmieniany 1 raz.
Chłopie to jak wklejasz okrojone konfigi to wklejaj je odpowiednio okrojone i nie edytuj tak postów jak robisz to teraz bo nie wiadomo co i jak ... w pierwszym poscie dajesz konfiguracje routera głownego i oddziałowego , teraz tak wyedytowałes ten pierwszy post ze nie ma w nim konfiguracji głownego....a w nowym poscie wkleiles inna konfiguracje głownego routera niz byla w pierwszym...
"...co pan myśli, że jeśli nie podbijam karty w fabryce azbestu, o siódmej, albo drutu, albo nie napierdalam z datownikiem, listy na poczcie do szesnastej to nie jestem w pracy?! Kumasz pan to, czy masz pan za daleko do łba?! Ja tutaj właśnie pracuję!..."
Ruch ktory matchuje sie do tego tunelu to
access-list 141 permit ip 192.168.0.0 0.0.0.255 192.168.31.0 0.0.0.255 i odwrotny na drugim routerze...
a w konfiguracji routera głownego masz siec 10.1.1.0/24 która wg. opisu interfejsu nalezy do inside LAN...
Jak testowałes połączenie z jakiej sieci puszczałes ruch?
access-list 141 permit ip 192.168.0.0 0.0.0.255 192.168.31.0 0.0.0.255 i odwrotny na drugim routerze...
a w konfiguracji routera głownego masz siec 10.1.1.0/24 która wg. opisu interfejsu nalezy do inside LAN...
Jak testowałes połączenie z jakiej sieci puszczałes ruch?
"...co pan myśli, że jeśli nie podbijam karty w fabryce azbestu, o siódmej, albo drutu, albo nie napierdalam z datownikiem, listy na poczcie do szesnastej to nie jestem w pracy?! Kumasz pan to, czy masz pan za daleko do łba?! Ja tutaj właśnie pracuję!..."
Na 871 dajumbro pisze:nie wiem czy o to chodzi:
jeśli chodzi o wewnętrzne to potrzebuje mieć dostęp sieci 192.168.31.0 , która jest za routerem o zew adresie 212.77.xx.xx , do sieci 10.1.1.0 , która jest za 62.87.xx.xx
Kod: Zaznacz cały
access-list 110 permit ip 192.168.31.0 0.0.0.255 10.1.1.0 0.0.0.255
Kod: Zaznacz cały
access-list 141 permit ip 10.1.1.0 0.0.0.255 192.168.31.0 0.0.0.255
Ostatnio zmieniony 08 mar 2009, 10:59 przez posiu, łącznie zmieniany 1 raz.
"...co pan myśli, że jeśli nie podbijam karty w fabryce azbestu, o siódmej, albo drutu, albo nie napierdalam z datownikiem, listy na poczcie do szesnastej to nie jestem w pracy?! Kumasz pan to, czy masz pan za daleko do łba?! Ja tutaj właśnie pracuję!..."
Jeszcze na 871 musisz dac
tylko wrzuc ten wpis przed ten permit co masz w tej ACL...
Kod: Zaznacz cały
ip access-list extended NAT
deny ip 192.168.31.0 0.0.0.255 10.1.1.0 0.0.0.255
Ostatnio zmieniony 08 mar 2009, 10:57 przez posiu, łącznie zmieniany 1 raz.
"...co pan myśli, że jeśli nie podbijam karty w fabryce azbestu, o siódmej, albo drutu, albo nie napierdalam z datownikiem, listy na poczcie do szesnastej to nie jestem w pracy?! Kumasz pan to, czy masz pan za daleko do łba?! Ja tutaj właśnie pracuję!..."
Pokaz kofnig tego malegoumbro pisze:dodałem, lecz nadal status połączenia mam down
"...co pan myśli, że jeśli nie podbijam karty w fabryce azbestu, o siódmej, albo drutu, albo nie napierdalam z datownikiem, listy na poczcie do szesnastej to nie jestem w pracy?! Kumasz pan to, czy masz pan za daleko do łba?! Ja tutaj właśnie pracuję!..."
Kod: Zaznacz cały
rt31#sh run
Building configuration...
Current configuration : 7076 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname rt31
!
boot-start-marker
boot-end-marker
!
logging buffered 51200
logging console critical
enable secret 5 $jakies
!
no aaa new-model
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
crypto pki trustpoint TP-self-signed-3871084757
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3871084757
revocation-check none
rsakeypair TP-self-signed-3871084757
!
!
crypto pki certificate chain TP-self-signed-3871084757
certificate self-signed 01
30820249 308201B2 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 33383731 30383437 3537301E 170D3032 30333031 30313439
33345A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 38373130
38343735 3730819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100CCCF A6A656F6 21C3DF95 9C062610 AD85893B 9D785905 40C411B1 99AF0FEB
4F7BB983 1B81ED2A E238E9CD 1A74BAE4 64E9E392 0148DE2F 26301E6A F6CE7096
A351B588 DD7F3ECE 94748442 7E6BA11C 265CC498 14F77474 CE362DAB 45D4B3F9
60A04BBC 4B24792D 1A5F5312 E92D3D4C 0B502A96 3D5AC1EE F6ADE65A 5819EEEA
F4FB0203 010001A3 71306F30 0F060355 1D130101 FF040530 030101FF 301C0603
551D1104 15301382 11727433 312E7072 696D616D 6F64612E 706C301F 0603551D
23041830 168014D2 48492803 E35E7BCD B7B46CB5 29051D53 C1466830 1D060355
1D0E0416 0414D248 492803E3 5E7BCDB7 B46CB529 051D53C1 4668300D 06092A86
4886F70D 01010405 00038181 00B777D7 D2454731 75FC3710 FBD777A4 B41D1987
9166C928 4EAA9FE6 D6772E22 27E3F3BD 6EDB7C77 C2B83D1E 58C332A6 3AAAECC6
E39DD4BD DB9F97A7 3B37545F 8C98FF70 928E14EE 90C049A3 CEC04D00 E2F63521
B700F4D0 224FBA26 058804C4 1C15CCB2 64292B78 651C28F1 E969B5F7 849F732B
DB2BBA3B D0A23B2B 79C908A0 40
quit
dot11 syslog
no ip source-route
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.31.1
ip dhcp excluded-address 192.168.31.1 192.168.31.99
ip dhcp excluded-address 192.168.31.201 192.168.31.254
!
ip dhcp pool sdm-pool1
import all
network 192.168.31.0 255.255.255.0
default-router 192.168.31.1
!
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
no ip bootp server
no ip domain lookup
ip domain name xx.pl
ip name-server 81.15.146.169
ip name-server 194.204.159.1
!
!
!
username admin privilege 15 secret 5 $jakies
!
!
crypto isakmp policy 2
encr 3des
hash md5
authentication pre-share
crypto isakmp key 12345678910 address 62.87.xx.xx
!
!
crypto ipsec transform-set ESP-DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-md5-hmac
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
! Incomplete
description skl31->Head
set peer 62.87.xx.xx
set transform-set ESP-3DES-SHA
match address 141
!
archive
log config
hidekeys
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $ES_WAN$$FW_OUTSIDE$
mac-address 0002.7257.093f
ip address dhcp client-id FastEthernet4
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
crypto map SDM_CMAP_1
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 192.168.31.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 212.77.xx.xx
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface FastEthernet4 overload
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
ip nat inside source route-map rmap interface FastEthernet4 overload
!
ip access-list extended NAT
deny ip 192.168.31.0 0.0.0.255 192.168.0.0 0.0.0.255
permit ip 192.168.31.0 0.0.0.255 any
deny ip 192.168.31.0 0.0.0.255 10.1.1.0 0.0.0.255
!
logging trap debugging
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.31.0 0.0.0.255
access-list 1 remark INSIDE_IF=VLAN1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.10.10.0 0.0.0.7
access-list 2 remark INSIDE_IF=VLAN1
access-list 2 remark SDM_ACL Category=4
access-list 2 permit 192.168.31.0 0.0.0.255
access-list 100 remark IPSEC Rule
access-list 100 permit ip 192.168.31.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 100 permit ip 192.168.31.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 101 remark SDM_ACL Category=2
access-list 101 permit ip 192.0.0.0 0.255.255.255 192.0.0.0 0.255.255.255
access-list 103 remark SDM_ACL Category=2
access-list 103 deny ip 192.168.31.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 103 remark IPSEC Rule
access-list 103 deny ip 192.168.31.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 103 permit ip 192.168.31.0 0.0.0.255 any
access-list 110 permit ip 192.168.31.0 0.0.0.255 10.1.1.0 0.0.0.255
no cdp run
!
!
route-map rmap permit 1
match ip address NAT
!
route-map SDM_RMAP_1 permit 1
match ip address 141
!
!
control-plane
!
banner exec ^C
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end
Mówiłem abys ten wpisip access-list extended NAT
deny ip 192.168.31.0 0.0.0.255 192.168.0.0 0.0.0.255
permit ip 192.168.31.0 0.0.0.255 any
deny ip 192.168.31.0 0.0.0.255 10.1.1.0 0.0.0.255
Kod: Zaznacz cały
ip access-list extended NAT
deny ip 192.168.31.0 0.0.0.255 10.1.1.0 0.0.0.255
ma byc:
Kod: Zaznacz cały
ip access-list extended NAT
deny ip 192.168.31.0 0.0.0.255 192.168.0.0 0.0.0.255
deny ip 192.168.31.0 0.0.0.255 10.1.1.0 0.0.0.255
permit ip 192.168.31.0 0.0.0.255 any
"...co pan myśli, że jeśli nie podbijam karty w fabryce azbestu, o siódmej, albo drutu, albo nie napierdalam z datownikiem, listy na poczcie do szesnastej to nie jestem w pracy?! Kumasz pan to, czy masz pan za daleko do łba?! Ja tutaj właśnie pracuję!..."