设为首页收藏本站language→→ 语言切换
开启辅助访问 切换到宽版

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

鸿鹄论坛»鸿鹄论坛 ≡□≡思科认证≡□≡ CCIE认证交流 求助:VPN的问题
返回列表 发新帖
查看: 1748|回复: 13
收起左侧

[Sec] 求助:VPN的问题

[复制链接]
fensirs
发表于 2014-7-6 00:07:41 | 显示全部楼层 |阅读模式
1.JPG

小白求助:
做了一个VPN实验,但老是不通,有没有高手帮我看看错在哪里了?
Site1#show run
crypto isakmp policy 10
authentication pre-share
crypto isakmp key cisco address 61.128.1.1
!
crypto ipsec transform-set cisco esp-des esp-md5-hmac
!
crypto map cisco 10 ipsec-isakmp
set peer 61.128.1.1
set transform-set cisco
match address vpn
!
interface Loopback0
ip address 1.1.1.1 255.255.255.0
!
interface FastEthernet0/0
ip address 202.100.1.1 255.255.255.0
duplex auto
speed auto
crypto map cisco
!
ip route 0.0.0.0 0.0.0.0 202.100.1.10
!
ip access-list extended vpn
permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255



回复

使用道具 举报

fensirs
 楼主| 发表于 2014-7-6 00:13:27 | 显示全部楼层
本帖最后由 fensirs 于 2014-7-6 00:14 编辑

1.1.1.1ping2.2.2.2 不通,反ping也不通但是site1 ping site2 的外网口是通的,反ping也通。


沙发 2014-7-6 00:13:27 回复 收起回复
回复 支持 反对

使用道具 举报

PIG朋DOG友
发表于 2014-7-6 09:31:12 | 显示全部楼层
你不发Site2配置 咋知道你Site2有没有配错
板凳 2014-7-6 09:31:12 回复 收起回复
回复 支持 反对

使用道具 举报

Rockyw
发表于 2014-7-6 10:32:09 | 显示全部楼层
路过了解一下
地板 2014-7-6 10:32:09 回复 收起回复
回复 支持 反对

使用道具 举报

echong
发表于 2014-7-6 11:24:24 | 显示全部楼层
其实你这个问题很简单啦
你的vpn配置都是正确的
关键是少了一条路由啦
site1:
ip route 2.2.2.0 255.255.255.0 61.128.1.1
site2:
ip route 1.1.1..0 255.255.255.0 202.100.1.1

5# 2014-7-6 11:24:24 回复 收起回复
回复 支持 反对

使用道具 举报

fensirs
 楼主| 发表于 2014-7-6 23:42:38 | 显示全部楼层
echong 发表于 2014-7-6 11:24
其实你这个问题很简单啦
你的vpn配置都是正确的
关键是少了一条路由啦

噢,我试试
6# 2014-7-6 23:42:38 回复 收起回复
回复 支持 反对

使用道具 举报

echong
发表于 2014-7-7 08:58:16 | 显示全部楼层
fensirs 发表于 2014-7-6 23:42
噢,我试试

恩。
7# 2014-7-7 08:58:16 回复 收起回复
回复 支持 反对

使用道具 举报

fensirs
 楼主| 发表于 2014-7-7 10:16:05 | 显示全部楼层
echong 发表于 2014-7-7 08:58
恩。

试了下,貌似不行,我两边各有一条默认路由,估计不是这个问题吧?
8# 2014-7-7 10:16:05 回复 收起回复
回复 支持 反对

使用道具 举报

fensirs
 楼主| 发表于 2014-7-7 11:00:19 | 显示全部楼层
捕获.JPG
ping 包结果!
9# 2014-7-7 11:00:19 回复 收起回复
回复 支持 反对

使用道具 举报

echong
发表于 2014-7-9 12:34:50 | 显示全部楼层
fensirs 发表于 2014-7-7 11:00
ping 包结果!

你是否做了nat
如果做了nat
一定要把你vpn感兴趣的流量在nat列表中deny掉
不然出接口会进行nat而不进行ipsec
10# 2014-7-9 12:34:50 回复 收起回复
回复 支持 反对

使用道具 举报

echong
发表于 2014-7-9 12:35:39 | 显示全部楼层
fensirs 发表于 2014-7-7 11:00
ping 包结果!

与默认路由无关 你的默认路由是指向internet
而明晰路由是指向对端出接口
11# 2014-7-9 12:35:39 回复 收起回复
回复 支持 反对

使用道具 举报

BTC
发表于 2014-7-9 13:49:33 | 显示全部楼层
vpn 配置没问题
你的Internet Router要知道1.1.1.0 和 2.2.2.0的route。
Internet(config)#ip route 1.1.1.0 255.255.255.0 202.100.1.1
Internet(config)#ip route 2.2.2.0 255.255.255.0 61.128.1.1

R1#ping 2.2.2.2 source l0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 92/120/176 ms
R1#sh cry
R1#sh crypto ses
Crypto session current status

Interface: FastEthernet0/0
Session status: UP-ACTIVE
Peer: 61.128.1.1 port 500
  IKE SA: local 202.100.1.1/500 remote 61.128.1.1/500 Active
  IPSEC FLOW: permit ip 1.1.1.0/255.255.255.0 2.2.2.0/255.255.255.0
        Active SAs: 2, origin: crypto map


12# 2014-7-9 13:49:33 回复 收起回复
回复 支持 反对

使用道具 举报

bluesea8312
发表于 2014-7-22 13:28:50 | 显示全部楼层
R1的vpn的命令是正确的。
14# 2014-7-22 13:28:50 回复 收起回复
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2025-1-26 14:42 , Processed in 0.062934 second(s), 10 queries , Redis On.  

  Powered by Discuz!

  © 2001-2025 HH010.COM

快速回复 返回顶部 返回列表