forum.opennet.ru - "Cisco 1841 - VDPN (pptp - client) + NAT: проблемы с роутингом." (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Cisco 1841 - VDPN (pptp - client) + NAT: проблемы с роутингом."

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Cisco 1841 - VDPN (pptp - client) + NAT: проблемы с роутингом."	+/–
Сообщение от sadko812 (ok) on 21-Июн-10, 13:45
Всем доброго времени суток. есть cisco1841 - 2 физ.интерфейса. Один смотрит внутрь(Fe0/0) подсеть 192.168.1.0 второй - наружу, в сеть провайдера (Fe0/1)xxx.xxx.xxx.10 встала задача поднять на циске ВПН-клиент чтобы несколько windows-клиентов могли коннектиться в сеть 192.168.58.0. с циски коннект есть, sh vpdn показывает, что туннель и сессия установлены. но с клиентов никак не подключиться: если в интерфейсе dialer0 прописываю nat outside, сам интерфейс престает пинговаться. фаер отключил, - по ходу что-то с роутингом и NAT: как бы прописать, чтобы, к пирмеру клиенты с машин 192.168.1.222 и 192.168.1.223 могли одновременно ходить в интернет через провайдера, в локальную сеть и в сеть через впн??? Помогите! Вынос мозга! конфиг: ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption service internal ! hostname cisco1841 ! boot-start-marker boot-end-marker ! logging message-counter syslog logging buffered 51200 warnings ! aaa new-model ! ! aaa authentication login default local ! ! aaa session-id common dot11 syslog ip source-route no ip gratuitous-arps ! ! no ip dhcp conflict logging ip dhcp excluded-address 192.168.1.250 ! ip dhcp pool dc host 192.168.1.50 255.255.255.0 client-identifier 0100.1517.6461.24 dns-server 192.168.1.143 192.168.1.50 default-router 192.168.1.133 domain-name v_pupkin.ru ! ip dhcp pool v_pupkin.ru network 192.168.1.0 255.255.255.0 default-router 192.168.1.133 dns-server 192.168.1.50 ! ! ! ip cef no ip domain lookup ip domain name v_pupkin.ru ip name-server xxx.xxx.xxy.10 ip multicast-routing no ipv6 cef ! multilink bundle-name authenticated ! vpdn enable ! vpdn-group 1 request-dialin protocol pptp rotary-group 0 initiate-to ip yyy.yyy.yyy.yyy ! vpdn-group vpn ! parameter-map type urlfpolicy local global_policy allow-mode on parameter-map type urlf-glob urlfilter_param pattern vkontakte.ru pattern .vkontakte.ru parameter-map type urlf-glob urlfilter_param_allowed pattern ! ! ! ! username admin privilege 15 secret 5 $1$125F$Oc4ofCWPqfQDWsIApNsWF/ username cisco privilege 15 archive log config hidekeys ! ! ! ! ! ip ssh authentication-retries 5 ip ssh version 2 ! class-map type inspect match-any to_lan match access-group name guests class-map type inspect match-any from_lan match access-group name from_lan class-map type inspect match-all inet_users match protocol http match access-group name inet_users_filtered class-map type urlfilter match-any blacklist_class match server-domain urlf-glob urlfilter_param class-map type urlfilter match-any whitelist_class match server-domain urlf-glob urlfilter_param_allowed class-map type inspect match-all vpn_class match access-group name vpn_servers ! ! policy-map type inspect vpn_policy class type inspect vpn_class inspect class class-default drop policy-map type inspect urlfilter urlf_policy class type urlfilter blacklist_class log reset class type urlfilter whitelist_class allow policy-map type inspect from_lan_policy class type inspect inet_full inspect class type inspect inet_users inspect service-policy urlfilter urlf_policy class type inspect from_lan inspect class class-default drop policy-map type inspect to_lan_policy class type inspect to_lan inspect class class-default drop ! zone security inside_zone zone security outside_zone zone security vpn zone-pair security inside_to_outside source inside_zone destination outside_zone service-policy type inspect from_lan_policy zone-pair security outside_to_inside source outside_zone destination inside_zone service-policy type inspect to_lan_policy zone-pair security inside_to_vpn source inside_zone destination vpn service-policy type inspect vpn_policy ! ! ! interface Loopback0 ip address 192.168.0.1 255.255.255.0 ! interface FastEthernet0/0 description $ETH-SW-LAUNCH$$INTF-INFO-FE 0$ ip address 192.168.1.133 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet0/1 description $ES_LAN$ ip address xxx.xxx.xxx.10 255.255.255.0 ip nbar protocol-discovery ip nat outside ip virtual-reassembly duplex auto speed auto ! interface Dialer0 ip address negotiated ip pim dense-mode ip nat enable ip virtual-reassembly encapsulation ppp dialer in-band dialer idle-timeout 0 dialer string 111 dialer vpdn dialer-group 1 no cdp enable ppp pfc local request ppp pfc remote apply ppp encrypt mppe auto ppp chap hostname Sokolov_VA ppp chap password 7 09681E05490E1141 ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 213.170.103.9 ip route 192.168.58.0 255.255.255.0 Dialer0 ip http server ip http access-class 23 ip http authentication local no ip http secure-server ip http timeout-policy idle 600 life 86400 requests 10000 ! ! ip nat log translations syslog ip nat translation pptp-timeout never ip nat inside source list 1 interface FastEthernet0/1 overload ip nat inside source static tcp 192.168.1.51 3389 interface FastEthernet0/1 3389 ip nat inside source static tcp 192.168.1.250 25 interface FastEthernet0/1 25 ip nat inside source static tcp 192.168.1.50 443 interface FastEthernet0/1 443 ip nat inside source static tcp 192.168.1.250 110 interface FastEthernet0/1 110 ip nat inside source static 192.168.1.222 192.168.56.43 route-map to_gis ! ip access-list standard vpn_servers permit 192.168.58.0 0.0.0.255 ! ip access-list extended from-lan permit tcp any any eq pop3 permit tcp any any permit ip any any ip access-list extended from_lan permit udp any any eq domain permit udp any any eq ntp permit icmp any any echo permit icmp any any echo-reply permit icmp any any source-quench permit icmp any any packet-too-big permit icmp any any time-exceeded permit tcp any any eq www permit tcp host 192.168.1.201 any eq 3389 permit tcp host 192.168.1.222 any eq 3389 permit tcp host 192.168.1.201 any eq 3389 established permit tcp host 192.168.1.222 any eq 3389 established permit tcp host 192.168.1.201 any eq 5938 established permit tcp host 192.168.1.80 any eq 5938 established permit tcp host 192.168.1.93 any eq 5938 established permit tcp host 192.168.1.59 any eq 5938 established permit tcp host 192.168.1.68 any eq 5938 established permit tcp host 192.168.1.98 any eq 5938 established permit tcp any any eq 1959 established permit tcp any any eq 1961 established permit tcp host 192.168.1.10 any eq 1024 established permit tcp any any eq pop3 permit tcp any any eq 69 permit tcp any any eq 69 established permit tcp any any eq 1723 permit tcp any any eq 443 permit tcp any any eq 587 permit tcp any any eq 995 permit tcp any host 91.103.153.27 eq 30586 permit tcp any any eq 47 permit gre any any permit ip any any permit tcp host 192.168.1.250 any eq smtp ip access-list extended guests permit tcp host 195.189.83.63 any eq 3389 www permit tcp host 93.81.243.45 any eq 3389 www permit tcp host 84.52.80.52 any eq 3389 www permit tcp host 195.189.83.63 any eq 3389 www established permit tcp host 93.81.243.45 any eq 3389 www established permit tcp host 84.52.80.52 any eq 3389 www established permit tcp host 93.81.243.76 any established permit tcp host 93.100.31.195 any eq 3389 www established permit tcp host 82.140.75.11 any eq 3389 www established permit tcp host 93.100.57.196 any eq 3389 www established permit tcp host 89.179.125.204 any established permit tcp any any eq smtp permit tcp any any eq 1723 permit tcp any any eq 47 permit gre any any permit tcp any any eq 1024 permit ip any any ip access-list extended inet_users deny tcp host 192.168.1.222 any eq www deny tcp host 192.168.1.201 any eq www deny tcp host 192.168.1.53 any eq www deny tcp host 192.168.1.253 any eq www deny tcp host 192.168.1.41 any eq www deny tcp host 192.168.1.222 any eq 443 deny tcp host 192.168.1.201 any eq 443 deny tcp host 192.168.1.53 any eq 443 deny tcp host 192.168.1.253 any eq 443 deny tcp host 192.168.1.41 any eq 443 permit tcp any any eq www ip access-list extended inet_users_filtered deny tcp host 192.168.1.222 any eq www permit ip any any ip access-list extended test permit tcp host 192.168.2.222 any permit icmp host 192.168.2.222 any ip access-list extended to_gis permit ip 192.168.1.0 0.0.0.255 192.168.58.0 0.0.0.255 ip access-list extended to_lan permit tcp host 195.189.83.63 any eq 3389 5938 permit tcp host 93.81.243.45 any eq 3389 5938 permit tcp host 84.52.80.52 any eq 3389 5938 permit tcp host 93.81.243.76 any eq 3389 5938 permit tcp host 93.100.31.195 any eq 3389 5938 permit tcp host 89.179.125.204 any eq 3389 5938 permit tcp any any eq 443 permit tcp any any eq 1024 permit udp any any eq domain permit udp any any eq ntp permit icmp any any echo permit icmp any any echo-reply permit icmp any any source-quench permit icmp any any packet-too-big permit icmp any any time-exceeded permit tcp any any eq www permit tcp any any eq smtp permit tcp any any eq 5938 permit tcp any any eq pop3 permit tcp any any eq 995 permit tcp any any eq 1959 permit tcp any any eq 1961 permit tcp any any eq 30586 permit tcp any any eq 1723 permit tcp any any eq telnet ip access-list extended vpn permit ip any any ! logging 208.87.33.151 access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.2.0 0.0.0.255 access-list 2 permit 192.168.1.0 0.0.0.255 dialer-list 1 protocol ip permit ! ! ! ! ! ! ! ! control-plane ! ! banner exec % Password expiration warning. ----------------------------------------------------------------------- ----------------------------------------------------------------------- banner login ----------------------------------------------------------------------- ----------------------------------------------------------------------- ! line con 0 line aux 0 line vty 0 4 access-class 23 in privilege level 15 transport input telnet ssh line vty 5 15 access-class 23 in privilege level 15 transport input telnet ssh ! scheduler allocate 20000 1000 end
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Cisco 1841 - VDPN (pptp - client) + NAT: проблемы с роутингом., Николай, 15:32 , 21-Июн-10, (1)

Cisco 1841 - VDPN (pptp - client) + NAT: проблемы с роутингом., sadko812, 15:40 , 21-Июн-10, (2)

Cisco 1841 - VDPN (pptp - client) + NAT: проблемы с роутингом., Николай, 16:17 , 21-Июн-10, (3)

Cisco 1841 - VDPN (pptp - client) + NAT: проблемы с роутингом., sadko812, 16:54 , 21-Июн-10, (4)

Cisco 1841 - VDPN (pptp - client) + NAT: проблемы с роутингом., sadko812, 16:59 , 21-Июн-10, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "Cisco 1841 - VDPN (pptp - client) + NAT: проблемы с роутингом." +/–

Сообщение от Николай (??) on 21-Июн-10, 15:32

Это решаеться с помощью Split Tunnel но данная фишка не поддерживаеться в реализации Виндовых VPN клиентов (есть она в Easy VPN), поэтому есть 2 варианта решения проблемы:
1. На компах статикой рисуем какие пакеты уходяят в тунель а какие в инет.
2. На удаленном ВПН сервере (если есть доступ) натим ИП/пул под которым ходим по ВПН - короче инет будет даваться удаленной стороной через удаленный шлюз - ессественно с всеми вытекающими последствиями (ширина канала и т.д.)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Cisco 1841 - VDPN (pptp - client) + NAT: проблемы с роутингом." +/–

Сообщение от sadko812 (ok) on 21-Июн-10, 15:40

>Это решаеться с помощью Split Tunnel но данная фишка не поддерживаеться в
>реализации Виндовых VPN клиентов (есть она в Easy VPN), поэтому есть
>2 варианта решения проблемы:
>1. На компах статикой рисуем какие пакеты уходяят в тунель а какие
>в инет.
>2. На удаленном ВПН сервере (если есть доступ) натим ИП/пул под которым
>ходим по ВПН - короче инет будет даваться удаленной стороной через
>удаленный шлюз - ессественно с всеми вытекающими последствиями (ширина канала и
>т.д.)
ВПН клиент уже поднят на циске. с нее устанослена сессия с впн-сервером и даже пингуется удаленная подсеть. вопрос в том, чтобы через цискин туннель ходили пользователи в локальной сети и чтобы у них еще и интернет был через сетку провайдера. сорри, если я не очень понятно описал проблему .

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Cisco 1841 - VDPN (pptp - client) + NAT: проблемы с роутингом." +/–

Сообщение от Николай (??) on 21-Июн-10, 16:17

так, у тебя сама cisco являеться pptp - client-ом тогда попробуй сделать следующее
1. создай ацл
ip access-list extended TO-VPN
permit 192.168.1.0 0.0.0.255 <IP удаленной сети>
...
2. на interface Dialer0 добавь ip nat outside
3. Допиши ip nat inside source list TO-VPN interface Dialer0 overload
4. Допиши маршрут ip route <IP удаленной сети> dialer 0
5. На всякий случай (хотя должно маршрутизацией уже разрулиться) измени свой стандартный ацл для ната на расширенный и добавь первой строчкой
deny ip 192.168.1.0 0.0.0.255 <IP удаленной сети> - это правило запрещает натить и выпускать пакеты через НАТ для ИНЕТА.
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255
6. Не забудь про нат для ИНЕТА.
Дальше писать не буду просто влом все набирать - действия должны быть логически подкреплены и все получиться.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Cisco 1841 - VDPN (pptp - client) + NAT: проблемы с роутингом." +/–

Сообщение от sadko812 (ok) on 21-Июн-10, 16:54

>[оверквотинг удален]
>
>5. На всякий случай (хотя должно маршрутизацией уже разрулиться) измени свой стандартный
>ацл для ната на расширенный и добавь первой строчкой
>deny ip 192.168.1.0 0.0.0.255 <IP удаленной сети> - это правило запрещает натить и выпускать пакеты через НАТ для ИНЕТА.
>access-list 1 permit 192.168.2.0 0.0.0.255
>access-list 1 permit 192.168.1.0 0.0.0.255
>access-list 1 permit 192.168.2.0 0.0.0.255
>6. Не забудь про нат для ИНЕТА.
>Дальше писать не буду просто влом все набирать - действия должны быть
>логически подкреплены и все получиться.
Коля, все получилось! все дело было в ACL deny ip 192.168.1.0 0.0.0.255 <IP удаленной сети> . Респект!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Cisco 1841 - VDPN (pptp - client) + NAT: проблемы с роутингом." +/–

Сообщение от sadko812 (ok) on 21-Июн-10, 16:59

>[оверквотинг удален]
>>ацл для ната на расширенный и добавь первой строчкой
>>deny ip 192.168.1.0 0.0.0.255 <IP удаленной сети> - это правило запрещает натить и выпускать пакеты через НАТ для ИНЕТА.
>>access-list 1 permit 192.168.2.0 0.0.0.255
>>access-list 1 permit 192.168.1.0 0.0.0.255
>>access-list 1 permit 192.168.2.0 0.0.0.255
>>6. Не забудь про нат для ИНЕТА.
>>Дальше писать не буду просто влом все набирать - действия должны быть
>>логически подкреплены и все получиться.
>
>Коля, все получилось! все дело было в ACL deny ip 192.168.1.0 0.0.0.255 <IP удаленной сети> . Респект!
мой ящик k12at2@gmail.com прошу отпишись - скромная награда должна найти героя! ;)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Cisco 1841 - VDPN (pptp - client) + NAT: проблемы с роутингом."	+/–
Сообщение от Николай (??) on 21-Июн-10, 15:32
Это решаеться с помощью Split Tunnel но данная фишка не поддерживаеться в реализации Виндовых VPN клиентов (есть она в Easy VPN), поэтому есть 2 варианта решения проблемы: 1. На компах статикой рисуем какие пакеты уходяят в тунель а какие в инет. 2. На удаленном ВПН сервере (если есть доступ) натим ИП/пул под которым ходим по ВПН - короче инет будет даваться удаленной стороной через удаленный шлюз - ессественно с всеми вытекающими последствиями (ширина канала и т.д.)
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "Cisco 1841 - VDPN (pptp - client) + NAT: проблемы с роутингом."	+/–
	Сообщение от sadko812 (ok) on 21-Июн-10, 15:40
	>Это решаеться с помощью Split Tunnel но данная фишка не поддерживаеться в >реализации Виндовых VPN клиентов (есть она в Easy VPN), поэтому есть >2 варианта решения проблемы: >1. На компах статикой рисуем какие пакеты уходяят в тунель а какие >в инет. >2. На удаленном ВПН сервере (если есть доступ) натим ИП/пул под которым >ходим по ВПН - короче инет будет даваться удаленной стороной через >удаленный шлюз - ессественно с всеми вытекающими последствиями (ширина канала и >т.д.) ВПН клиент уже поднят на циске. с нее устанослена сессия с впн-сервером и даже пингуется удаленная подсеть. вопрос в том, чтобы через цискин туннель ходили пользователи в локальной сети и чтобы у них еще и интернет был через сетку провайдера. сорри, если я не очень понятно описал проблему .
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "Cisco 1841 - VDPN (pptp - client) + NAT: проблемы с роутингом."	+/–
	Сообщение от Николай (??) on 21-Июн-10, 16:17
	так, у тебя сама cisco являеться pptp - client-ом тогда попробуй сделать следующее 1. создай ацл ip access-list extended TO-VPN permit 192.168.1.0 0.0.0.255 <IP удаленной сети> ... 2. на interface Dialer0 добавь ip nat outside 3. Допиши ip nat inside source list TO-VPN interface Dialer0 overload 4. Допиши маршрут ip route <IP удаленной сети> dialer 0 5. На всякий случай (хотя должно маршрутизацией уже разрулиться) измени свой стандартный ацл для ната на расширенный и добавь первой строчкой deny ip 192.168.1.0 0.0.0.255 <IP удаленной сети> - это правило запрещает натить и выпускать пакеты через НАТ для ИНЕТА. access-list 1 permit 192.168.2.0 0.0.0.255 access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.2.0 0.0.0.255 6. Не забудь про нат для ИНЕТА. Дальше писать не буду просто влом все набирать - действия должны быть логически подкреплены и все получиться.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "Cisco 1841 - VDPN (pptp - client) + NAT: проблемы с роутингом."	+/–
	Сообщение от sadko812 (ok) on 21-Июн-10, 16:54
	>[оверквотинг удален] > >5. На всякий случай (хотя должно маршрутизацией уже разрулиться) измени свой стандартный >ацл для ната на расширенный и добавь первой строчкой >deny ip 192.168.1.0 0.0.0.255 <IP удаленной сети> - это правило запрещает натить и выпускать пакеты через НАТ для ИНЕТА. >access-list 1 permit 192.168.2.0 0.0.0.255 >access-list 1 permit 192.168.1.0 0.0.0.255 >access-list 1 permit 192.168.2.0 0.0.0.255 >6. Не забудь про нат для ИНЕТА. >Дальше писать не буду просто влом все набирать - действия должны быть >логически подкреплены и все получиться. Коля, все получилось! все дело было в ACL deny ip 192.168.1.0 0.0.0.255 <IP удаленной сети> . Респект!
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	5. "Cisco 1841 - VDPN (pptp - client) + NAT: проблемы с роутингом."	+/–
	Сообщение от sadko812 (ok) on 21-Июн-10, 16:59
	>[оверквотинг удален] >>ацл для ната на расширенный и добавь первой строчкой >>deny ip 192.168.1.0 0.0.0.255 <IP удаленной сети> - это правило запрещает натить и выпускать пакеты через НАТ для ИНЕТА. >>access-list 1 permit 192.168.2.0 0.0.0.255 >>access-list 1 permit 192.168.1.0 0.0.0.255 >>access-list 1 permit 192.168.2.0 0.0.0.255 >>6. Не забудь про нат для ИНЕТА. >>Дальше писать не буду просто влом все набирать - действия должны быть >>логически подкреплены и все получиться. > >Коля, все получилось! все дело было в ACL deny ip 192.168.1.0 0.0.0.255 <IP удаленной сети> . Респект! мой ящик k12at2@gmail.com прошу отпишись - скромная награда должна найти героя! ;)
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору