- easy vpn server & pptp server, CrAzOiD, 16:12 , 14-Май-09 (1)
>[оверквотинг удален] >! >! >crypto map cm_EZVPN client authentication list ezvpn >crypto map cm_EZVPN isakmp authorization list ezvpn >crypto map cm_EZVPN client configuration address respond >crypto map cm_EZVPN 500 ipsec-isakmp dynamic dm_map > > >в принципе такая же ситуация когда попытался поднять pptp сервер, подключение происходит >клиент авторизируется но LAN на видна Какие адреса в локальной сети и какие адреса выдаются пулом? Случайно не из одной подсети? Если нет, покажите sh ip route с маршрутизатора до и после VPN подключения. - easy vpn server & pptp server, CrAzOiD, 16:13 , 14-Май-09 (2)
И, кстати, при чем тут pptp?
- easy vpn server & pptp server, klin, 16:29 , 14-Май-09 (3)
>И, кстати, при чем тут pptp? C одной подсети, pptp не причем просто когда у меня не получилось easy vpn, я попробовал с pptp но эфект такой же.
- easy vpn server & pptp server, CrAzOiD, 16:41 , 14-Май-09 (5)
>>И, кстати, при чем тут pptp? > >C одной подсети, pptp не причем просто когда у меня не получилось >easy vpn, я попробовал с pptp но эфект такой же. Потому что одна подсеть. Для компьютера в локальной сети пришедший пакет считается локальным. И ответ будет локальным. Ему нет смысла отсылать что-то через маршрутизатор. В этом и есть косяк. Выделяйте под VPN отдельную подсеть.
- easy vpn server & pptp server, klin, 16:57 , 14-Май-09 (7)
>>>И, кстати, при чем тут pptp? >> >>C одной подсети, pptp не причем просто когда у меня не получилось >>easy vpn, я попробовал с pptp но эфект такой же. > >Потому что одна подсеть. Для компьютера в локальной сети пришедший пакет считается >локальным. И ответ будет локальным. Ему нет смысла отсылать что-то через >маршрутизатор. >В этом и есть косяк. Выделяйте под VPN отдельную подсеть. Пробовал и разные подсети, при этом на удаленом компьютере прописывал маршрут, все равно не работало. Кстати еще на маршрутизаторе есть NAT это может влиять?
- easy vpn server & pptp server, CrAzOiD, 17:31 , 14-Май-09 (8)
>равно не работало. Кстати еще на маршрутизаторе есть NAT это может >влиять? Конечно. Надо исключить подсеть VPN из NAT
- easy vpn server & pptp server, klin, 17:49 , 14-Май-09 (9)
> >>равно не работало. Кстати еще на маршрутизаторе есть NAT это может >>влиять? > >Конечно. Надо исключить подсеть VPN из NAT Дело в том что сервера в локальной сети находятся за NAT, и VPN в принципе нужен для того что б удаленные пользователи могли попасть на эти сервера, как быть в такой ситуации??
- easy vpn server & pptp server, klin, 18:00 , 14-Май-09 (10)
>> >>>равно не работало. Кстати еще на маршрутизаторе есть NAT это может >>>влиять? >> >>Конечно. Надо исключить подсеть VPN из NAT > >Дело в том что сервера в локальной сети находятся за NAT, и >VPN в принципе нужен для того что б удаленные пользователи могли >попасть на эти сервера, как быть в такой ситуации?? Еще как-то странно допустим 1.1.1.1 это IP WAN интерфейса который смотрит в сторону провайдера на который соoбствено я и подымаю VPN , 10.10.10.0/24 LAN сеть, так вот при соединении когда я получаю IP и пытаюсь что то пропинговать из LAN ответ (Reply from), идет от адреса 1.1.1.1
- easy vpn server & pptp server, CrAzOiD, 18:40 , 14-Май-09 (11)
>[оверквотинг удален] >> >>Дело в том что сервера в локальной сети находятся за NAT, и >>VPN в принципе нужен для того что б удаленные пользователи могли >>попасть на эти сервера, как быть в такой ситуации?? > >Еще как-то странно допустим 1.1.1.1 это IP WAN интерфейса который смотрит в >сторону провайдера на который соoбствено я и подымаю VPN , 10.10.10.0/24 >LAN сеть, так вот при соединении когда я получаю IP и > пытаюсь что то пропинговать из LAN ответ (Reply from), >идет от адреса 1.1.1.1 Конфиг и схему покажите.
- easy vpn server & pptp server, klin, 19:07 , 14-Май-09 (12)
>[оверквотинг удален] >>>VPN в принципе нужен для того что б удаленные пользователи могли >>>попасть на эти сервера, как быть в такой ситуации?? >> >>Еще как-то странно допустим 1.1.1.1 это IP WAN интерфейса который смотрит в >>сторону провайдера на который соoбствено я и подымаю VPN , 10.10.10.0/24 >>LAN сеть, так вот при соединении когда я получаю IP и >> пытаюсь что то пропинговать из LAN ответ (Reply from), >>идет от адреса 1.1.1.1 > >Конфиг и схему покажите. А схема сообственно любой юзер с инета мог подключится VPN-ом в корп сеть и работать crypto isakmp policy 500 encr 3des authentication pre-share group 2 crypto isakmp client configuration address-pool local pool1 ! crypto isakmp client configuration group ezvpn key ciscocisco pool pool1 acl 100 save-password netmask 255.255.255.0 ! ! crypto ipsec transform-set ts_ezvpn esp-3des esp-sha-hmac ! crypto dynamic-map dm_map 1 description --Mobile remote access set transform-set ts_ezvpn reverse-route ! ! ! crypto map cm_EZVPN client authentication list ezvpn crypto map cm_EZVPN isakmp authorization list ezvpn crypto map cm_EZVPN client configuration address respond crypto map cm_EZVPN 500 ipsec-isakmp dynamic dm_map ! ! ! ! ! track 123 ip sla 10 reachability ! track 124 ip sla 20 reachability ! ! ! ! ! interface FastEthernet0/1 description PPPoE over ISP 1 no ip address duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 ! interface FastEthernet0/0/0 description LAN L2 switchport access vlan 2 ! interface FastEthernet0/0/1 description ISP 2 L2 switchport access vlan 30 ! interface FastEthernet0/0/2 shutdown ! interface FastEthernet0/0/3 shutdown ! interface Vlan1 no ip address ip virtual-reassembly shutdown ! interface Vlan2 description LAN L3 ip address 10.10.10.2 255.255.255.0 ip nat inside ip virtual-reassembly ip policy route-map tracking ! interface Vlan30 description ISP 2 L3 ip address ISP2 MY 255.255.255.252 ip nat outside ip virtual-reassembly crypto map cm_EZVPN ! interface Dialer1 mtu 1492 ip address negotiated ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 ppp authentication pap callin ppp pap sent-username ! ip local pool pool1 10.10.10.8 ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 ISP 2 GW 10 ip route 0.0.0.0 0.0.0.0 ISP 1 GW 20 ip http server ! ! ip nat inside source route-map ISP 1 interface Dialer1 overload ip nat inside source route-map ISP 2 interface Vlan30 overload ! access-list 1 permit 10.10.10.0 0.0.0.255 access-list 10 permit 10.10.10.3 access-list 10 permit 10.10.10.23 access-list 100 permit 10.10.10.0 0.0.0.255 any dialer-list 1 protocol ip permit ! ! ! ! route-map tracking permit 10 match ip address 10 set ip next-hop verify-availability ISP 1 10 track 124 set ip next-hop verify-availability ISP 2 20 track 123 ! route-map tracking permit 20 match ip address 1 set ip next-hop verify-availability ISP 2 10 track 123 set ip next-hop verify-availability ISP 1 20 track 124 ! route-map ISP 1 permit 10 match ip address 1 match interface Dialer1 ! route-map ISP 2 permit 10 match ip address 1 match interface Vlan30
- easy vpn server & pptp server, CrAzOiD, 20:51 , 14-Май-09 (13)
1. Вы таки опять используете адреса локальной сети для VPN. Не будет так работать. Я обьяснял почему.2. >access-list 100 permit 10.10.10.0 0.0.0.255 any У вас неправильно описан этот ACL для split-route Надо наоборот: access-list 100 permit 10.10.10.0 0.0.0.255 х.х.х.х 0.0.0.255 где х.х.х.х подсеть для VPN А вообще попробуйте посмотреть route print на вашей машине.
- easy vpn server & pptp server, klin, 10:46 , 15-Май-09 (14)
>[оверквотинг удален] > >2. >>access-list 100 permit 10.10.10.0 0.0.0.255 any > >У вас неправильно описан этот ACL для split-route >Надо наоборот: >access-list 100 permit 10.10.10.0 0.0.0.255 х.х.х.х 0.0.0.255 >где х.х.х.х подсеть для VPN > >А вообще попробуйте посмотреть route print на вашей машине. Изменил и адреса и acl,посмотрел route print маршрут есть, но ситуация не меняется, и вот это нормально --- допустим 1.1.1.1 это IP WAN интерфейса который смотрит в сторону провайдера на который соoбствено я и подымаю VPN , 10.10.10.0/24 LAN сеть, так вот при соединении когда я получаю IP и пытаюсь что то пропинговать из LAN ответ (Reply from), идет от адреса 1.1.1.1, такое чувство что не строится тунель
- easy vpn server & pptp server, сашка, 16:40 , 14-Май-09 (4)
>[оверквотинг удален] >! >! >crypto map cm_EZVPN client authentication list ezvpn >crypto map cm_EZVPN isakmp authorization list ezvpn >crypto map cm_EZVPN client configuration address respond >crypto map cm_EZVPN 500 ipsec-isakmp dynamic dm_map > > >в принципе такая же ситуация когда попытался поднять pptp сервер, подключение происходит >клиент авторизируется но LAN на видна А чего не соответствие алгоритмов шифрования ? crypto isakmp policy 500 > encr 3des crypto ipsec transform-set ts_ezvpn esp-aes esp-sha-hmac определитесь уже aes или 3des
- easy vpn server & pptp server, klin, 16:44 , 14-Май-09 (6)
>[оверквотинг удален] >>в принципе такая же ситуация когда попытался поднять pptp сервер, подключение происходит >>клиент авторизируется но LAN на видна > >А чего не соответствие алгоритмов шифрования ? >crypto isakmp policy 500 >> encr 3des > >crypto ipsec transform-set ts_ezvpn esp-aes esp-sha-hmac > >определитесь уже aes или 3des изменил на crypto ipsec transform-set ts_ezvpn esp-3des esp-sha-hmac, но ничего не изменилось
|