- easy vpn server & pptp server,
 CrAzOiD, 16:12 , 14-Май-09 (1)>[оверквотинг удален]
>!
>!
>crypto map cm_EZVPN client authentication list ezvpn
>crypto map cm_EZVPN isakmp authorization list ezvpn
>crypto map cm_EZVPN client configuration address respond
>crypto map cm_EZVPN 500 ipsec-isakmp dynamic dm_map
>
>
>в принципе такая же ситуация когда попытался поднять pptp сервер, подключение происходит
>клиент авторизируется но LAN на видна Какие адреса в локальной сети и какие адреса выдаются пулом? Случайно не из одной подсети?
Если нет, покажите sh ip route с маршрутизатора до и после VPN подключения. - easy vpn server & pptp server, CrAzOiD, 16:13 , 14-Май-09 (2)
И, кстати, при чем тут pptp?
- easy vpn server & pptp server, klin, 16:29 , 14-Май-09 (3)
>И, кстати, при чем тут pptp? C одной подсети, pptp не причем просто когда у меня не получилось easy vpn, я попробовал с pptp но эфект такой же.
- easy vpn server & pptp server, CrAzOiD, 16:41 , 14-Май-09 (5)
>>И, кстати, при чем тут pptp?
>
>C одной подсети, pptp не причем просто когда у меня не получилось
>easy vpn, я попробовал с pptp но эфект такой же. Потому что одна подсеть. Для компьютера в локальной сети пришедший пакет считается локальным. И ответ будет локальным. Ему нет смысла отсылать что-то через маршрутизатор.
В этом и есть косяк. Выделяйте под VPN отдельную подсеть.
- easy vpn server & pptp server, klin, 16:57 , 14-Май-09 (7)
>>>И, кстати, при чем тут pptp?
>>
>>C одной подсети, pptp не причем просто когда у меня не получилось
>>easy vpn, я попробовал с pptp но эфект такой же.
>
>Потому что одна подсеть. Для компьютера в локальной сети пришедший пакет считается
>локальным. И ответ будет локальным. Ему нет смысла отсылать что-то через
>маршрутизатор.
>В этом и есть косяк. Выделяйте под VPN отдельную подсеть. Пробовал и разные подсети, при этом на удаленом компьютере прописывал маршрут, все равно не работало. Кстати еще на маршрутизаторе есть NAT это может влиять?
- easy vpn server & pptp server, CrAzOiD, 17:31 , 14-Май-09 (8)
>равно не работало. Кстати еще на маршрутизаторе есть NAT это может
>влиять? Конечно. Надо исключить подсеть VPN из NAT
- easy vpn server & pptp server, klin, 17:49 , 14-Май-09 (9)
>
>>равно не работало. Кстати еще на маршрутизаторе есть NAT это может
>>влиять?
>
>Конечно. Надо исключить подсеть VPN из NAT Дело в том что сервера в локальной сети находятся за NAT, и VPN в принципе нужен для того что б удаленные пользователи могли попасть на эти сервера, как быть в такой ситуации??
- easy vpn server & pptp server, klin, 18:00 , 14-Май-09 (10)
>>
>>>равно не работало. Кстати еще на маршрутизаторе есть NAT это может
>>>влиять?
>>
>>Конечно. Надо исключить подсеть VPN из NAT
>
>Дело в том что сервера в локальной сети находятся за NAT, и
>VPN в принципе нужен для того что б удаленные пользователи могли
>попасть на эти сервера, как быть в такой ситуации?? Еще как-то странно допустим 1.1.1.1 это IP WAN интерфейса который смотрит в сторону провайдера на который соoбствено я и подымаю VPN , 10.10.10.0/24 LAN сеть, так вот при соединении когда я получаю IP и пытаюсь что то пропинговать из LAN ответ (Reply from), идет от адреса 1.1.1.1
- easy vpn server & pptp server, CrAzOiD, 18:40 , 14-Май-09 (11)
>[оверквотинг удален]
>>
>>Дело в том что сервера в локальной сети находятся за NAT, и
>>VPN в принципе нужен для того что б удаленные пользователи могли
>>попасть на эти сервера, как быть в такой ситуации??
>
>Еще как-то странно допустим 1.1.1.1 это IP WAN интерфейса который смотрит в
>сторону провайдера на который соoбствено я и подымаю VPN , 10.10.10.0/24
>LAN сеть, так вот при соединении когда я получаю IP и
> пытаюсь что то пропинговать из LAN ответ (Reply from),
>идет от адреса 1.1.1.1 Конфиг и схему покажите.
- easy vpn server & pptp server, klin, 19:07 , 14-Май-09 (12)
>[оверквотинг удален]
>>>VPN в принципе нужен для того что б удаленные пользователи могли
>>>попасть на эти сервера, как быть в такой ситуации??
>>
>>Еще как-то странно допустим 1.1.1.1 это IP WAN интерфейса который смотрит в
>>сторону провайдера на который соoбствено я и подымаю VPN , 10.10.10.0/24
>>LAN сеть, так вот при соединении когда я получаю IP и
>> пытаюсь что то пропинговать из LAN ответ (Reply from),
>>идет от адреса 1.1.1.1
>
>Конфиг и схему покажите. А схема сообственно любой юзер с инета мог подключится VPN-ом в корп сеть и работать crypto isakmp policy 500
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration address-pool local pool1
!
crypto isakmp client configuration group ezvpn
key ciscocisco
pool pool1
acl 100
save-password
netmask 255.255.255.0
!
!
crypto ipsec transform-set ts_ezvpn esp-3des esp-sha-hmac
!
crypto dynamic-map dm_map 1
description --Mobile remote access
set transform-set ts_ezvpn
reverse-route
!
!
!
crypto map cm_EZVPN client authentication list ezvpn
crypto map cm_EZVPN isakmp authorization list ezvpn
crypto map cm_EZVPN client configuration address respond
crypto map cm_EZVPN 500 ipsec-isakmp dynamic dm_map
!
!
!
!
!
track 123 ip sla 10 reachability
!
track 124 ip sla 20 reachability
!
!
!
!
!
interface FastEthernet0/1
description PPPoE over ISP 1
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface FastEthernet0/0/0
description LAN L2
switchport access vlan 2
!
interface FastEthernet0/0/1
description ISP 2 L2
switchport access vlan 30
!
interface FastEthernet0/0/2
shutdown
!
interface FastEthernet0/0/3
shutdown
!
interface Vlan1
no ip address
ip virtual-reassembly
shutdown
!
interface Vlan2
description LAN L3
ip address 10.10.10.2 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map tracking
!
interface Vlan30
description ISP 2 L3
ip address ISP2 MY 255.255.255.252
ip nat outside
ip virtual-reassembly
crypto map cm_EZVPN
!
interface Dialer1
mtu 1492
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp authentication pap callin
ppp pap sent-username
!
ip local pool pool1 10.10.10.8
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ISP 2 GW 10
ip route 0.0.0.0 0.0.0.0 ISP 1 GW 20
ip http server
!
!
ip nat inside source route-map ISP 1 interface Dialer1 overload
ip nat inside source route-map ISP 2 interface Vlan30 overload
!
access-list 1 permit 10.10.10.0 0.0.0.255
access-list 10 permit 10.10.10.3
access-list 10 permit 10.10.10.23
access-list 100 permit 10.10.10.0 0.0.0.255 any dialer-list 1 protocol ip permit
!
!
!
!
route-map tracking permit 10
match ip address 10
set ip next-hop verify-availability ISP 1 10 track 124
set ip next-hop verify-availability ISP 2 20 track 123
!
route-map tracking permit 20
match ip address 1
set ip next-hop verify-availability ISP 2 10 track 123
set ip next-hop verify-availability ISP 1 20 track 124
!
route-map ISP 1 permit 10
match ip address 1
match interface Dialer1
!
route-map ISP 2 permit 10
match ip address 1
match interface Vlan30
- easy vpn server & pptp server, CrAzOiD, 20:51 , 14-Май-09 (13)
1. Вы таки опять используете адреса локальной сети для VPN.
Не будет так работать. Я обьяснял почему.2.
>access-list 100 permit 10.10.10.0 0.0.0.255 any У вас неправильно описан этот ACL для split-route
Надо наоборот:
access-list 100 permit 10.10.10.0 0.0.0.255 х.х.х.х 0.0.0.255
где х.х.х.х подсеть для VPN А вообще попробуйте посмотреть route print на вашей машине.
- easy vpn server & pptp server, klin, 10:46 , 15-Май-09 (14)
>[оверквотинг удален]
>
>2.
>>access-list 100 permit 10.10.10.0 0.0.0.255 any
>
>У вас неправильно описан этот ACL для split-route
>Надо наоборот:
>access-list 100 permit 10.10.10.0 0.0.0.255 х.х.х.х 0.0.0.255
>где х.х.х.х подсеть для VPN
>
>А вообще попробуйте посмотреть route print на вашей машине. Изменил и адреса и acl,посмотрел route print маршрут есть, но ситуация не меняется, и вот это нормально --- допустим 1.1.1.1 это IP WAN интерфейса который смотрит в сторону провайдера на который соoбствено я и подымаю VPN , 10.10.10.0/24 LAN сеть, так вот при соединении когда я получаю IP и пытаюсь что то пропинговать из LAN ответ (Reply from), идет от адреса 1.1.1.1, такое чувство что не строится тунель
- easy vpn server & pptp server, сашка, 16:40 , 14-Май-09 (4)
>[оверквотинг удален]
>!
>!
>crypto map cm_EZVPN client authentication list ezvpn
>crypto map cm_EZVPN isakmp authorization list ezvpn
>crypto map cm_EZVPN client configuration address respond
>crypto map cm_EZVPN 500 ipsec-isakmp dynamic dm_map
>
>
>в принципе такая же ситуация когда попытался поднять pptp сервер, подключение происходит
>клиент авторизируется но LAN на видна А чего не соответствие алгоритмов шифрования ?
crypto isakmp policy 500
> encr 3des crypto ipsec transform-set ts_ezvpn esp-aes esp-sha-hmac определитесь уже aes или 3des
- easy vpn server & pptp server, klin, 16:44 , 14-Май-09 (6)
>[оверквотинг удален]
>>в принципе такая же ситуация когда попытался поднять pptp сервер, подключение происходит
>>клиент авторизируется но LAN на видна
>
>А чего не соответствие алгоритмов шифрования ?
>crypto isakmp policy 500
>> encr 3des
>
>crypto ipsec transform-set ts_ezvpn esp-aes esp-sha-hmac
>
>определитесь уже aes или 3des изменил на crypto ipsec transform-set ts_ezvpn esp-3des esp-sha-hmac, но ничего не изменилось
|
Версия для распечатки
easy vpn server & pptp server, 
