 Site2Site VPN + Remote Access + доступ в интернет проблемы!,  jnicolson, 25-Окт-11, 16:57 [смотреть все]Коллеги! Добрый день!
Знакомый попросил оказать помощь, в настройке Site2Site VPN + Remote Access + доступ в интернет.
Все вроде нарисовал, все VPN работают а вот в Инет доступа нет, как только не изворачивался. Не могу сообразить что не так, с головою или с руками. Задача:
подключиться Cisco VPN клиентом, получить доступ как в LAN, так и в Интернет.
Что имеем: подключаемся, имеем доступ в LAN, не имеем в Интернет.
Конфига:
aaa authentication login default local
aaa authentication login clientauth local
aaa authorization network groupauthor local
aaa session-id common
ip subnet-zero
ip cef
!
!
!
!
ip ips po max-events 100
no ip domain lookup
no ftp-server write-enable
!
!
!
!
!
crypto keyring spokes
pre-shared-key address X.X.X.X key xxxxx
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp client configuration group Users
key xxxxxx
dns 8.8.8.8
pool Users
max-users 2
max-logins 2
crypto isakmp profile VPNclient
description VPN clients profile
match identity group Users
client authentication list clientauth
isakmp authorization list groupauthor
client configuration address respond
crypto isakmp profile L2L
description LAN-to-LAN for spoke router(s) connection
keyring spokes
match identity address X.X.X.X 255.255.255.255
!
!
crypto ipsec transform-set PEERS esp-3des esp-md5-hmac
!
crypto dynamic-map dynmap 5
set transform-set PEERS
set isakmp-profile VPNclient
reverse-route
crypto dynamic-map dynmap 10
set security-association lifetime seconds 1800
set transform-set PEERS
set pfs group2
set isakmp-profile L2L
!
!
crypto map IPSEC-NEW 10 ipsec-isakmp dynamic dynmap
!
!
!
interface FastEthernet0/0
description to_INET
ip address x.x.x.x 255.255.255.248
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map IPSEC-NEW
!
interface FastEthernet0/1
description to_LAN
ip address 192.168.5.200 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface Serial0/0/0
no ip address
shutdown
clockrate 2000000
!
ip local pool Users 192.168.50.240
ip classless
ip route 0.0.0.0 0.0.0.0 x.x.x.x
!
no ip http server
no ip http secure-server
ip nat inside source list 110 interface FastEthernet0/0 overload
!
ip access-list extended ACL_IPSEC
permit ip 192.168.x.x 0.0.0.255 10.250.5.0 0.0.0.255
ip access-list extended IPSEC_NAT
permit ip 192.168.50.0 0.0.0.255 any
access-list 110 permit ip host 192.168.50.240 any
Это уже рабочий конфиг для VPN, все что касается NAT вырезал, ибо не вижу смысла выкладывать. Какие предложения господа? Что надо сделать? Мозговал по разному, и с лупбэками и рут-мапами, ничего не выходит.
Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.3(11)T3, RELEASE SOFTWARE (fc4)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Tue 25-Jan-05 14:20 by pwade ROM: System Bootstrap, Version 12.3(8r)T9, RELEASE SOFTWARE (fc1) XXXX uptime is 1 hour, 14 minutes
System returned to ROM by power-on
System image file is "flash:c1841-advsecurityk9-mz.123-11.T3.bin"
|
- Site2Site VPN + Remote Access + доступ в интернет проблемы!, Aleks305, 19:55 , 25-Окт-11 (1)
ну так нужно засунуть сеть (или хост) 192.168.50.240 в Вашем случае в NAT - по идее все должно работать
Второй путь- сделать split tunnel - трафик клиента в локальную сеть будет заворачиваться в туннель,в Интернет будет ходить напрямую без центрального офиса.
Не знаю есть ли на 1841 такая фича - но посмотрите. Снизит лишний головняк с пользовательским трафиком.
- Site2Site VPN + Remote Access + доступ в интернет проблемы!, jnicolson, 20:17 , 25-Окт-11 (2)
> ну так нужно засунуть сеть (или хост) 192.168.50.240 в Вашем случае в
> NAT - по идее все должно работать
> Второй путь- сделать split tunnel - трафик клиента в локальную сеть будет
> заворачиваться в туннель,в Интернет будет ходить напрямую без центрального офиса.
> Не знаю есть ли на 1841 такая фича - но посмотрите. Снизит
> лишний головняк с пользовательским трафиком.Это я понимаю, что нужно засунуть в NAT, приведите конструкцию например, как сделать, потому как я уже перепробовал собственно много чего и ничего не работает.
По поводу split tunneling. Тут в том то и дело, что задача стоит таким образом, чтобы обеспечить клиента возможностью пользоваться своим Интернетом, не имея на своей площади никакого proxy сервера. Например клиент находится в Китае, где многие необходимые ему сайты закрыты, и он не хочет искать всякие анонимайзеры да прокси, а хочет воспользоваться своим Интернетом, подключившись через VPN. Т.е split tunneling не то, мне надо именно весь трафик засунуть туда, и там его уже занатить.
- Site2Site VPN + Remote Access + доступ в интернет проблемы!, jnicolson, 20:22 , 25-Окт-11 (3)
>[оверквотинг удален]
> Это я понимаю, что нужно засунуть в NAT, приведите конструкцию например, как
> сделать, потому как я уже перепробовал собственно много чего и
> ничего не работает.
> По поводу split tunneling. Тут в том то и дело, что задача
> стоит таким образом, чтобы обеспечить клиента возможностью пользоваться своим Интернетом,
> не имея на своей площади никакого proxy сервера. Например клиент находится
> в Китае, где многие необходимые ему сайты закрыты, и он не
> хочет искать всякие анонимайзеры да прокси, а хочет воспользоваться своим Интернетом,
> подключившись через VPN. Т.е split tunneling не то, мне надо именно
> весь трафик засунуть туда, и там его уже занатить.Тут важно понять, вот трафик приходит на интерфейс fa0/0, разворачивается, расшифровывается, и по идее я могу с ним делать что угодно, завернуть куда мне надо, занатить и т.д Но не тут то было... В лан, трафик нормально бегает, а вот в интернет ,трафик улетает как будто бы в дыру.
tracert -d 8.8.8.8 с клиента показывает первый хоп - адрес сервера VPN и дальше звезды.
|
Версия для распечатки
