- L2TP на циске и нат ,
 Merridius, 18:03 , 13-Дек-12 (1)>[оверквотинг удален]
> ip virtual-reassembly
> autodetect encapsulation ppp
> peer default ip address dhcp-pool VPDNDP
> ppp authentication ms-chap-v2
> ip nat inside source route-map L2TP interface FastEthernet0/0 overload
> access-list 111 permit ip 10.11.11.0 0.0.0.255 192.168.0.0 0.0.3.255
> route-map L2TP permit 10
> match ip address 111
> 2. стандартная проблема выдачи маршрутов л2тп-клиентам.
> Подскажите пожалуйста в чем не так?Мало что понял, кто куда и зачем натится, но могу сказать следующее: чтобы трафик натился куда-то, он(трафик) должен сначала быть направлен туда. Соответственно сначала разбираемся с маршрутизацией, потом накладываем поверх нее сервис трансляции.
- L2TP на циске и нат , spiegel, 20:11 , 13-Дек-12 (2)
>[оверквотинг удален]
>> ppp authentication ms-chap-v2
>> ip nat inside source route-map L2TP interface FastEthernet0/0 overload
>> access-list 111 permit ip 10.11.11.0 0.0.0.255 192.168.0.0 0.0.3.255
>> route-map L2TP permit 10
>> match ip address 111
>> 2. стандартная проблема выдачи маршрутов л2тп-клиентам.
>> Подскажите пожалуйста в чем не так?
> Мало что понял, кто куда и зачем натится, но могу сказать следующее:
> чтобы трафик натился куда-то, он(трафик) должен сначала быть направлен туда. Соответственно
> сначала разбираемся с маршрутизацией, потом накладываем поверх нее сервис трансляции. на f0/0 не забыли ip nat outside? Что показывает sh ip nat stat и sh ip nat trans? - L2TP на циске и нат , evgenpch, 00:01 , 14-Дек-12 (3)
с маршрутизацией все ок, прописываю маршрут на внутреннем сервере 10.11.11.0 на внутренний интерфейсе и все пингуется. не на внутреннем fa0/0 я не могу ip nat outside прописать - он для исходящих соединений еще некоторых работает.
вот остатки - интерфейсы и нат (исходящих соединений)interface FastEthernet0/0
ip address 192.168.11.1 255.255.255.0 secondary
ip address 192.168.2.247 255.255.252.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache policy
ip tcp adjust-mss 1420
ip ospf priority 20
duplex auto
speed auto
no mop enabled interface FastEthernet0/1
ip address ххххх
ip access-group FireWall_IN in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
ip route-cache policy
duplex auto
speed auto
no mop enabled
crypto map OB_net
ip nat inside source route-map Inet_VPN interface FastEthernet0/1 overload
- L2TP на циске и нат , spiegel, 00:42 , 14-Дек-12 (4)
>[оверквотинг удален]
> ip flow ingress
> ip flow egress
> ip nat outside
> ip virtual-reassembly
> ip route-cache policy
> duplex auto
> speed auto
> no mop enabled
> crypto map OB_net
> ip nat inside source route-map Inet_VPN interface FastEthernet0/1 overload Тогда нат работать не будет. Команда nat inside только помечает пакеты, как возможные для ната. И лишь покинув интерфейс, где стоит nat outside, пакеты получат другой ip. Чтобы обойти эту логику, используйте ip nat enable (потребуетcя также изменить ip nat sourсe...)
С другой стороны, зачем вам сдался нат? С точки зрения роутера, ваша сеть подключена к нему напрямую.
- L2TP на циске и нат , evgenpc, 02:12 , 14-Дек-12 (5)
>[оверквотинг удален]
>> speed auto
>> no mop enabled
>> crypto map OB_net
>> ip nat inside source route-map Inet_VPN interface FastEthernet0/1 overload
> Тогда нат работать не будет. Команда nat inside только помечает пакеты, как
> возможные для ната. И лишь покинув интерфейс, где стоит nat outside,
> пакеты получат другой ip. Чтобы обойти эту логику, используйте ip
> nat enable (потребуетcя также изменить ip nat sourсe...)
> С другой стороны, зачем вам сдался нат? С точки зрения роутера, ваша
> сеть подключена к нему напрямую.да... да но с точки зрения хостов во внутренней сети для которых эта циска не дефолтовый гейт... маршруты прописывать не хочется. ок, сейчас опробую этот nvi.
- L2TP на циске и нат , evgenpc, 02:15 , 14-Дек-12 (6)
>[оверквотинг удален]
>>> ip nat inside source route-map Inet_VPN interface FastEthernet0/1 overload
>> Тогда нат работать не будет. Команда nat inside только помечает пакеты, как
>> возможные для ната. И лишь покинув интерфейс, где стоит nat outside,
>> пакеты получат другой ip. Чтобы обойти эту логику, используйте ip
>> nat enable (потребуетcя также изменить ip nat sourсe...)
>> С другой стороны, зачем вам сдался нат? С точки зрения роутера, ваша
>> сеть подключена к нему напрямую.
> да... да но с точки зрения хостов во внутренней сети для которых
> эта циска не дефолтовый гейт... маршруты прописывать не хочется. ок, сейчас
> опробую этот nvi.!!! а работает же ведь!!! )))
- L2TP на циске и нат , evgenpch, 02:44 , 14-Дек-12 (7)
>[оверквотинг удален]
>>> Тогда нат работать не будет. Команда nat inside только помечает пакеты, как
>>> возможные для ната. И лишь покинув интерфейс, где стоит nat outside,
>>> пакеты получат другой ip. Чтобы обойти эту логику, используйте ip
>>> nat enable (потребуетcя также изменить ip nat sourсe...)
>>> С другой стороны, зачем вам сдался нат? С точки зрения роутера, ваша
>>> сеть подключена к нему напрямую.
>> да... да но с точки зрения хостов во внутренней сети для которых
>> эта циска не дефолтовый гейт... маршруты прописывать не хочется. ок, сейчас
>> опробую этот nvi.
> !!! а работает же ведь!!! ))) спасибо! очень все работает!
а вот по-второму вопросу не подскажите? 2. стандартная проблема выдачи маршрутов л2тп-клиентам. вот схожие ветки... делают же ведь люди https://www.opennet.ru/openforum/vsluhforumID10/4943.html
https://www.opennet.ru/openforum/vsluhforumID6/8569.html
https://www.opennet.ru/openforum/vsluhforumID6/23712.html?n=M... ДХцП беру из внутренней сети там в 121-ой опции все прописано.
000284: *Dec 14 01:54:35.139 PCTime: DHCP Offer Message Offered Address: 10.11.11.11
000285: *Dec 14 01:54:35.139 PCTime: DHCP: Lease Seconds: 691200 Renewal secs: 345600 Rebind secs: 604800
000286: *Dec 14 01:54:35.139 PCTime: DHCP: Server ID Option: 192.168.2.70
000287: *Dec 14 01:54:35.139 PCTime: DHCP: offer received from 192.168.2.70
000288: *Dec 14 01:54:35.139 PCTime: DHCP: SRequest attempt # 1 for entry:
000289: *Dec 14 01:54:35.143 PCTime: Temp IP addr: 10.11.11.11 for peer on Interface: Virtual-Access4
000290: *Dec 14 01:54:35.143 PCTime: Temp sub net mask: 255.255.255.0
000291: *Dec 14 01:54:35.143 PCTime: DHCP Lease server: 192.168.2.70, state: 4 Requesting
000292: *Dec 14 01:54:35.143 PCTime: DHCP transaction id: 1708
000293: *Dec 14 01:54:35.143 PCTime: Lease: 691200 secs, Renewal: 0 secs, Rebind: 0 secs
000294: *Dec 14 01:54:35.143 PCTime: Next timer fires after: 00:00:03
000295: *Dec 14 01:54:35.143 PCTime: Retry count: 1 Client-ID: e.pchelkin
000296: *Dec 14 01:54:35.143 PCTime: Client-ID hex dump: 652E706368656C6B696E
000297: *Dec 14 01:54:35.143 PCTime: Hostname: svpn
000298: *Dec 14 01:54:35.143 PCTime: DHCP: SRequest- Server ID option: 192.168.2.70
000299: *Dec 14 01:54:35.143 PCTime: DHCP: SRequest- Requested IP addr option: 10.11.11.11
000300: *Dec 14 01:54:35.143 PCTime: DHCP: SRequest: 285 bytes
000301: *Dec 14 01:54:35.143 PCTime: DHCP: SRequest: 285 bytes
000302: *Dec 14 01:54:35.187 PCTime: DHCP: XID MATCH in dhcpc_for_us()
000303: *Dec 14 01:54:35.187 PCTime: DHCP: Received a BOOTREP pkt
000304: *Dec 14 01:54:35.187 PCTime: DHCP: Scan: Message type: DHCP Ack
000305: *Dec 14 01:54:35.187 PCTime: DHCP: Scan: Renewal time: 345600
000306: *Dec 14 01:54:35.187 PCTime: DHCP: Scan: Rebind time: 604800
000307: *Dec 14 01:54:35.187 PCTime: DHCP: Scan: Lease Time: 691200
000308: *Dec 14 01:54:35.187 PCTime: DHCP: Scan: Server ID Option: 192.168.2.70 = C0A80246
000309: *Dec 14 01:54:35.187 PCTime: DHCP: Scan: Subnet Address Option: 255.255.255.0
000310: *Dec 14 01:54:35.187 PCTime: DHCP: Scan: DNS Name Server Option: 192.168.0.10, 192.168.2.70
000311: *Dec 14 01:54:35.187 PCTime: DHCP: rcvd pkt source: 192.168.2.70, destination: 10.11.11.1
000312: *Dec 14 01:54:35.187 PCTime: UDP sport: 43, dport: 43, length: 308
000313: *Dec 14 01:54:35.187 PCTime: DHCP op: 2, htype: 1, hlen: 6, hops: 0
000314: *Dec 14 01:54:35.187 PCTime: DHCP server identifier: 192.168.2.70
000315: *Dec 14 01:54:35.187 PCTime: xid: 1708, secs: 0, flags: 0
000316: *Dec 14 01:54:35.187 PCTime: client: 0.0.0.0, your: 10.11.11.11
000317: *Dec 14 01:54:35.187 PCTime: srvr: 0.0.0.0, gw: 10.11.11.1
000318: *Dec 14 01:54:35.187 PCTime: options block length: 60
000319: *Dec 14 01:54:35.187 PCTime: DHCP Ack Message
000320: *Dec 14 01:54:35.187 PCTime: DHCP: Lease Seconds: 691200 Renewal secs: 345600 Rebind secs: 604800
000321: *Dec 14 01:54:35.187 PCTime: DHCP: Server ID Option: 192.168.2.70
000322: *Dec 14 01:54:35.187 PCTime: DHCP: Sending notification of ASSIGNMENT:
000323: *Dec 14 01:54:35.187 PCTime: Address 0.0.0.0 mask 0.0.0.0
000324: *Dec 14 01:54:35.191 PCTime: DHCP Proxy Client Pooling: ***Allocated IP address: 10.11.11.11
000325: *Dec 14 01:54:35.191 PCTime: DHCP: look up prim DNS for Vi4 from lease good ret: 192.168.0.10
000326: *Dec 14 01:54:35.191 PCTime: DHCP: look up prim NBNS for Vi4 from lease any ret: fail
000327: *Dec 14 01:54:35.191 PCTime: DHCP: look up sec DNS for Vi4 from lease good ret: 192.168.2.70
000328: *Dec 14 01:54:35.191 PCTime: DHCP: look up sec NBNS for Vi4 from lease any ret: fail
000329: *Dec 14 01:54:35.203 PCTime: DHCP: look up prim DNS for Vi4 from lease good ret: 192.168.0.10
000330: *Dec 14 01:54:35.203 PCTime: DHCP: look up sec DNS for Vi4 from lease good ret: 192.168.2.70
000331: *Dec 14 01:54:35.215 PCTime: DHCP: look up prim DNS for Vi4 from lease good ret: 192.168.0.10
000332: *Dec 14 01:54:35.215 PCTime: DHCP: look up sec DNS for Vi4 from lease good ret: 192.168.2.70
000333: *Dec 14 01:54:35.747 PCTime: %SEC-6-IPACCESSLOGP: list VPN permitted udp 10.11.11.11(0) -> 255.255.255.255(0), 1 packet
000334: *Dec 14 01:54:46.103 PCTime: DHCP: Client socket is closed да а во второй раз пришло в конце вот это - 000490: *Dec 14 01:59:43.911 PCTime: DHCP: Received a BOOTREP pkt Not for us..: xid: 0x4BD225D5 то есть на-сколько я понял дхцпинформ пошел, дошел и дхцп послала пакет а циска его отрубила, а как ей сказать чтобы она это отправляла клиенту?
- L2TP на циске и нат , spiegel, 19:52 , 14-Дек-12 (8)
>[оверквотинг удален]
> from lease good ret: 192.168.2.70
> 000333: *Dec 14 01:54:35.747 PCTime: %SEC-6-IPACCESSLOGP: list VPN permitted udp 10.11.11.11(0)
> -> 255.255.255.255(0), 1 packet
> 000334: *Dec 14 01:54:46.103 PCTime: DHCP: Client socket is closed
> да а во второй раз пришло в конце вот это -
> 000490: *Dec 14 01:59:43.911 PCTime: DHCP: Received a BOOTREP pkt Not for
> us..: xid: 0x4BD225D5
> то есть на-сколько я понял дхцпинформ пошел, дошел и дхцп послала пакет
> а циска его отрубила, а как ей сказать чтобы она это
> отправляла клиенту?Возможно ошибка в опции 249? Если мы хотим по l2tp на клиенте (Win7) получить доступ к 172.16.100.0/24 через 10.11.11.1, надо прописать: ip dhcp pool VPDNDP
option 249 hex 18ac.1064.0a0b.0b01
- L2TP на циске и нат , evg, 01:22 , 25-Дек-12 (9)
>[оверквотинг удален]
>> да а во второй раз пришло в конце вот это -
>> 000490: *Dec 14 01:59:43.911 PCTime: DHCP: Received a BOOTREP pkt Not for
>> us..: xid: 0x4BD225D5
>> то есть на-сколько я понял дхцпинформ пошел, дошел и дхцп послала пакет
>> а циска его отрубила, а как ей сказать чтобы она это
>> отправляла клиенту?
> Возможно ошибка в опции 249? Если мы хотим по l2tp на клиенте
> (Win7) получить доступ к 172.16.100.0/24 через 10.11.11.1, надо прописать:
> ip dhcp pool VPDNDP
> option 249 hex 18ac.1064.0a0b.0b01 спасибо, но не помогло... может есть какие-то другие решения?
- L2TP на циске и нат , evg, 16:32 , 28-Дек-12 (10)
>[оверквотинг удален]
>>> 000490: *Dec 14 01:59:43.911 PCTime: DHCP: Received a BOOTREP pkt Not for
>>> us..: xid: 0x4BD225D5
>>> то есть на-сколько я понял дхцпинформ пошел, дошел и дхцп послала пакет
>>> а циска его отрубила, а как ей сказать чтобы она это
>>> отправляла клиенту?
>> Возможно ошибка в опции 249? Если мы хотим по l2tp на клиенте
>> (Win7) получить доступ к 172.16.100.0/24 через 10.11.11.1, надо прописать:
>> ip dhcp pool VPDNDP
>> option 249 hex 18ac.1064.0a0b.0b01
> спасибо, но не помогло... может есть какие-то другие решения?Смотрите, на винХП палит 249-ая опция в дхцп на циске, и все отдается и нужные маршруты на ХП прописываются, а вот для вин 7 ничего не происходит, добавил и аналогичную строчку со 121-ой опцией - ничего не поменялось, может кому удалось отдать стат маршруты л2тп-клиенту вин7?
- L2TP на циске и нат , asx, 17:04 , 28-Дек-12 (11)
>[оверквотинг удален]
>>> Возможно ошибка в опции 249? Если мы хотим по l2tp на клиенте
>>> (Win7) получить доступ к 172.16.100.0/24 через 10.11.11.1, надо прописать:
>>> ip dhcp pool VPDNDP
>>> option 249 hex 18ac.1064.0a0b.0b01
>> спасибо, но не помогло... может есть какие-то другие решения?
> Смотрите, на винХП палит 249-ая опция в дхцп на циске, и все
> отдается и нужные маршруты на ХП прописываются, а вот для вин
> 7 ничего не происходит, добавил и аналогичную строчку со 121-ой опцией
> - ничего не поменялось, может кому удалось отдать стат маршруты л2тп-клиенту
> вин7?Вот это работает для всех клиентов (WinXP+Win7). Единственное, больше 4 маршрутов прописать нельзя. ip dhcp pool VPDN
network 192.168.254.0 255.255.255.0
default-router 192.168.254.1
dns-server 192.168.254.1
option 249 ip 24.192.168.1 192.168.254.1 24.10.10.10 192.168.254.1 24.192.168.10 192.168.254.1 24.10.0.10 192.168.254.1
!
- L2TP на циске и нат , evg, 10:57 , 29-Дек-12 (12)
> ip dhcp pool VPDN
> network 192.168.254.0 255.255.255.0
> default-router 192.168.254.1
> dns-server 192.168.254.1
> option 249 ip 24.192.168.1 192.168.254.1 24.10.10.10 192.168.254.1 24.192.168.10 192.168.254.1
> 24.10.0.10 192.168.254.1
> !У меня вот такой конфиг и все опции отдаются в винХП а в вин 7 не хотят. ip dhcp pool VPDNDP
network 10.11.11.0 255.255.255.0
default-router 10.11.11.1
dns-server 192.168.0.10 192.168.2.70
option 121 hex 10ac.100a.0b0b.0110.ac12.0a0b.0b01.10ac.130a.0b0b.0110.ac14.0a0b.0b01.10ac.150a.0b0b.0120.c0a8.014d.0a0b.0b01.20c0.a800.0a0a.0b0b.0120.c0a8.0246.0a0b.0b01.20c0.a802.b70a.0b0b.0120.c0a8.03f0.0a0b.0b01
option 249 hex 10ac.100a.0b0b.0110.ac12.0a0b.0b01.10ac.130a.0b0b.0110.ac14.0a0b.0b01.10ac.150a.0b0b.0120.c0a8.014d.0a0b.0b01.20c0.a800.0a0a.0b0b.0120.c0a8.0246.0a0b.0b01.20c0.a802.b70a.0b0b.0120.c0a8.03f0.0a0b.0b01
! Можете прислать остальной конфиг, возможно что-то еще у вас открыто, чтобы передавалось...
- L2TP на циске и нат , vigogne, 11:21 , 29-Дек-12 (13)
>[оверквотинг удален]
> У меня вот такой конфиг и все опции отдаются в винХП а
> в вин 7 не хотят.
> ip dhcp pool VPDNDP
> network 10.11.11.0 255.255.255.0
> default-router 10.11.11.1
> dns-server 192.168.0.10 192.168.2.70
> option 121 hex 10ac.100a.0b0b.0110.ac12.0a0b.0b01.10ac.130a.0b0b.0110.ac14.0a0b.0b01.10ac.150a.0b0b.0120.c0a8.014d.0a0b.0b01.20c0.a800.0a0a.0b0b.0120.c0a8.0246.0a0b.0b01.20c0.a802.b70a.0b0b.0120.c0a8.03f0.0a0b.0b01
> option 249 hex 10ac.100a.0b0b.0110.ac12.0a0b.0b01.10ac.130a.0b0b.0110.ac14.0a0b.0b01.10ac.150a.0b0b.0120.c0a8.014d.0a0b.0b01.20c0.a800.0a0a.0b0b.0120.c0a8.0246.0a0b.0b01.20c0.a802.b70a.0b0b.0120.c0a8.03f0.0a0b.0b01
> !
> Можете прислать остальной конфиг, возможно что-то еще у вас открыто, чтобы передавалось... Кстати, иногда Windows 7, при обновлении адреса бывает использует старые настройки, игнорируя новые. Попробуйте в командной строке, запущенной с правами администратора сделать две команды:
ipconfig /release
ipconfig /renew
|
Версия для распечатки
L2TP на циске и нат , 
