The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]




Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Два провайдера и Cisco VPN Client, !*! Владимир, 25-Янв-13, 13:27  [смотреть все]
Помогите, если не трудно.
Есть кошка 12.4T.
К ней подключены локалка и 2 провайдера.
Необходимо сделать, чтобы пользователи ходили в тырнет через 1 провайдера, в все VPN-клиенты и тоннели через второго прова, при падении главного канала всех переключает на резервный, который для тонелей используется. Всё настроил, юзеры бегают, как надо через 1 канал, тонели работают через второй, при падении всё переключается, работает. НО! Возникла проблема с удалёнными пользователями, которые пользуют cisco vpn client. При соединении с циской они получают IP, нужные маршруты, но обратная связь с их vpn-IP циска выстраивает через дефолт-гейт, соответственно в клиентский тонель пакет не убегает. Как бы её заставить правильный роутинг устанавливать при коннекте клиента?
Данные:
Гейт 1 провайдера (куда дефолтом бегают юзвери): 192.168.1.3 (мой ip: 192.168.1.1/24)
Гейт 2 провайдера: 88.88.88.1 (мой ip: 88.88.88.83/24)
Сеть впн-клиентов: 172.30.0.0/16
Локалка: 192.168.0.0/24

===== конфиг начало =====
#sh run
Building configuration...

Current configuration : 10135 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname core.localnet
!
boot-start-marker
boot system flash c880data-universalk9-mz.124-24.T.bin
boot-end-marker
!
security authentication failure rate 3 log
logging message-counter syslog
logging buffered 51200
logging console critical
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
!
aaa session-id common
memory-size iomem 10
clock timezone Moscow 3
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-1265679897
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1265679897
revocation-check none
rsakeypair TP-self-signed-1265679897
!
!
crypto pki certificate chain TP-self-signed-1265679897
certificate self-signed 01
  3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
  ...skiped...
quit
!
ip source-route
ip arp proxy disable
ip icmp rate-limit unreachable 1000
ip icmp rate-limit unreachable DF 1000
ip dhcp excluded-address 192.168.0.1
ip dhcp excluded-address 192.168.0.99
ip dhcp excluded-address 192.168.0.101 192.168.0.254
!
ip dhcp pool pooldhcp
   network 192.168.0.0 255.255.255.0
   domain-name local.localnet
   default-router 192.168.0.1
   dns-server 192.168.0.222
   netbios-name-server 192.168.0.222
   lease 7
!
no ip cef
no ip bootp server
no ip domain lookup
ip domain name core.localnet
ip inspect alert-off
ip inspect tcp max-incomplete host 9999 block-time 0
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 esmtp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive
login on-failure log
login on-success log
no ipv6 cef
!
!
!
username список юзеров с паролями
!
crypto key pubkey-chain rsa
named-key realm-cisco.pub signature
  key-string
   30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
   ...skiped...
  quit
!
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
lifetime 28800
! Постоянный тонель, всё норм работает
crypto isakmp key 92c133ce5d address 99.99.99.55 no-xauth
crypto isakmp client configuration address-pool local dynpool
!
crypto isakmp client configuration group easy_vpn
key SecretPass
wins 192.168.0.222
domain local.localnet
pool dynpool
acl vpnclientacl
!
!
crypto ipsec transform-set tuneltrans esp-aes 256 esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set tuneltrans
reverse-route
!
!
crypto map vpnmap client authentication list userauthen
crypto map vpnmap isakmp authorization list groupauthor
crypto map vpnmap client configuration address respond
crypto map vpnmap 5 ipsec-isakmp dynamic dynmap
crypto map vpnmap 10 ipsec-isakmp
set peer 99.99.99.55
set transform-set tuneltrans
set pfs group5
match address 130
!
archive
log config
  logging enable
  notify syslog contenttype plaintext
  hidekeys
!
!
ip tcp selective-ack
ip tcp timestamp
ip tcp synwait-time 10
!
!
!
interface FastEthernet0
description LocalNET
switchport access vlan 192
!
interface FastEthernet1
switchport access vlan 192
!
interface FastEthernet2
switchport access vlan 192
!
interface FastEthernet3
switchport access vlan 150
duplex full
speed 100
!
interface FastEthernet4
description Второй_Провайдер
ip address 88.88.88.83 255.255.255.0
ip access-group ANTISPOOFING in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat outside
ip virtual-reassembly
ip route-cache policy
ip tcp adjust-mss 1452
ip policy route-map equal-access
duplex auto
speed auto
crypto map vpnmap
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
no ip address
!
interface Vlan150
description Первый_главный_Провайдер
ip address 192.168.1.1 255.255.255.0
!
interface Vlan192
description LocalNet_192.168.0.0
ip address 192.168.0.254 255.255.255.0 secondary
ip address 192.168.0.1 255.255.255.0
no ip redirects
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly
ip route-cache policy
! Включаю локал-полиси, чтобы ответы с интерфейса второго провайдера уходили к нему же, а не по дефолту к первому
ip local policy route-map equal-access
!
ip local pool dynpool 172.30.0.100 172.30.0.200
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 192.168.1.3 5
ip route 0.0.0.0 0.0.0.0 88.88.88.1 10
ip route 192.168.11.0 255.255.255.0 99.99.99.55 5 permanent
ip route 192.168.101.0 255.255.255.0 99.99.99.55 5 permanent
ip route 192.168.107.0 255.255.255.0 99.99.99.55 5 permanent
ip route 172.18.0.0 255.255.255.0 192.168.0.222 permanent
ip route 172.30.0.0 255.255.255.0 88.88.88.1 permanent
ip route 99.99.99.0 255.255.255.0 88.88.88.1 5 permanent
no ip http server
no ip http secure-server
!
!
ip nat inside source route-map nonat interface FastEthernet4 overload
!
ip access-list extended ANTISPOOFING
permit ip 99.28.1.0 0.0.1.255 any
permit ip 99.14.12.0 0.0.1.255 any
permit ip 17.10.20.0 0.0.7.255 any
deny   tcp any any eq 135
deny   tcp any any eq 139
deny   tcp any any eq 445
deny   ip 172.16.0.0 0.15.255.255 any
deny   ip 224.0.0.0 15.255.255.255 any
deny   tcp any host 88.88.88.83 eq 22
deny   tcp any host 88.88.88.83 eq telnet
deny   tcp any host 0.0.0.0
permit ip any any
ip access-list extended vpnclientacl
permit ip 192.168.0.0 0.0.0.255 172.30.0.0 0.0.255.255
permit ip host 192.168.101.187 172.30.0.0 0.0.255.255
permit ip host 192.168.107.107 172.30.0.0 0.0.255.255
permit ip host 192.168.11.129 172.30.0.0 0.0.255.255
permit ip host 192.168.101.100 172.30.0.0 0.0.255.255
!
access-list 2 permit 88.88.88.83
access-list 2 permit 172.30.0.0 0.0.0.255
access-list 102 deny   ip 192.168.0.0 0.0.0.255 host 192.168.101.100
access-list 102 deny   ip 192.168.0.0 0.0.0.255 host 192.168.11.129
access-list 102 deny   ip 192.168.0.0 0.0.0.255 host 192.168.101.187
access-list 102 deny   ip 192.168.0.0 0.0.0.255 host 192.168.107.107
access-list 102 deny   ip 192.168.0.0 0.0.0.255 172.30.0.0 0.0.255.255
access-list 102 permit ip 192.168.0.0 0.0.0.255 any
access-list 130 permit ip 192.168.0.0 0.0.0.255 host 192.168.101.100
access-list 130 permit ip 192.168.0.0 0.0.0.255 host 192.168.11.129
access-list 130 permit ip 192.168.0.0 0.0.0.255 host 192.168.107.107
access-list 130 permit ip 192.168.0.0 0.0.0.255 host 192.168.101.187
access-list 130 permit ip 192.168.0.0 0.0.0.255 172.30.0.0 0.0.255.255
no cdp run

!
!
!
!
route-map equal-access permit 10
match ip address 2
set ip default next-hop 88.88.88.1
!
route-map nonat permit 10
match ip address 102
===== конфиг конец =====

Включил для теста ip cef, и вижу, как при соединеи клиента строится мартшут - почему-то гейтом выставляется гейт первого провайдера:

#do sh ip cef
Prefix               Next Hop             Interface
0.0.0.0/0            192.168.1.3          Vlan150
0.0.0.0/8            drop
0.0.0.0/32           receive
88.88.88.0/24        attached             FastEthernet4
88.88.88.83/32       receive              FastEthernet4
127.0.0.0/8          drop
172.30.0.0/24        88.88.88.1        FastEthernet4
! А вот, появившийся маршрут, после коннекта cisco vpn client
172.30.0.108/32      192.168.1.3          Vlan150
!
192.168.0.0/24       attached             Vlan192
...skip...

Если отключаю первого прова - сразу выставляется так:
172.30.0.108/32      88.88.88.1        FastEthernet4
и всё работает, клиенты на cisco vpn client всё видят, всё норм бегает.
Поможите, кто чем может... :)

[сообщение отредактировано модератором]

  • Два провайдера и Cisco VPN Client, !*! spiegel, 20:05 , 26-Янв-13 (1)
    >[оверквотинг удален]
    > 192.168.0.0/24       attached    
    >         Vlan192
    > ...skip...
    > Если отключаю первого прова - сразу выставляется так:
    > 172.30.0.108/32      88.88.88.1      
    >   FastEthernet4
    > и всё работает, клиенты на cisco vpn client всё видят, всё норм
    > бегает.
    > Поможите, кто чем может... :)
    > [сообщение отредактировано модератором]

    я бы убрал:

    > crypto dynamic-map dynmap 10
    > no reverse-route

    Если посмотреть sh ip rout, то для сети 172.30.0.100-200 будет next-hop ip(wan) того роутера, к которому подключен easy vpn client. Соответственно ответ пойдет по дефаулту с более низкой метрикой (192.168.1.3). Если не будет reverse-route, роутер будет отсылать пакет по маршруту:

    > ip route 172.30.0.0 255.255.255.0 88.88.88.1 permanent




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру