The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
PAT и VPN, !*! maxborz, 22-Июн-05, 03:41  [смотреть все]
У меня в головном офисе CISCO 1841,
сеть 192.168.0.0/24,
филиал Linksys BEFVP41,
сеть 192.168.99.0/24

WAN интерфейсу 1841 назначен 1 IP адрес. Включена трансляция адресов c Route Map, этот же IP используется для подключения сети филиала по VPN.
SMTP с хоста 192.168.0.1 опубликован на внешнем интерфейсе и в ACL указан доступ на него с любого IP. Но при установленном VPN соединении на него не удается соединиться из филиальной сети (192.168.99.0/24) по адресу 192.168.0.1 Стоит снять публикацию и соединение устанавливается.

С чем это связано? и как исправить эту ситуацию?


Ответить | Сообщить модератору
  • PAT и VPN, !*! klez, 11:03 , 22-Июн-05 (1)
    У вас не возникало  проблемм с поднятием тунеля межу cisco и linksys?
    А то у меня тунель поднялся а пакеты не "ходят" :(
    Ответить | Сообщить модератору
    • PAT и VPN, !*! maxborz, 14:21 , 22-Июн-05 (3)
      >У вас не возникало  проблемм с поднятием тунеля межу cisco и
      >linksys?
      >А то у меня тунель поднялся а пакеты не "ходят" :(


      У меня была похожая проблема. Как выяснилось в ACL нужно разрешить отправку IP.

      Ответить | Сообщить модератору
      • PAT и VPN, !*! maxborz, 14:39 , 22-Июн-05 (5)
        >>У вас не возникало  проблемм с поднятием тунеля межу cisco и
        >>linksys?
        >>А то у меня тунель поднялся а пакеты не "ходят" :(
        >
        >
        >У меня была похожая проблема. Как выяснилось в ACL нужно разрешить отправку
        >IP.
        Очень интересно, говроит что редактировать не могу - сообщение не мое :))
        Ну да не важно... я немного подумал и пришел к выводу что это в моем конкретном случае грабли были по этой причине. В действительности лучше увидеть Running config с циски (так как на bef все настраивается легко и непринужденно ).
        Ответить | Сообщить модератору
  • PAT и VPN, !*! Nailer, 12:00 , 22-Июн-05 (2)
    >У меня в головном офисе CISCO 1841,
    >сеть 192.168.0.0/24,
    >филиал Linksys BEFVP41,
    >сеть 192.168.99.0/24
    >
    >WAN интерфейсу 1841 назначен 1 IP адрес. Включена трансляция адресов c Route
    >Map, этот же IP используется для подключения сети филиала по VPN.
    >
    >SMTP с хоста 192.168.0.1 опубликован на внешнем интерфейсе и в ACL указан
    >доступ на него с любого IP. Но при установленном VPN соединении
    >на него не удается соединиться из филиальной сети (192.168.99.0/24) по адресу
    >192.168.0.1 Стоит снять публикацию и соединение устанавливается.
    >
    >С чем это связано? и как исправить эту ситуацию?

    sh run с циски покажите

    Ответить | Сообщить модератору
    • PAT и VPN, !*! maxborz, 14:36 , 22-Июн-05 (4)
      вот он - немного отредактирован...

      interface FastEthernet0/0
      description $FW_INSIDE$$ETH-LAN$$INTF-INFO-FE 0$
      ip address 192.168.0.2 255.255.255.0
      no ip redirects
      no ip unreachables
      no ip proxy-arp
      ip nat inside
      ip virtual-reassembly
      ip route-cache flow
      duplex auto
      speed auto
      no cdp enable
      no mop enabled
      !
      interface FastEthernet0/1
      description $FW_OUTSIDE$$ETH-WAN$
      ip address [address/mask]
      ip access-group Inbound in
      ip access-group Outnbound out
      no ip redirects
      no ip unreachables
      no ip proxy-arp
      ip nat outside
      ip virtual-reassembly
      ip route-cache flow
      duplex auto
      speed auto
      no cdp enable
      no mop enabled
      crypto map SDM_CMAP_1
      !
      ip classless
      ip route 0.0.0.0 0.0.0.0 [DefGateway] permanent
      !
      !
      ip http server
      ip http authentication local
      no ip http secure-server
      ip nat pool Combelga [pool-1 адрес] netmask 255.255.255.252
      ip nat inside source route-map SDM_RMAP_1 interface FastEthernet0/1 overload
      ip nat inside source static tcp 192.168.0.8 25 [WanIP] 25 extendable
      !
      ip access-list extended Inbound
      remark SDM_ACL Category=1
      remark IPSec Rule
      permit ip 192.168.99.0 0.0.0.255 192.168.0.0 0.0.0.255
      permit udp any host [WanIP] eq non500-isakmp
      permit udp any host [WanIP] eq isakmp
      permit esp any host [WanIP]
      permit ahp any host [WanIP]
      remark ETRN
      permit tcp host [Provider Host] any eq smtp
      permit udp host [NS] eq domain any
      permit udp any any log
      permit icmp any any
      deny   tcp any any log
      deny   ip any any log
      ip access-list extended Outnbound
      remark SDM_ACL Category=1
      permit ip any any
      permit udp any any
      permit tcp any any
      permit icmp any any
      !
      logging trap debugging
      access-list 100 remark SDM_ACL Category=4
      access-list 100 remark IPSec Rule
      access-list 100 permit ip 192.168.0.0 0.0.0.255 192.168.99.0 0.0.0.255
      access-list 100 remark IPSec Rule
      access-list 100 permit ip 192.168.99.0 0.0.0.255 192.168.0.0 0.0.0.255
      access-list 101 remark SDM_ACL Category=2
      access-list 101 remark IPSec Rule
      access-list 101 deny   ip 192.168.0.0 0.0.0.255 192.168.99.0 0.0.0.255
      access-list 101 remark All allowed
      access-list 101 permit ip 192.168.0.0 0.0.255.255 any
      no cdp run
      !
      route-map SDM_RMAP_1 permit 1
      match ip address 101

      Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру