forum.opennet.ru

Составление сообщения

Исходное сообщение

" Site2Site VPN + Remote Access + доступ в интернет проблемы!"
Отправлено jnicolson, 25-Окт-11 16:57

Коллеги! Добрый день!
Знакомый попросил оказать помощь, в настройке Site2Site VPN + Remote Access + доступ в интернет.
Все вроде нарисовал, все VPN работают а вот в Инет доступа нет, как только не изворачивался. Не могу сообразить что не так, с головою или с руками.
Задача:
подключиться Cisco VPN клиентом, получить доступ как в LAN, так и в Интернет.
Что имеем: подключаемся, имеем доступ в LAN, не имеем в Интернет.
Конфига:

aaa authentication login default local
aaa authentication login clientauth local
aaa authorization network groupauthor local
aaa session-id common
ip subnet-zero
ip cef
!
!
!
!
ip ips po max-events 100
no ip domain lookup
no ftp-server write-enable
!
!
!
!
!
crypto keyring spokes
    pre-shared-key address X.X.X.X key xxxxx
!
crypto isakmp policy 10
  encr 3des
  hash md5
  authentication pre-share
  group 2
!
crypto isakmp client configuration group Users
  key xxxxxx
  dns 8.8.8.8
  pool Users
  max-users 2
  max-logins 2
crypto isakmp profile VPNclient
      description VPN clients profile
      match identity group Users
      client authentication list clientauth
      isakmp authorization list groupauthor
      client configuration address respond
crypto isakmp profile L2L
      description LAN-to-LAN for spoke router(s) connection
      keyring spokes
      match identity address X.X.X.X 255.255.255.255
!
!
crypto ipsec transform-set PEERS esp-3des esp-md5-hmac
!
crypto dynamic-map dynmap 5
  set transform-set PEERS
  set isakmp-profile VPNclient
  reverse-route
crypto dynamic-map dynmap 10
  set security-association lifetime seconds 1800
  set transform-set PEERS
  set pfs group2
  set isakmp-profile L2L
!
!
crypto map IPSEC-NEW 10 ipsec-isakmp dynamic dynmap
!
!
!
interface FastEthernet0/0
  description to_INET
  ip address x.x.x.x 255.255.255.248
  ip nat outside
  ip virtual-reassembly
  duplex auto
  speed auto
  crypto map IPSEC-NEW
!
interface FastEthernet0/1
  description to_LAN
  ip address 192.168.5.200 255.255.255.0
  ip nat inside
  ip virtual-reassembly
  duplex auto
  speed auto
!
interface Serial0/0/0
  no ip address
  shutdown
  clockrate 2000000
!
ip local pool Users 192.168.50.240
ip classless
ip route 0.0.0.0 0.0.0.0 x.x.x.x
!
no ip http server
no ip http secure-server
ip nat inside source list 110 interface FastEthernet0/0 overload
!
ip access-list extended ACL_IPSEC
  permit ip 192.168.x.x 0.0.0.255 10.250.5.0 0.0.0.255
ip access-list extended IPSEC_NAT
  permit ip 192.168.50.0 0.0.0.255 any
access-list 110 permit ip host 192.168.50.240 any

Это уже рабочий конфиг для VPN, все что касается NAT вырезал, ибо не вижу смысла выкладывать. Какие предложения господа? Что надо сделать? Мозговал по разному, и с лупбэками и рут-мапами, ничего не выходит.
Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.3(11)T3, RELEASE SOFTWARE (fc4)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Tue 25-Jan-05 14:20 by pwade
ROM: System Bootstrap, Version 12.3(8r)T9, RELEASE SOFTWARE (fc1)
XXXX uptime is 1 hour, 14 minutes
System returned to ROM by power-on
System image file is "flash:c1841-advsecurityk9-mz.123-11.T3.bin"

Исходное сообщение
" Site2Site VPN + Remote Access + доступ в интернет проблемы!" Отправлено jnicolson, 25-Окт-11 16:57
Коллеги! Добрый день! Знакомый попросил оказать помощь, в настройке Site2Site VPN + Remote Access + доступ в интернет. Все вроде нарисовал, все VPN работают а вот в Инет доступа нет, как только не изворачивался. Не могу сообразить что не так, с головою или с руками. Задача: подключиться Cisco VPN клиентом, получить доступ как в LAN, так и в Интернет. Что имеем: подключаемся, имеем доступ в LAN, не имеем в Интернет. Конфига: aaa authentication login default local aaa authentication login clientauth local aaa authorization network groupauthor local aaa session-id common ip subnet-zero ip cef ! ! ! ! ip ips po max-events 100 no ip domain lookup no ftp-server write-enable ! ! ! ! ! crypto keyring spokes pre-shared-key address X.X.X.X key xxxxx ! crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2 ! crypto isakmp client configuration group Users key xxxxxx dns 8.8.8.8 pool Users max-users 2 max-logins 2 crypto isakmp profile VPNclient description VPN clients profile match identity group Users client authentication list clientauth isakmp authorization list groupauthor client configuration address respond crypto isakmp profile L2L description LAN-to-LAN for spoke router(s) connection keyring spokes match identity address X.X.X.X 255.255.255.255 ! ! crypto ipsec transform-set PEERS esp-3des esp-md5-hmac ! crypto dynamic-map dynmap 5 set transform-set PEERS set isakmp-profile VPNclient reverse-route crypto dynamic-map dynmap 10 set security-association lifetime seconds 1800 set transform-set PEERS set pfs group2 set isakmp-profile L2L ! ! crypto map IPSEC-NEW 10 ipsec-isakmp dynamic dynmap ! ! ! interface FastEthernet0/0 description to_INET ip address x.x.x.x 255.255.255.248 ip nat outside ip virtual-reassembly duplex auto speed auto crypto map IPSEC-NEW ! interface FastEthernet0/1 description to_LAN ip address 192.168.5.200 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto ! interface Serial0/0/0 no ip address shutdown clockrate 2000000 ! ip local pool Users 192.168.50.240 ip classless ip route 0.0.0.0 0.0.0.0 x.x.x.x ! no ip http server no ip http secure-server ip nat inside source list 110 interface FastEthernet0/0 overload ! ip access-list extended ACL_IPSEC permit ip 192.168.x.x 0.0.0.255 10.250.5.0 0.0.0.255 ip access-list extended IPSEC_NAT permit ip 192.168.50.0 0.0.0.255 any access-list 110 permit ip host 192.168.50.240 any Это уже рабочий конфиг для VPN, все что касается NAT вырезал, ибо не вижу смысла выкладывать. Какие предложения господа? Что надо сделать? Мозговал по разному, и с лупбэками и рут-мапами, ничего не выходит. Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.3(11)T3, RELEASE SOFTWARE (fc4) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2005 by Cisco Systems, Inc. Compiled Tue 25-Jan-05 14:20 by pwade ROM: System Bootstrap, Version 12.3(8r)T9, RELEASE SOFTWARE (fc1) XXXX uptime is 1 hour, 14 minutes System returned to ROM by power-on System image file is "flash:c1841-advsecurityk9-mz.123-11.T3.bin"

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Коллеги! Добрый день! > Знакомый попросил оказать помощь, в настройке Site2Site VPN + Remote Access + > доступ в интернет. > Все вроде нарисовал, все VPN работают а вот в Инет доступа нет, > как только не изворачивался. Не могу сообразить что не так, с > головою или с руками. > Задача: > подключиться Cisco VPN клиентом, получить доступ как в LAN, так и в > Интернет. > Что имеем: подключаемся, имеем доступ в LAN, не имеем в Интернет. > Конфига: > aaa authentication login default local > aaa authentication login clientauth local > aaa authorization network groupauthor local > aaa session-id common > ip subnet-zero > ip cef > ! > ! > ! > ! > ip ips po max-events 100 > no ip domain lookup > no ftp-server write-enable > ! > ! > ! > ! > ! > crypto keyring spokes > pre-shared-key address X.X.X.X key xxxxx > ! > crypto isakmp policy 10 > encr 3des > hash md5 > authentication pre-share > group 2 > ! > crypto isakmp client configuration group Users > key xxxxxx > dns 8.8.8.8 > pool Users > max-users 2 > max-logins 2 > crypto isakmp profile VPNclient > description VPN clients profile > match identity group Users > client authentication list clientauth > isakmp authorization list groupauthor > client configuration address respond > crypto isakmp profile L2L > description LAN-to-LAN for spoke router(s) connection > keyring spokes > match identity address X.X.X.X 255.255.255.255 > ! > ! > crypto ipsec transform-set PEERS esp-3des esp-md5-hmac > ! > crypto dynamic-map dynmap 5 > set transform-set PEERS > set isakmp-profile VPNclient > reverse-route > crypto dynamic-map dynmap 10 > set security-association lifetime seconds 1800 > set transform-set PEERS > set pfs group2 > set isakmp-profile L2L > ! > ! > crypto map IPSEC-NEW 10 ipsec-isakmp dynamic dynmap > ! > ! > ! > interface FastEthernet0/0 > description to_INET > ip address x.x.x.x 255.255.255.248 > ip nat outside > ip virtual-reassembly > duplex auto > speed auto > crypto map IPSEC-NEW > ! > interface FastEthernet0/1 > description to_LAN > ip address 192.168.5.200 255.255.255.0 > ip nat inside > ip virtual-reassembly > duplex auto > speed auto > ! > interface Serial0/0/0 > no ip address > shutdown > clockrate 2000000 > ! > ip local pool Users 192.168.50.240 > ip classless > ip route 0.0.0.0 0.0.0.0 x.x.x.x > ! > no ip http server > no ip http secure-server > ip nat inside source list 110 interface FastEthernet0/0 overload > ! > ip access-list extended ACL_IPSEC > permit ip 192.168.x.x 0.0.0.255 10.250.5.0 0.0.0.255 > ip access-list extended IPSEC_NAT > permit ip 192.168.50.0 0.0.0.255 any > access-list 110 permit ip host 192.168.50.240 any > Это уже рабочий конфиг для VPN, все что касается NAT вырезал, ибо > не вижу смысла выкладывать. Какие предложения господа? Что надо сделать? Мозговал > по разному, и с лупбэками и рут-мапами, ничего не выходит. > Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.3(11)T3, RELEASE > SOFTWARE (fc4) > Technical Support: http://www.cisco.com/techsupport > Copyright (c) 1986-2005 by Cisco Systems, Inc. > Compiled Tue 25-Jan-05 14:20 by pwade > ROM: System Bootstrap, Version 12.3(8r)T9, RELEASE SOFTWARE (fc1) > XXXX uptime is 1 hour, 14 minutes > System returned to ROM by power-on > System image file is "flash:c1841-advsecurityk9-mz.123-11.T3.bin"
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру