https://www.opennet.ru/openforum/vsluhforumID6/21218.html День добрый! Имею следующую проблему:<br><br>Есть железный Cisco Easy VPN mode client - хочу построить тунель от лупбека для внутрених адресов. <br><br>Имеем сетку LAN 192.168.32.0 255.255.248.0 адреса попадают в порт циски там натяться на Loopback0 от и надо их заставить уходить в построенный тунель - тут и проблема.<br><br>Конфиг<br>!<br>crypto ipsec client ezvpn VPN-MTSBU<br> connect auto<br> group **** key *****<br> mode client<br> peer 213.186.206.90<br> xauth userid mode interactive<br>!<br>!<br>archive<br> log config<br> hidekeys<br>!<br>!<br>!<br>!<br>!<br>interface Loopback0<br> ip address 10.0.0.254 255.255.255.255<br> ip nat outside<br> ip virtual-reassembly<br> crypto ipsec client ezvpn VPN-MTSBU inside<br>!<br>interface FastEthernet0<br>!<br>interface FastEthernet1<br>!<br>interface FastEthernet2<br>!<br>interface FastEthernet3<br>!<br>interface FastEthernet4<br> ip address 192.168.33.120 255.255.248.0<br> ip nat inside<br> ip virtual-reassembly<br> ip policy route-map TO-MTSBU-map<br> duplex auto<br> speed auto<br> crypto ipsec client ezvpn VPN-MTSBU<br>!<br>interface Vlan1<br> no ip addr https://www.opennet.ru/openforum/vsluhforumID6/21218.html#4 Sun, 27 Jun 2010 07:39:43 GMT Как я и говорил, попробовал забить конфиг на стенд.<br>В качестве "подопытной" 1861<br>В конфиге ни используется дополнительный Lo.<br>На сервере настроен Split Tunnel.<br><br>Конфиг:<br><br>ip dhcp pool data<br> network 10.128.90.0 255.255.255.0<br> default-router 10.128.90.1 <br> dns-server 10.128.90.1 <br>!<br>!<br>crypto isakmp policy 71<br> encr 3des<br> hash md5<br> authentication pre-share<br> group 2<br> lifetime 3600<br>! <br><br>!<br>crypto ipsec client ezvpn VPN-MTSBU<br> connect auto<br> group GROUP key KEY<br> mode client<br> peer XXX.XXX.XXX.20<br> xauth userid mode interactive<br>!<br><br>interface FastEthernet0/0<br> ip address dhcp<br> ip nat outside<br> ip virtual-reassembly<br> duplex auto<br> speed auto<br> no cdp enable<br> crypto ipsec client ezvpn VPN-MTSBU<br>!<br>!<br>interface FastEthernet0/1/2<br> switchport access vlan 3<br> spanning-tree portfast<br>!<br><br>!<br>interface Vlan3<br> description DATA INT<br> ip address 10.128.90.1 255.255.255.0<br> ip nat inside<br> ip virtual-reassembly<br> crypto ipsec client ezvpn VPN-MTSBU inside<br>! <br>ip nat inside source https://www.opennet.ru/openforum/vsluhforumID6/21218.html#3 Fri, 25 Jun 2010 13:36:00 GMT &gt;<br>&gt;Дело с том что это не тривиальный site-to-site ВПН с внутренними и <br>&gt;внешними адресами - если провести аналогию то это сродни Windows VPN. <br>&gt;приведенная статистика показывает что ВПН соединение получает адрес 192.168.13.84 и ему <br>&gt;разрешено ходить на любые ИП внутри тунеля. <br><br>Это понятно.... ;) <br><br>&gt;<br><br>Вы разбейте задачку то....<br>Сначала настройте клиента, чтоб работал (с конфигами из букваря), а потом уже трафик в соединение рулить будете...<br><br>А по поводу аналогий... Если поднимаете с "точки" Windows версию клиента...работает?<br><br>P.S. Если не будет лениво, попробую вбить подобный конфиг в домашний стенд и посмотреть, что получится...(При условии, что Виндовый клиент у меня работает нормально).<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/21218.html#2 Fri, 25 Jun 2010 06:56:37 GMT &gt;[оверквотинг удален]<br>&gt;Не хватает данных по топологии со стороны сервера.... <br>&gt;<br>&gt;ip access-list extended TO-MTSBU-acl <br>&gt;permit ip host 192.168.32.113 host 173.33.100.110 <br>&gt;permit ip any host 173.33.100.110 <br>&gt;<br>&gt;Вот ЭТО немного странно выглядит... <br>&gt;ip access-list extended TO-MTSBU-acl <br>&gt;permit ip host 192.168.32.113 host 173.33.100.110 <br>&gt;permit ip any host 173.33.100.110 <br><br>Дело с том что это не тривиальный site-to-site ВПН с внутренними и внешними адресами - если провести аналогию то это сродни Windows VPN. приведенная статистика показывает что ВПН соединение получает адрес 192.168.13.84 и ему разрешено ходить на любые ИП внутри тунеля.<br><br> IPSEC FLOW: permit ip host 192.168.13.84 0.0.0.0/0.0.0.0<br> Active SAs: 2, origin: crypto map<br> Inbound: #pkts dec'ed 0 drop 0 life (KB/Sec) 4504012/27127<br> Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 4504012/27127<br><br>относительно ацл - этот лист просто отлавливает трифик приходящий на Fa4 по заданому привилу и направляет пакеты на Loopb https://www.opennet.ru/openforum/vsluhforumID6/21218.html#1 Thu, 24 Jun 2010 15:35:06 GMT Так... А команда<br>ping "сетка за сервером" source 10.0.0.254 проходит?<br>Нужные роуты клиенту передаются? (sh ip route).<br>Не хватает данных по топологии со стороны сервера....<br><br>ip access-list extended TO-MTSBU-acl<br>permit ip host 192.168.32.113 host 173.33.100.110<br>permit ip any host 173.33.100.110<br><br>Вот ЭТО немного странно выглядит...<br>ip access-list extended TO-MTSBU-acl<br>permit ip host 192.168.32.113 host 173.33.100.110<br>permit ip any host 173.33.100.110<br><br><br>Короче, рисуйте адресацию со стороны сервера и клиента, и кто-куда ходить должен...<br><br>P.S. DMVPN не хотите попробовать?<br>