Есть cisco 2811 понял на ней easy vpn server, на PC поставил cisco vpn client, подключение происходит клиент получает ip из нужного пула но хосты в локальной сети почему то не видны(не проходит ping), в чем может быть проблема подскажите уважаемые..crypto isakmp policy 500
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration address-pool local pool1
!
crypto isakmp client configuration group ezvpn
key ciscocisco
pool pool1
save-password
netmask 255.255.255.0
!
!
crypto ipsec transform-set ts_ezvpn esp-aes esp-sha-hmac
!
crypto dynamic-map dm_map 1
description --Mobile remote access
set transform-set ts_ezvpn
reverse-route
!
!
!
crypto map cm_EZVPN client authentication list ezvpn
crypto map cm_EZVPN isakmp authorization list ezvpn
crypto map cm_EZVPN client configuration address respond
crypto map cm_EZVPN 500 ipsec-isakmp dynamic dm_map
в принципе такая же ситуация когда попытался поднять pptp сервер, подключение происходит клиент авторизируется но LAN на видна
>[оверквотинг удален]
>!
>!
>crypto map cm_EZVPN client authentication list ezvpn
>crypto map cm_EZVPN isakmp authorization list ezvpn
>crypto map cm_EZVPN client configuration address respond
>crypto map cm_EZVPN 500 ipsec-isakmp dynamic dm_map
>
>
>в принципе такая же ситуация когда попытался поднять pptp сервер, подключение происходит
>клиент авторизируется но LAN на виднаКакие адреса в локальной сети и какие адреса выдаются пулом? Случайно не из одной подсети?
Если нет, покажите sh ip route с маршрутизатора до и после VPN подключения.
И, кстати, при чем тут pptp?
>И, кстати, при чем тут pptp?C одной подсети, pptp не причем просто когда у меня не получилось easy vpn, я попробовал с pptp но эфект такой же.
>>И, кстати, при чем тут pptp?
>
>C одной подсети, pptp не причем просто когда у меня не получилось
>easy vpn, я попробовал с pptp но эфект такой же.Потому что одна подсеть. Для компьютера в локальной сети пришедший пакет считается локальным. И ответ будет локальным. Ему нет смысла отсылать что-то через маршрутизатор.
В этом и есть косяк. Выделяйте под VPN отдельную подсеть.
>>>И, кстати, при чем тут pptp?
>>
>>C одной подсети, pptp не причем просто когда у меня не получилось
>>easy vpn, я попробовал с pptp но эфект такой же.
>
>Потому что одна подсеть. Для компьютера в локальной сети пришедший пакет считается
>локальным. И ответ будет локальным. Ему нет смысла отсылать что-то через
>маршрутизатор.
>В этом и есть косяк. Выделяйте под VPN отдельную подсеть.Пробовал и разные подсети, при этом на удаленом компьютере прописывал маршрут, все равно не работало. Кстати еще на маршрутизаторе есть NAT это может влиять?
>равно не работало. Кстати еще на маршрутизаторе есть NAT это может
>влиять?Конечно. Надо исключить подсеть VPN из NAT
>
>>равно не работало. Кстати еще на маршрутизаторе есть NAT это может
>>влиять?
>
>Конечно. Надо исключить подсеть VPN из NATДело в том что сервера в локальной сети находятся за NAT, и VPN в принципе нужен для того что б удаленные пользователи могли попасть на эти сервера, как быть в такой ситуации??
>>
>>>равно не работало. Кстати еще на маршрутизаторе есть NAT это может
>>>влиять?
>>
>>Конечно. Надо исключить подсеть VPN из NAT
>
>Дело в том что сервера в локальной сети находятся за NAT, и
>VPN в принципе нужен для того что б удаленные пользователи могли
>попасть на эти сервера, как быть в такой ситуации??Еще как-то странно допустим 1.1.1.1 это IP WAN интерфейса который смотрит в сторону провайдера на который соoбствено я и подымаю VPN , 10.10.10.0/24 LAN сеть, так вот при соединении когда я получаю IP и пытаюсь что то пропинговать из LAN ответ (Reply from), идет от адреса 1.1.1.1
>[оверквотинг удален]
>>
>>Дело в том что сервера в локальной сети находятся за NAT, и
>>VPN в принципе нужен для того что б удаленные пользователи могли
>>попасть на эти сервера, как быть в такой ситуации??
>
>Еще как-то странно допустим 1.1.1.1 это IP WAN интерфейса который смотрит в
>сторону провайдера на который соoбствено я и подымаю VPN , 10.10.10.0/24
>LAN сеть, так вот при соединении когда я получаю IP и
> пытаюсь что то пропинговать из LAN ответ (Reply from),
>идет от адреса 1.1.1.1Конфиг и схему покажите.
>[оверквотинг удален]
>>>VPN в принципе нужен для того что б удаленные пользователи могли
>>>попасть на эти сервера, как быть в такой ситуации??
>>
>>Еще как-то странно допустим 1.1.1.1 это IP WAN интерфейса который смотрит в
>>сторону провайдера на который соoбствено я и подымаю VPN , 10.10.10.0/24
>>LAN сеть, так вот при соединении когда я получаю IP и
>> пытаюсь что то пропинговать из LAN ответ (Reply from),
>>идет от адреса 1.1.1.1
>
>Конфиг и схему покажите.А схема сообственно любой юзер с инета мог подключится VPN-ом в корп сеть и работать
crypto isakmp policy 500
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration address-pool local pool1
!
crypto isakmp client configuration group ezvpn
key ciscocisco
pool pool1
acl 100
save-password
netmask 255.255.255.0
!
!
crypto ipsec transform-set ts_ezvpn esp-3des esp-sha-hmac
!
crypto dynamic-map dm_map 1
description --Mobile remote access
set transform-set ts_ezvpn
reverse-route
!
!
!
crypto map cm_EZVPN client authentication list ezvpn
crypto map cm_EZVPN isakmp authorization list ezvpn
crypto map cm_EZVPN client configuration address respond
crypto map cm_EZVPN 500 ipsec-isakmp dynamic dm_map
!
!
!
!
!
track 123 ip sla 10 reachability
!
track 124 ip sla 20 reachability
!
!
!
!
!
interface FastEthernet0/1
description PPPoE over ISP 1
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface FastEthernet0/0/0
description LAN L2
switchport access vlan 2
!
interface FastEthernet0/0/1
description ISP 2 L2
switchport access vlan 30
!
interface FastEthernet0/0/2
shutdown
!
interface FastEthernet0/0/3
shutdown
!
interface Vlan1
no ip address
ip virtual-reassembly
shutdown
!
interface Vlan2
description LAN L3
ip address 10.10.10.2 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map tracking
!
interface Vlan30
description ISP 2 L3
ip address ISP2 MY 255.255.255.252
ip nat outside
ip virtual-reassembly
crypto map cm_EZVPN
!
interface Dialer1
mtu 1492
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ppp authentication pap callin
ppp pap sent-username
!
ip local pool pool1 10.10.10.8
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 ISP 2 GW 10
ip route 0.0.0.0 0.0.0.0 ISP 1 GW 20
ip http server
!
!
ip nat inside source route-map ISP 1 interface Dialer1 overload
ip nat inside source route-map ISP 2 interface Vlan30 overload
!
access-list 1 permit 10.10.10.0 0.0.0.255
access-list 10 permit 10.10.10.3
access-list 10 permit 10.10.10.23
access-list 100 permit 10.10.10.0 0.0.0.255 anydialer-list 1 protocol ip permit
!
!
!
!
route-map tracking permit 10
match ip address 10
set ip next-hop verify-availability ISP 1 10 track 124
set ip next-hop verify-availability ISP 2 20 track 123
!
route-map tracking permit 20
match ip address 1
set ip next-hop verify-availability ISP 2 10 track 123
set ip next-hop verify-availability ISP 1 20 track 124
!
route-map ISP 1 permit 10
match ip address 1
match interface Dialer1
!
route-map ISP 2 permit 10
match ip address 1
match interface Vlan30
1. Вы таки опять используете адреса локальной сети для VPN.
Не будет так работать. Я обьяснял почему.2.
>access-list 100 permit 10.10.10.0 0.0.0.255 anyУ вас неправильно описан этот ACL для split-route
Надо наоборот:
access-list 100 permit 10.10.10.0 0.0.0.255 х.х.х.х 0.0.0.255
где х.х.х.х подсеть для VPNА вообще попробуйте посмотреть route print на вашей машине.
>[оверквотинг удален]
>
>2.
>>access-list 100 permit 10.10.10.0 0.0.0.255 any
>
>У вас неправильно описан этот ACL для split-route
>Надо наоборот:
>access-list 100 permit 10.10.10.0 0.0.0.255 х.х.х.х 0.0.0.255
>где х.х.х.х подсеть для VPN
>
>А вообще попробуйте посмотреть route print на вашей машине.Изменил и адреса и acl,посмотрел route print маршрут есть, но ситуация не меняется, и вот это нормально --- допустим 1.1.1.1 это IP WAN интерфейса который смотрит в сторону провайдера на который соoбствено я и подымаю VPN , 10.10.10.0/24 LAN сеть, так вот при соединении когда я получаю IP и пытаюсь что то пропинговать из LAN ответ (Reply from), идет от адреса 1.1.1.1, такое чувство что не строится тунель
>[оверквотинг удален]
>!
>!
>crypto map cm_EZVPN client authentication list ezvpn
>crypto map cm_EZVPN isakmp authorization list ezvpn
>crypto map cm_EZVPN client configuration address respond
>crypto map cm_EZVPN 500 ipsec-isakmp dynamic dm_map
>
>
>в принципе такая же ситуация когда попытался поднять pptp сервер, подключение происходит
>клиент авторизируется но LAN на виднаА чего не соответствие алгоритмов шифрования ?
crypto isakmp policy 500
> encr 3descrypto ipsec transform-set ts_ezvpn esp-aes esp-sha-hmac
определитесь уже aes или 3des
>[оверквотинг удален]
>>в принципе такая же ситуация когда попытался поднять pptp сервер, подключение происходит
>>клиент авторизируется но LAN на видна
>
>А чего не соответствие алгоритмов шифрования ?
>crypto isakmp policy 500
>> encr 3des
>
>crypto ipsec transform-set ts_ezvpn esp-aes esp-sha-hmac
>
>определитесь уже aes или 3desизменил на crypto ipsec transform-set ts_ezvpn esp-3des esp-sha-hmac, но ничего не изменилось