URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 20305
[ Назад ]

Исходное сообщение
"NAT + VPN на одном девайсе"
Отправлено mvictorl , 08-Янв-10 09:49

Прошу помощи!
Имеется cisco 1841 и 4-ре реальных IP-адреса.
По одному из них (скажем, х.х.х.1) я с помощью NAT организовал доступ к провайдеру, два других (х.х.х.2 и х.х.х.3) -- так же с помощью NAT дают доступ извне к web и smtp серверам соответственно.
У меня появилась необходимость по адресу х.х.х.4 получать извне доступ к внутренней сети, конечно же по защищенному соединению -- VPN (желательно с помощью Windows'ского клиента)
Сколько не бился ничего не получилось!
P.S. Сразу прошу не поливать меня грязью -- я пользовался SDM, т.к. сами понимаете, за неделю-другую такое оборудование изучить без отрыва от работы очень сложно!

Содержание

NAT + VPN на одном девайсе,spunky, 14:23 , 08-Янв-10
- NAT + VPN на одном девайсе,mvictorl, 19:44 , 08-Янв-10
  - NAT + VPN на одном девайсе,Depadm, 12:17 , 15-Янв-10

Сообщения в этом обсуждении

"NAT + VPN на одном девайсе"
Отправлено spunky , 08-Янв-10 14:23

http://www.cisco.com/en/US/docs/ios/11_3/feature/guide/l2tp....
Это не полноценный ответ, знаю. Но думаю что направление верное, и тебе подойдёт.

"NAT + VPN на одном девайсе"
Отправлено mvictorl , 08-Янв-10 19:44

>http://www.cisco.com/en/US/docs/ios/11_3/feature/guide/l2tp....
>
>Это не полноценный ответ, знаю. Но думаю что направление верное, и тебе
>подойдёт.
Спасибо -- любая прямая ссылка на информацию полезна, т.к. документов на www.cisco.com уж оченьмного...
Однако, меня беспокоит именно мой случай. Может быть я изначальльно не правильно сконфигурировал девайс?
Дело в том, что я присвоил WAN-интерфейсу только один IP -- х.х.х.1
Короче говоря, если кто-то возьмется помочь -- выложу свой конфиг, только сразу повторюсь -- это "шедевр" SDM, не мой собственный!

"NAT + VPN на одном девайсе"
Отправлено Depadm , 15-Янв-10 12:17

>[оверквотинг удален]
>
>Спасибо -- любая прямая ссылка на информацию полезна, т.к. документов на www.cisco.com
>уж оченьмного...
>Однако, меня беспокоит именно мой случай. Может быть я изначальльно не правильно
>сконфигурировал девайс?
>Дело в том, что я присвоил WAN-интерфейсу только один IP -- х.х.х.1
>
>
>Короче говоря, если кто-то возьмется помочь -- выложу свой конфиг, только сразу
>повторюсь -- это "шедевр" SDM, не мой собственный!
Зачем так все сложно ?
похожая задача стаяла , правда железо другое и все же
вот пример конфы - тут гораздо больше чем надо , но достаточно просто излишки убрать

S252#sh run
Building configuration...
Current configuration : 7369 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname S252
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 xxxxxxx
enable password 7 xxxxxxxxx
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default group radius
aaa authorization exec default local
aaa authorization network default group radius
aaa accounting network default start-stop group radius
aaa accounting system default start-stop group radius
!
aaa attribute list attr_list
attribute type addr-pool "local_pool" service ppp protocol ip
!
aaa session-id common
clock timezone MSK 3
no ip source-route
ip cef
!
!
!
!
no ip bootp server
no ip domain lookup
vpdn enable
!
vpdn-group 1
! Default L2TP VPDN group
! Default PPTP VPDN group
accept-dialin
  protocol any
  virtual-template 1
local name pptp_gateway
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
username admin password 7 xxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
!
bba-group pppoe global
virtual-template 2
ac name SERP252
sessions per-vc limit 120
sessions per-mac limit 2
sessions auto cleanup
!
!
interface Loopback1
ip address 10.5.140.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
!
interface Null0
no ip unreachables
!
interface Ethernet0/0
description Wan internet PORT 4
ip address xxx.xxx.xxxx.xxxx 255.255.255.248
ip access-group 101 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
no ip route-cache cef
ip route-cache flow
full-duplex
pppoe enable group global
no cdp enable
!
interface FastEthernet0/0
description localaka to PORT 3
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
--More--
ip virtual-reassembly
ip route-cache flow
speed 100
half-duplex
no cdp enable
!
interface FastEthernet0/0.711
description localaka
encapsulation dot1Q 711
ip address 172.16.5.252 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
pppoe enable group global
no cdp enable
!
interface FastEthernet0/0.3502
description For web sues nat
encapsulation dot1Q 3502
ip address 172.16.6.1 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
!
interface Virtual-Template1
description Client PPTP
ip unnumbered FastEthernet0/0.711
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1480
ip nat inside
ip virtual-reassembly
rate-limit input 512000 24000 48000 conform-action transmit exceed-action drop
rate-limit output 512000 24000 48000 conform-action transmit exceed-action drop
ip route-cache flow
autodetect encapsulation ppp
peer default ip address pool VpdnUsers
ppp authentication chap callin
ppp ipcp dns xxx.xxx.xxx.xxxx xxx.xxx.xxx.xxx
ppp ipcp address required
ppp ipcp address unique
!
interface Virtual-Template2
description test PPPoE
ip unnumbered Loopback1
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1480
ip nat inside
ip virtual-reassembly
ip route-cache flow
peer default ip address pool VpdnUsers
compress stac
ppp max-bad-auth 3
ppp authentication chap callin
ppp ipcp dns xxx.xxx.xxx.xxxx xxx.xxx.xxx.xxx
ppp ipcp address required
ppp ipcp address unique
!
ip local pool VpdnUsers 10.101.0.1 10.101.0.20
ip route 0.0.0.0 0.0.0.0 213.140.235.185
ip route 10.5.138.3 255.255.255.255 172.16.5.253
ip route 10.5.138.9 255.255.255.255 172.16.5.253
ip route 10.5.138.25 255.255.255.255 172.16.5.253
ip route 10.5.138.40 255.255.255.255 172.16.5.253
ip route 10.5.138.41 255.255.255.255 172.16.5.253
ip route 10.5.138.43 255.255.255.255 172.16.5.253
ip route 10.5.138.200 255.255.255.255 172.16.5.253
ip route 172.16.5.25 255.255.255.255 172.16.5.253
ip route 172.16.5.122 255.255.255.255 172.16.5.253
ip route 192.168.50.0 255.255.255.0 172.16.5.253
!
!
no ip http server
no ip http secure-server
ip nat inside source list 4 interface Ethernet0/0 overload
ip nat inside source list 6 interface Ethernet0/0 overload
ip nat inside source list 39 interface Ethernet0/0 overload
ip nat inside source static tcp 172.16.6.2 20 xxxx.xxx.xxx.xxx 20 extendable
ip nat inside source static tcp 172.16.6.2 21 xxxx.xxx.xxx.xxx 21 extendable
ip nat inside source static tcp 172.16.6.2 25 xxxx.xxx.xxx.xxx 25 extendable
ip nat inside source static tcp 172.16.6.2 80 xxxx.xxx.xxx.xxx 80 extendable
ip nat inside source static tcp 172.16.6.2 110 xxxx.xxx.xxx.xxx 110 extendable
ip nat inside source static tcp 172.16.6.2 143 xxxx.xxx.xxx.xxx 143 extendable
ip nat inside source static tcp 172.16.6.2 389 xxxx.xxx.xxx.xxx 389 extendable
ip nat inside source static tcp 172.16.6.2 443 xxxx.xxx.xxx.xxx 443 extendable
ip nat inside source static tcp 172.16.6.2 465 xxxx.xxx.xxx.xxx 465 extendable
ip nat inside source static tcp 172.16.6.2 636 xxxx.xxx.xxx.xxx 636 extendable
ip nat inside source static tcp 172.16.6.2 993 xxxx.xxx.xxx.xxx 993 extendable
ip nat inside source static tcp 172.16.6.2 995 xxxx.xxx.xxx.xxx 995 extendable
ip nat inside source static tcp 172.16.6.2 3389 xxxx.xxx.xxx.xxx 3389 extendable
!
access-list 4 permit 10.101.0.0 0.0.0.255
access-list 6 permit 172.16.6.2
access-list 39 permit 172.16.5.252
access-list 39 permit 10.5.138.9
access-list 39 permit 10.5.138.25
access-list 39 permit 172.16.5.25
access-list 39 permit 172.16.5.1
access-list 39 permit 172.16.5.122
access-list 101 permit ip any any
access-list 102 permit ip 172.16.1.0 0.0.0.255 any
access-list 102 permit ip 172.16.5.0 0.0.0.255 any
access-list 102 permit ip 10.5.138.0 0.0.0.255 any
access-list 102 permit ip 10.101.0.0 0.0.0.255 any
access-list 102 permit ip 10.6.138.0 0.0.0.255 any
access-list 102 deny   ip any any
snmp-server community public RO 39
snmp-server community private RW 39
snmp-server location ........... Tel. .........
snmp-server contact billy
snmp-server system-shutdown
snmp-server enable traps tty
snmp-server enable traps aaa_server
snmp-server enable traps config-copy
snmp-server enable traps config
snmp-server enable traps entity
snmp-server enable traps event-manager
snmp-server enable traps pppoe
snmp-server host 172.16.5.1 public
no cdp run
!
!
radius-server attribute 8 include-in-access-req
radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
radius-server attribute 31 mac format unformatted
radius-server configure-nas
radius-server host 172.16.5.3 auth-port 1812 acct-port 1813
radius-server retransmit 5
radius-server timeout 30
radius-server deadtime 1
radius-server key 7 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
control-plane
!
!
!
!
!
!
!
!
!
line con 0
exec-timeout 0 0
password 7 xxxxxxxxxxxxxxxxxxxxxxxxxxxxx
line aux 0
line vty 0 4
access-class 102 in
password 7 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
scheduler allocate 4000 1000
scheduler interval 500
ntp clock-period 17208029
ntp master
ntp server xx.xxx.xxx.xxx
end