The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
2911 + VPN Client + Acl, !*! sgrv, 18-Авг-11, 16:52  [смотреть все]
Настроена следующая связка: 2911 к нему коннектятся клиенты через VPN CLient. И все бы ничего если бы не прискорбный факт.

Сначала конфиг:
aaa authentication login userauthen local
aaa authentication ppp default local
aaa authorization network groupauthor local
!
username user password 0 cisco

crypto isakmp policy 30
encr 3des
authentication pre-share
group 2

crypto isakmp client configuration group vpnclient
key cisco123
dns 10.0.0.10
wins 10.0.0.20
domain igok.com
pool ippool
acl SPLIT_TUNNEL
!
crypto ipsec transform-set DMVPN-TR esp-3des
mode transport
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
reverse-route
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
interface Loopback0
ip address 192.168.2.1 255.255.255.0
ip virtual-reassembly
!
interface GigabitEthernet0/0
description -== Inet ==-
ip address xx.xx.xx.xx 255.255.255.240
ip nat outside
ip virtual-reassembly
ip policy route-map VPN-Client
duplex auto
speed auto
crypto map clientmap
!
interface GigabitEthernet0/2
ip address 10.0.0.1 255.255.255.0
ip access-group FromLAN in
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
ip local pool ippool 192.168.130.1 192.168.130.200

ip access-list extended FromLAN
permit tcp any any eq www
permit tcp any any eq 443
permit tcp any any eq ftp
permit tcp any any eq 22
permit udp any any eq ntp
permit udp any any eq domain
permit ip any 192.168.130.0 0.0.0.255
permit ip any any
ip access-list extended SPLIT_TUNNEL
permit ip 10.0.0.0 0.0.0.255 any
permit ip 192.168.2.0 0.0.0.255 any
!
access-list 30 permit 10.0.0.0 0.0.0.255
access-list 144 permit ip 192.168.130.0 0.0.0.255 any
!
route-map VPN-Client permit 10
match ip address 144
set ip next-hop 192.168.2.2
!
При такой схеме пакеты от клиента до внутреннего хоста доходят а обратно НЕТ.
Но стоит поменять строчки:
permit ip any 192.168.130.0 0.0.0.255
permit ip any any
на такие
permit ip any 192.168.130.0 0.0.0.255 log
permit ip any any log

Все начинает работать. Как это можно объяснить?

Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру