URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 12559
[ Назад ]

Исходное сообщение
"Проблема pptp hrough overloaded nat. Очень прошу помочь!"
Отправлено Roman V.Ilinets , 23-Янв-07 12:09

Здравствуйте уважаемые.
Господа, действительно и срочно нужна ваша помощь.
Уже не знаю куда обратиться, если честно :(
Проблема (с моей точки зрения) нетривиальная и пост будет большой и максимально подробный.
Итак, задача.
Заставить работать pptp через nat на cisco 3640
Далее конфигурация и описание проблемы.
Иос вот такой
Cisco Internetwork Operating System Software
IOS (tm) 3600 Software (C3640-IS-M), Version 12.2(24b), RELEASE SOFTWARE (fc1)
Конфиг (все, что касается pptp и nat)
ip cef
vpdn-group 2
! Default PPTP VPDN group
description VPN Clients
accept-dialin
  protocol pptp
  virtual-template 2
!
interface Loopback0
ip address 10.10.10.1 255.255.255.0 !!! Эта сеть натится. Т.е. когда юзер подключается по pptp radius сервер выдает ему адрес из этой сети
!
interface Ethernet0/0
description To Tele-Kom Network
ip address 10.10.100.1 255.255.255.0 secondary !!! В этой сети сидят пользователи. Это их локалка.
ip address A.B.C.D 255.255.255.128  !!! Это реальный адрес. Он используется юзерами для установки pptp сессии.
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
full-duplex
no cdp enable
!
interface Virtual-Template2
ip unnumbered Loopback0
no ip proxy-arp
ip mtu 1492
ip nat inside
ip route-cache flow
ip tcp header-compression
peer default ip address pool VPN
ppp authentication chap
ppp timeout retry 10
!
ip nat inside source list 10 interface Ethernet0/0 overload
access-list 10 permit 10.10.10.0 0.0.0.255
Теперь проблема.
Сам по себе нат работает. Все ок.
PPTP сам по себе тоже. Если радиусом я выдаю себе реальный адрес, то нат не используется и все ок.
Не работает именно в случае, когда я отдаю себе адрес из сети 10.10.10.0/24, которая как раз натится.
Как не работает:
При пинге от клиента любого хоста за циской происходит вот что
A.B.C.D - внешний интерфейс ната
a.b.c.d - хост, который я пингую
10.10.10.5 - адрес, выданный мне радиусом
#debug ip nat
Jan 23 11:43:33.965 MSK: NAT*: s=10.10.10.5->A.B.C.D, d=a.b.c.d [2997]
Jan 23 11:43:33.965 MSK: NAT*: s=a.b.c.d, d=A.B.C.D->10.10.10.5 [23362]
Т.е. видим, что от меня пакеты транслируются и уходят во вне нормально.
Далее echo-reply приходит от пингуемого хоста на циску и транслируется тоже нормально.
Но! До моей машины они не доходят. Умирают где-то по дороге.
Настройки клиентской машины:
Изначально (без pptp) так
Адрес 10.10.100.5
Маска 255.255.255.0
Шлюз A.B.C.D
После vpn подключения
Адрес 10.10.10.5
Маска 255.255.255.0
Шлюз 10.10.10.5 (не пойму почему, но думаю, что не суть важно)
Ну и еще немного справочной информации с циски
#sh u
  Interface      User        Mode                     Idle     Peer Address
  Vi9          vpn_test   Virtual PPP (PPTP  )      00:00:08    10.10.10.5
#sh ip nat st
Total active translations: 10 (0 static, 10 dynamic; 10 extended)
Outside interfaces:
  Ethernet0/0
Inside interfaces:
  Virtual-Template2, Virtual-Access9
Hits: 6643  Misses: 147
Expired translations: 135
Dynamic mappings:
-- Inside Source
[Id: 4] access-list 10 interface Ethernet0/0 refcount 10
NAS1#sh ip nat translations pptp
Pro Inside global         Inside local          Outside local         Outside global
gre A.B.C.D:256           A.B.C.D:256          10.10.100.5:256       10.10.100.5:256
Вот это мне как-то не греет душу. Почему Outside local и Outside global попарно одинаковы
и там нигде нет моего клиентского адреса 10.10.10.5 ???
Но тут я уже не силен к сожалению =( но мне кажется, что не работает маршрутизация обратная.
Т.е. циска не знает куда кинуть оттранслированный пакет.

Очень вас прошу, подскажите пожалуйста в чем тут дело.
Если что-то забыл из дебагов или еще чего - обязательно покажу.
С нетерпение жду ответа.
Заранее спасибо.

Содержание

Проблема pptp hrough overloaded nat. Очень прошу помочь!,angelweb, 13:45 , 23-Янв-07
- Проблема pptp hrough overloaded nat. Очень прошу помочь!,Изгой, 10:51 , 24-Янв-07
  - Проблема pptp hrough overloaded nat. Очень прошу помочь!,Roman V.Ilinets, 23:41 , 24-Янв-07
    - Проблема pptp hrough overloaded nat. Очень прошу помочь!,Изгой, 12:07 , 25-Янв-07

Сообщения в этом обсуждении

"Проблема pptp hrough overloaded nat. Очень прошу помочь!"
Отправлено angelweb , 23-Янв-07 13:45

Попробуй так http://www.parkansky.com/tutorials/pptp.htm
______________________________________
Cisco на Русском
http://faq-cisco.ru

"Проблема pptp hrough overloaded nat. Очень прошу помочь!"
Отправлено Изгой , 24-Янв-07 10:51

>Попробуй так http://www.parkansky.com/tutorials/pptp.htm
>
>______________________________________
>Cisco на Русском
>http://faq-cisco.ru

aaa authentication login default local
aaa authentication login UCL local
aaa authorization exec default local
aaa authorization network UCL local
aaa session-id common
ip subnet-zero
no ip source-route
no ip gratuitous-arps
ip cef
!
!
no ip domain lookup
!
no ip bootp server
ip audit po max-events 100
!
!
!
! !
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
!
crypto isakmp client configuration group Cisco2621
key 1234567
pool POOL
!
crypto isakmp client configuration group Roman
key 123456789
pool POOL2
!
crypto ipsec transform-set TS esp-des esp-md5-hmac
!
crypto dynamic-map DM 10
set transform-set TS
reverse-route
qos pre-classify
!
!
crypto map CM client authentication list UCL
crypto map CM isakmp authorization list UCL
crypto map CM client configuration address respond
crypto map CM 10 ipsec-isakmp dynamic DM
!
!
!
!
interface Loopback1
ip address 172.17.1.1 255.255.255.255
ip nat inside
interface FastEthernet0/1
bandwidth 100000
ip adress 10.1.1.1 255.255.255.0 ( шлюз для клиентских машин - прописываеться на клиентах)
ip address 172.18.1.1 255.255.0.0 secondry ( внешний адрес через который натиться)
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip policy route-map Loop
duplex auto
speed auto
no cdp enable
crypto map CM
ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621
ip local pool POOL2 172.18.3.10 group Roman
ip nat pool out 192.18.1.1 192.18.1.1 netmask 255.255.255.0
ip nat inside source list 11 pool out 172.18.1.1 255.255.0.0 overload ( тут на память - в общем смысл что транслируешь полл адресов через один адресс внешний)
no ip http server
no ip http secure-server
ip classless
access-list 11 permit 172.18.3.0 0.0.0.255 ( адреса пула который выдаёться по пптп)
no cdp run
!
!
route-map Loop permit 10 ( суть такая что те адреса которые получили при соединении перекидываються на лупбэк и оттуда натируються на внешний)
match ip address 11
set interface Loopback1
попробуй так , правда непробывал стенд надо подымать - лениво .

"Проблема pptp hrough overloaded nat. Очень прошу помочь!"
Отправлено Roman V.Ilinets , 24-Янв-07 23:41

Большое спасибо, но уже решил сделать не vpn+nat, а pppoe+nat (благо есть такая возможность подключения). Все работает на ура. И никаких проблем вообще.

"Проблема pptp hrough overloaded nat. Очень прошу помочь!"
Отправлено Изгой , 25-Янв-07 12:07

>Большое спасибо, но уже решил сделать не vpn+nat, а pppoe+nat (благо есть
>такая возможность подключения). Все работает на ура. И никаких проблем вообще.
>
Конфиг можно посмотреть ? для опыта ?