URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 12678
[ Назад ]

Исходное сообщение
"vpdn pptp in vrf"
Отправлено ruff , 05-Фев-07 18:58

входящие подключения pptp должны приниматься на интерфейсе лежащем в отдельном vrf. В процессе подключения видно что негоциация ppp идеть нормально, трафик по tcp 1723 идет нормально по маршрутам vrf. а вот когда начинается gre lcp обмен, гре пакеты выплывают из глобального врф. соотв-но сеанс не устанавливается.
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
vpn vrf inet
source-ip хх.хх.хх.хх
local name CISCO_VPN
!
interface Virtual-Template1
no ip address
ip virtual-reassembly
ip route-cache flow
ip mroute-cache
peer default ip address pool pptp_pool
ppp encrypt mppe auto required
ppp authentication ms-chap-v2 eap ms-chap
!

Содержание

vpdn pptp in vrf,Lacunacoil, 21:08 , 05-Фев-07
- vpdn pptp in vrf,ruff, 10:52 , 06-Фев-07
- vpdn pptp in vrf,ruff, 10:59 , 06-Фев-07
  - vpdn pptp in vrf,alchie, 11:10 , 06-Фев-07
    - vpdn pptp in vrf,ruff, 11:44 , 06-Фев-07
      - vpdn pptp in vrf,umax, 23:22 , 06-Ноя-10

Сообщения в этом обсуждении

"vpdn pptp in vrf"
Отправлено Lacunacoil , 05-Фев-07 21:08

>входящие подключения pptp должны приниматься на интерфейсе лежащем в отдельном vrf. В
>процессе подключения видно что негоциация ppp идеть нормально, трафик по tcp
>1723 идет нормально по маршрутам vrf. а вот когда начинается gre
>lcp обмен, гре пакеты выплывают из глобального врф. соотв-но сеанс не
>устанавливается.
>
>vpdn-group 1
>! Default PPTP VPDN group
> accept-dialin
> protocol pptp
> virtual-template 1
> vpn vrf inet
> source-ip хх.хх.хх.хх
> local name CISCO_VPN
>!
>interface Virtual-Template1
> no ip address
> ip virtual-reassembly
> ip route-cache flow
> ip mroute-cache
> peer default ip address pool pptp_pool
> ppp encrypt mppe auto required
> ppp authentication ms-chap-v2 eap ms-chap
>!
interface Virtual-Template1 может этот интерфейс тоже включить в этот врф ?

"vpdn pptp in vrf"
Отправлено ruff , 06-Фев-07 10:52

>
>interface Virtual-Template1 может этот интерфейс тоже включить в этот врф ?

да включал, не помогало. щас еще попробую.

"vpdn pptp in vrf"
Отправлено ruff , 06-Фев-07 10:59

да, не помогает. LCP, Conf-Request приходят с наружи, а LCP, Conf-Reject уходит из глобального во внутрь.

"vpdn pptp in vrf"
Отправлено alchie , 06-Фев-07 11:10

>да, не помогает. LCP, Conf-Request приходят с наружи, а LCP, Conf-Reject уходит
>из глобального во внутрь.
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
session-limit 30
vpn vrf NOC
interface Virtual-Template1
description ---PPTP management---
ip vrf forwarding NOC
ip address 192.168.2.1 255.255.255.0
ip nat inside
peer default ip address pool default
no keepalive
ppp authentication pap chap ms-chap
вот в таком виде все работает

"vpdn pptp in vrf"
Отправлено ruff , 06-Фев-07 11:44

>>да, не помогает. LCP, Conf-Request приходят с наружи, а LCP, Conf-Reject уходит
>>из глобального во внутрь.
>
>vpdn-group 1
>! Default PPTP VPDN group
> accept-dialin
>  protocol pptp
>  virtual-template 1
> session-limit 30
> vpn vrf NOC
>
>interface Virtual-Template1
> description ---PPTP management---
> ip vrf forwarding NOC
> ip address 192.168.2.1 255.255.255.0
> ip nat inside
> peer default ip address pool default
> no keepalive
> ppp authentication pap chap ms-chap
>
>вот в таком виде все работает
если б у меня из глобала был выход в инет я так понимаю тоже работало бы. т.к. пакет уходит через глобал но с пральными адресами, сорс интерфейса на апстрим, дест мой. но он не выходит, соотв-но конект не проходит по таймаутам. вот мой тепершний конфиг:
vpdn enable
vpdn multihop
vpdn authen-before-forward
vpdn tunnel authorization network default
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
vpn vrf inet
source-ip xx.xx.xx.xx
local name CISCO_VPN
!
!
interface Tunnel213
ip vrf forwarding inet
ip address xx.xx.xx.xx 255.255.255.252
ip access-group fw in
ip nat outside
ip inspect gen-ips out
ip virtual-reassembly
tunnel mode ipip
tunnel path-mtu-discovery
!
interface Virtual-Template1
ip vrf forwarding inet
ip unnumbered Vlan10
ip virtual-reassembly
ip route-cache flow
ip mroute-cache
peer default ip address pool pptp_pool
ppp encrypt mppe auto required
ppp authentication ms-chap-v2 eap ms-chap
!
натыкал уже все што видел %)

"vpdn pptp in vrf"
Отправлено umax , 06-Ноя-10 23:22

Решил всетаки ответить на эту старую тему.
Сам недавно пытался проделать subj - а именно у меня доступ к pptp серверу из интерфейса в VRF.
Если маршрут к pptp серверу из глобала, то все работает. pptp устанавливается, поднимается интерфейс virtual-access, все как обычно.
Если маршрут к pptp серверу из VRF, то pptp не устанавливается.
ВНИМАНИЕ это не баг, а фича :)
http://www.cisco.com/en/US/docs/ios/12_2t/12_2t15/feature/gu...

Пришлось применить MPLS route leaking и тем самым сделать роут из VRF в глобал и обратно. Иначе не получается.