Подключаюсь к впн из интернета. Подключаюсь нормально, ничего кроме циски не пингую. Циска 7505
Может кто подскажет в чем дело?
Current configuration : 1932 bytes
!
version 12.4
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
no service single-slot-reload-enable
!
hostname router
boot-start-marker
boot-end-marker
redundancy
enable password password
!
aaa new-model
aaa authentication ppp default group radius
aaa session-id common
!
ip cef
ip domain name router.domain.local
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
username root password 0 cbcflvby
!
ip ssh time-out 60
!
interface Loopback0
ip address 1.1.1.1 255.255.255.255
!
interface FastEthernet0/0/0
ip address xxx.xxx.xxx.xxx 255.255.255.252
ip nat outside
ip virtual-reassembly
half-duplex
!
interface FastEthernet0/1/0
ip address 192.168.0.49 255.255.240.0
ip nat inside
ip virtual-reassembly
half-duplex
!
interface FastEthernet2/0/0
no ip address
shutdown
half-duplex
!
interface FastEthernet2/1/0
ip address 192.168.254.1 255.255.255.0
ip nat inside
ip virtual-reassembly
half-duplex
!
interface Virtual-Template1
ip unnumbered Loopback0
no ip proxy-arp
ip virtual-reassembly
peer default ip address pool DHCP-VPN
ppp authentication ms-chap
!
ip local pool DHCP-VPN 192.168.14.2 192.168.14.254
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxy
!
no ip http server
no ip http secure-server
!
ip nat inside source list NAT interface FastEthernet0/0/0 overload
ip nat inside source static tcp 1.1.1.1 1723 interface FastEthernet0/0/0 1723
ip nat inside source static esp 192.168.254.2 interface FastEthernet0/0/0
ip nat inside source static udp 192.168.254.2 500 interface FastEthernet0/0/0 500
!
ip access-list extended NAT
permit ip any any
!
radius-server host 192.168.254.2 auth-port 1812 acct-port 1813 timeout 5
radius-server key 1111111111111
!
control-plane
!
line con 0
line aux 0
line vty 0 4
transport input ssh
!
end
Нету идей?
Ответит кто-нибудь?Соединение проходит номрально. ип присвается. но кроме циски ничего не пингуется.
Сказали бы хоть что в результате получить хотите?interface Virtual-Template1
ip nat insideИ покажите route print после того, как подключились по pptp.
>Сказали бы хоть что в результате получить хотите?
>
>interface Virtual-Template1
>ip nat inside
>
>И покажите route print после того, как подключились по pptp.Мне нужно чтобы при подключении из интернета по впн, имели доступ к локальной сети 192.168.0.0/20
Шлюз по умолчанию ставится тот же ип, что и выдается
PPP адаптер:
DNS-суффикс этого подключения . . :
IP-адрес . . . . . . . . . . . . : 192.168.14.2
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 192.168.14.2маршруты прописаны нормально.
При подключении к впн из интернета, выдается ип адресс. этот адресс из локалки не пингуется.
Если из локалки подключится к впн, то друг друга всеравно не видят, трасировка проходит циску и дальше не идет, с обоих сторон.Я подозреваю что это из за того что проброшен порт 1723 на локальный адресс циски.
Т.к открыть порт на внешнем интерфейсе так и не удалось
>[оверквотинг удален]
>маршруты прописаны нормально.
>
>При подключении к впн из интернета, выдается ип адресс. этот адресс из
>локалки не пингуется.
>Если из локалки подключится к впн, то друг друга всеравно не видят,
>трасировка проходит циску и дальше не идет, с обоих сторон.
>
>Я подозреваю что это из за того что проброшен порт 1723 на
>локальный адресс циски.
>Т.к открыть порт на внешнем интерфейсе так и не удалосьУ тебя проходит через нат все включая и твою подсеть которую ты выделил для vpn клментов а это не есть гуд.....надо изслючить эту подсеть из ната 192.168.14.2 192.168.14.254
примерно так:
ip access-list extended NAT
deny ip 192.168.0.0 0.0.15.255 192.168.14.0 0.0.0.255
permit ip any any
>ip access-list extended NAT
>deny ip 192.168.0.0 0.0.15.255 192.168.14.0 0.0.0.255
>permit ip any anyК сожалению это не помогло.
>>ip access-list extended NAT
>>deny ip 192.168.0.0 0.0.15.255 192.168.14.0 0.0.0.255
>>permit ip any any
>
>К сожалению это не помогло.надо тебе еще разрешить доступ из локальнуй сеть в подсеть впн, забыл указать
crypto isakmp client configuration group group1
key vpn
dns ******
domain *****
pool local
acl for_vpn (вот строчка для впн, прописываются в acl тебе сети откуда может быть доступ)ip access-list extended for_vpn
permit ip 192.168.14.0 0.0.0.255 any (т.е из внутреней сети в сеть впн доспуп разрешается)
>[оверквотинг удален]
> dns ******
> domain *****
> pool local
> acl for_vpn (вот строчка для впн, прописываются в acl тебе сети
>откуда может быть доступ)
>
>ip access-list extended for_vpn
> permit ip 192.168.14.0 0.0.0.255 any (т.е из внутреней сети в сеть
>впн доспуп разрешается)
>решилось все проще.
ip access-list extendet NAT
permit ip 192.168.254.0 0.0.0.255 anyи все что мне нужно заработало
Всем спасибо, наталкнули в нужную сторону