Добрый день! Проблема в следующем.. Есть pix515 в качестве vpn сервера и cisco871 в качестве клиента. Нужно сделать так что бы при обращении к корпоративной сети пакеты шли в туннель без ната.А если к внешним ресурсам, то соответвенно через нат во внешний интерфейс.
Делал как в примерах на cisco.com типа вот этого http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...... не выходит каменный цветок.вот куски конфигов:
с871
ip dhcp excluded-address 172.16.160.1
!
ip dhcp pool dhcp-pool
network 172.16.160.0 255.255.255.0
default-router 172.16.160.1
dns-server 192.168.18.34 192.168.18.16 192.168.18.18
lease 2
!
!
no ip domain lookup
ip domain name msk.msk
ip name-server 192.168.18.18
ip name-server 192.168.18.34
ip name-server 192.168.18.16
crypto ipsec client ezvpn vpn
connect auto
group vpnadmingroup key ccdadminkey
mode network-extension
peer yyy.yyy.yyy.94
username test password test
xauth userid mode interactive
interface FastEthernet4
description to ISP
ip address xx.xxx.xxx.100 255.255.255.224
ip access-group 101 in
no ip unreachables
ip nat outside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
crypto ipsec client ezvpn vpninterface BVI1
ip address 172.16.160.1 255.255.255.0
ip access-group 100 out
ip nat inside
ip virtual-reassembly
crypto ipsec client ezvpn vpn insideip route 0.0.0.0 0.0.0.0 xx.xxx.xxx.97
ip nat inside source route-map ezvpn interface FastEthernet4 overload
access-list 100 permit ip any any
access-list 101 permit ip any any
access-list 192 permit ip 172.16.160.0 0.0.0.255 anyroute-map ezvpn permit 1
match ip address 192pix515
interface Ethernet0
nameif outside
security-level 0
ip address yyy.yyy.yyy.94 255.255.255.240
!
interface Ethernet1
nameif inside
security-level 100
ip address 172.16.28.1 255.255.255.248access-list outside_access_in extended permit icmp any any
access-list inside_nat0_outbound extended permit ip 172.16.28.0 255.255.255.248
172.16.160.0 255.255.255.0access-list Split_Tunnel_List_160 remark The corporate network behind the PIX
access-list Split_Tunnel_List_160 extended permit ip 172.16.28.0 255.255.255.248
172.16.160.0 255.255.255.0
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 yyy.yyy.yyy.81 1
group-policy vpnadmingroup internal
group-policy vpnadmingroup attributes
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value Split_Tunnel_List_160
nem enablecrypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map outside_dyn_map 20 set pfs
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto dynamic-map outside_dyn_map 20 set reverse-route
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp nat-traversal 20
tunnel-group vpnadmingroup type ipsec-ra
tunnel-group vpnadmingroup general-attributes
default-group-policy vpnadmingroup
tunnel-group vpnadmingroup ipsec-attributes
pre-shared-key *
isakmp ikev1-user-authentication none
>[оверквотинг удален]
> crypto ipsec client ezvpn vpn
>
>
>
>interface BVI1
> ip address 172.16.160.1 255.255.255.0
> ip access-group 100 out
> ip nat inside
> ip virtual-reassembly
> crypto ipsec client ezvpn vpn insideКуда-то не туда вы прикрутили ipsec
Вы уж полный конфиг покажите.>[оверквотинг удален]
> lifetime 86400
>crypto isakmp nat-traversal 20
>
>
>tunnel-group vpnadmingroup type ipsec-ra
>tunnel-group vpnadmingroup general-attributes
> default-group-policy vpnadmingroup
>tunnel-group vpnadmingroup ipsec-attributes
> pre-shared-key *
> isakmp ikev1-user-authentication none
>[оверквотинг удален]
>>interface BVI1
>> ip address 172.16.160.1 255.255.255.0
>> ip access-group 100 out
>> ip nat inside
>> ip virtual-reassembly
>> crypto ipsec client ezvpn vpn inside
>
> Куда-то не туда вы прикрутили ipsec
> Вы уж полный конфиг покажите.
>Прикрутил я правильно... интерфейсы dot11radio0 и vlan 1 объеденены в бридж интерфейс bvi 1
bridge irb
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
!
interface Dot11Radio0
no ip address
!
encryption key 1 size 40bit 0 1029384756 transmit-key
encryption mode wep mandatory
!
ssid wifi
authentication open
guest-mode
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0
channel 2472
antenna receive left
antenna transmit right
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
no ip address
ip virtual-reassembly
ip tcp adjust-mss 1452
bridge-group 1
bridge 1 protocol ieee
bridge 1 route ip>[оверквотинг удален]
>> lifetime 86400
>>crypto isakmp nat-traversal 20
>>
>>
>>tunnel-group vpnadmingroup type ipsec-ra
>>tunnel-group vpnadmingroup general-attributes
>> default-group-policy vpnadmingroup
>>tunnel-group vpnadmingroup ipsec-attributes
>> pre-shared-key *
>> isakmp ikev1-user-authentication none
ПРичем туннель устанавливается, во внешний мир хожу через нат.. в корпоративную сетку не попадаю.. потому как он тоже пытается натить. Косяк гдето видать в роут мапах
>ПРичем туннель устанавливается, во внешний мир хожу через нат.. в корпоративную сетку
>не попадаю.. потому как он тоже пытается натить. Косяк гдето видать
>в роут мапахСпецы.. ну подскажите где косяк.. а то я уже запутался...
>>ПРичем туннель устанавливается, во внешний мир хожу через нат.. в корпоративную сетку
>>не попадаю.. потому как он тоже пытается натить. Косяк гдето видать
>>в роут мапах
>
>Спецы.. ну подскажите где косяк.. а то я уже запутался...
>>>ПРичем туннель устанавливается, во внешний мир хожу через нат.. в корпоративную сетку
>>>не попадаю.. потому как он тоже пытается натить. Косяк гдето видать
>>>в роут мапах
>>
>>Спецы.. ну подскажите где косяк.. а то я уже запутался...
>
>http://www.ciscolab.ru/2007/02/20/ioseasyvpn_pix.htmlОднако не совсем то это.. там например нет ната на 831
>>ПРичем туннель устанавливается, во внешний мир хожу через нат.. в корпоративную сетку
>>не попадаю.. потому как он тоже пытается натить. Косяк гдето видать
>>в роут мапах
>
>Спецы.. ну подскажите где косяк.. а то я уже запутался...Намедни решал подобную задачу. Циска была PPTP клиентом. Нужно было натить в опорную сеть (скажем 10.0.0.0/8) и в инет (скажем Dialer0). Проблема была решена 2-мя роутмапами (скажем первый: из 192.168.1.0/24 в 10.0.0.0/8 через шлюз в 10.0.0.0/8 и второй: из 192.168.1.0/24 в аny через Dialer0) которые были указаны в ip nat inside... (к интерфейсам роут-мапы не привязываются)