URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19913
[ Назад ]

Исходное сообщение
"Def GW для VPN тоннеля (cisco 871)"

Отправлено AlexLine , 27-Окт-09 17:33 
Доброго времени суток, Коллеги.
Имею следующую проблему:
Поднят Eazy VPN сервер на Cisco 871-k9.
авторизация проходит, тоннель строится нормально, сплит работает.
Сеть впн клиентов: 10.0.18.0/24
Сеть Интернал: 10.0.4.0/24
но для VPN клиента выдается не верный GW (а соответственно пакеты от впн клиента в интернал сеть не идут):
(листинг с клиента)
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0         On-link      10.23.77.208     51
         10.0.0.0        255.0.0.0         On-link        10.0.18.22    306
        10.0.18.0    255.255.255.0         10.0.0.1       10.0.18.22    100
       10.0.18.22  255.255.255.255         On-link        10.0.18.22    306

хоста 10.0.0.1 не существует. откуда оно взяло этот гейт?

Вот конфиг циски:
Current configuration : 2677 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime localtime
no service password-encryption
!
hostname rtr01
!
boot-start-marker
boot-end-marker
!
enable password ********
!
aaa new-model
!
!
aaa authentication login userlist local
aaa authorization network vpn-clients local
!
!
aaa session-id common
clock timezone MSK 3
clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 2:00
!
!
dot11 syslog
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 10.0.16.1 10.0.16.50
!
ip dhcp pool WiFi
   network 10.0.16.0 255.255.255.0
   default-router 10.0.16.1
   dns-server 194.85.128.10 212.44.130.6
!
!
no ip domain lookup
ip domain name un.loc
!
!
!
username ********** password 0 **********
username ********** password 0 **********
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration address-pool local dynpool
crypto isakmp xauth timeout 60

!
crypto isakmp client configuration group vpn-clients
key **************
pool dynpool
acl 150
!
!
crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 1
set transform-set transform-1
reverse-route
!
!
crypto map dynmap client authentication list userlist
crypto map dynmap isakmp authorization list vpn-clients
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap
!
!
archive
log config
  hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
switchport access vlan 2
!
interface FastEthernet3
switchport access vlan 2
!
interface FastEthernet4
description -=Internet=-
ip address 213.33.102.*** 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
crypto map dynmap
!
interface Vlan1
description -=Internal Network=-
ip address 10.0.4.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Vlan2
description -=WiFi=-
ip address 10.0.16.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip local pool dynpool 10.0.18.20 10.0.18.40
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 213.33.102.***
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface FastEthernet4 overload
ip nat inside source list 10 interface FastEthernet4 overload
!
access-list 1 permit 10.0.4.0 0.0.0.255
access-list 10 permit 10.0.16.0 0.0.0.255
access-list 150 permit ip 10.0.18.0 0.0.0.255 any
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 1
password **********
login authentication local_auth
line vty 2 4
login authentication local_auth
!
scheduler max-task-time 5000
end


Коллеги, прошу помочь разобраться в этой ситуации.


Содержание

Сообщения в этом обсуждении
"Def GW для VPN тоннеля (cisco 871)"
Отправлено Myxa , 27-Окт-09 21:06 
Попробуйте для начала добавить ip classless

"Def GW для VPN тоннеля (cisco 871)"
Отправлено AlexLine , 27-Окт-09 22:06 
>Попробуйте для начала добавить ip classless

Вы имеете в виду ip classes routing?

Кстати, промелькнула у меня мысля что пакеты от ВПН клиента во внутреннюю сеть не ходят не из за GW, а по проблеме с Ацес-Листами.
Коллеги, подскажите, можт какого ацл не хватает?


"У меня так работает:"
Отправлено j_vw , 27-Окт-09 22:31 
Сравнивай....


crypto isakmp profile VPNclient
   match identity group YYYYYY
   client authentication list vpn
   isakmp authorization list vpn
   client configuration address respond

ip local pool ippool 172.17.0.1 172.17.0.10

crypto isakmp client configuration group YYYYYY
key XXXXX
pool ippool
acl EasyVPN
include-local-lan
netmask 255.255.255.0

crypto dynamic-map dynmap 10
set transform-set Vasya
set isakmp-profile VPNclient
reverse-route

crypto map clientmap 10 ipsec-isakmp dynamic dynmap


ip access-list extended EasyVPN
permit ip 10.1.1.0 0.0.0.255 any
permit ip 10.228.0.0 0.0.0.255 any

Это сети, на которые передаются маршруты в клиентскую машину.

Ну, и в ACL ната запрещен маршрут в ippool



"У меня так работает:"
Отправлено AlexLine , 27-Окт-09 23:11 
2 J_VW:
вот такая байда теперь в route print на клиенте:
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0         On-link      10.20.80.186     51
         10.0.0.0        255.0.0.0         On-link        10.0.18.25    306
         10.0.4.0    255.255.255.0         10.0.0.1       10.0.18.25    100
        10.0.16.0    255.255.255.0         10.0.0.1       10.0.18.25    100

Откуда берется это 10.0.0.1 ? :wall:


"У меня так работает:"
Отправлено j_vw , 27-Окт-09 23:24 
>2 J_VW:
>вот такая байда теперь в route print на клиенте:
>Active Routes:
>Откуда берется это 10.0.0.1 ? :wall:

Это нормально.

Или,скажу так: У МЕНЯ так же....

10.228.0.0    255.255.255.0       172.17.0.1      172.17.0.5       1

На Кошке (sh ip ro)


     172.17.0.0/32 is subnetted, 1 subnets
S       172.17.0.5 [1/0] via "ip клиента"

Все ходит



"Ты, кстати ЭТО поправил?"
Отправлено j_vw , 27-Окт-09 23:30 

access-list 1 permit 10.0.4.0 0.0.0.255
access-list 10 permit 10.0.16.0 0.0.0.255
access-list 150 permit ip 10.0.18.0 0.0.0.255 any


"У меня так работает:"
Отправлено AlexLine , 28-Окт-09 00:26 
>[оверквотинг удален]
>>вот такая байда теперь в route print на клиенте:
>>Active Routes:
>>Откуда берется это 10.0.0.1 ? :wall:
>
>Это нормально.
>
>Или,скажу так: У МЕНЯ так же....
>
> 10.228.0.0    255.255.255.0      
>172.17.0.1      172.17.0.5    

когда 172.17.0.5 - адрес впн клиента, а 172.17.0.1 - его GW - да, это нормально,
но когда 10.0.18.1 - адрес впн клиента, а 10.0.0.1 - его GW - это ИМХО не! нормально.

по поводу ACL:
Предложенный вами экстендед ацл - суть тоже что и мой 150тый.
но! я попробовал и так как у вас. фокус не удался, ничего не изменилось.
и все-таки проблема в GW ))


"Эта.... ;) "
Отправлено j_vw , 28-Окт-09 00:48 
>
>когда 172.17.0.5 - адрес впн клиента, а 172.17.0.1 - его GW -
>да, это нормально,
>но когда 10.0.18.1 - адрес впн клиента, а 10.0.0.1 - его GW
>- это ИМХО не! нормально.
>
>по поводу ACL:
>Предложенный вами экстендед ацл - суть тоже что и мой 150тый.

Ни разу ;)
Он у вас ОБРАТНЫЙ
не 10.0.18.0 0.0.0.255 any
Надо:
10 permit 10.0.16.0 0.0.0.255 аnу
20 permit 10.0.4.0 0.0.0.255 any

Это ПЕРЕДАЮЩИЕСЯ клиенту маршруты!!!


По NAT, переделайте:

access-list 1 permit 10.0.4.0 0.0.0.255
access-list 10 permit 10.0.16.0 0.0.0.255

НА:

на access-list ex nat1
deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255
permit 10.0.4.0 0.0.0.255 any


на access-list ex nat10
deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255
access-list 10 permit ip 10.0.16.0 0.0.0.255 any


Ну, и ip nat iside, соответственно....


>но! я попробовал и так как у вас. фокус не удался, ничего
>не изменилось.
>и все-таки проблема в GW ))

Это есть?:

crypto isakmp client configuration group YYYYYY
netmask 255.255.255.0

Все, ладно, до сегодня... ;)
Опубликуйте, еще раз Нынешний конфиг....


"Рука дрогнула. ;) "
Отправлено j_vw , 28-Окт-09 00:56 
>Ни разу ;)
>Он у вас ОБРАТНЫЙ
>не 10.0.18.0 0.0.0.255 any
>Надо:
>10 permit 10.0.16.0 0.0.0.255 аnу
>20 permit 10.0.4.0 0.0.0.255 any

permit ip 10.0.16.0 0.0.0.255 аnу
permit ip 10.0.4.0 0.0.0.255 any

>[оверквотинг удален]
>По NAT, переделайте:
>
>access-list 1 permit 10.0.4.0 0.0.0.255
>access-list 10 permit 10.0.16.0 0.0.0.255
>
>НА:
>
>на access-list ex nat1
>deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255
>permit 10.0.4.0 0.0.0.255 any

deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255
permit ip 10.0.4.0 0.0.0.255 any


>
>на access-list ex nat10
>deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255
>access-list 10 permit ip 10.0.16.0 0.0.0.255 any

deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255
permit ip 10.0.16.0 0.0.0.255 any


Можно, для начала, добавить в конце строчек log, чтобы видеть на экране (ter mon), куда пакеты попадают.



"Рука дрогнула. ;) "
Отправлено AlexLine , 28-Окт-09 01:59 
>[оверквотинг удален]
>>НА:
>>на access-list ex nat1
>>deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255
>>permit 10.0.4.0 0.0.0.255 any
>deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255
>permit ip 10.0.4.0 0.0.0.255 any
>>
>>на access-list ex nat10
>deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255
>permit ip 10.0.16.0 0.0.0.255 any

Спасибо, добрый человек, заработало!