URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19963
[ Назад ]

Исходное сообщение
"vpn и раздача IP с внутренней сети. Вроде просто, но как?"

Отправлено wanton , 05-Ноя-09 20:08 
Здравствуйте!
Раньше никогда не настраивал vpn.
Была сеть 10.10.10.0/24.Теперь появились др. подсети с маской /28 побитой из 10.10.11.0
Настроил DNS,mail,icq, все работает, но.... их не видно в M$ "Сетевом окружении"
По поиску (по имени) в сет. окр. находятся.
Решил поднять vpn-канал - клиент (стандартный M$ ppptp WinXP) и PIX506[Version 6.3(5)] чтобы раздать IP из "своей" подсети и...
Объясните бестолковому. Зачем при присоединении к циско vpn-клиентам выдается
pool _не_из_внутренней сети!!!
во всех(?) примерах cisco.com схема (утрированно) такая
---inside(10.0.0.1)CISCO(172.17.0.1)---outside
                    |
                    |ip local pool vpnpool 192.168.1.1-192.168.1.254
Причем, ни DMZ ничего др. не прописано, не нарисовано и даже нет намека....                     
Когда vpn-клиент подкл. к cisco из сети 172.17.0.х и получит из пула адресс 192.168.1.1, что этот клиент может получить в сети 10.0.0.х!?!?!?!
Как правило, сервисы вн. сети принимают пакеты от _своей_подсети....
Нужно, чтобы vpn-клиент получал IP не из пула циско, а из radius (прочитал, что cisco pool затирает radius-pool)и из сети 10.10.10.0/24
У меня radius уже этим занимается с cisco 2621MX и 8-портовым аналоговым модулем. И все прекрасно.
А vpdn group не хочет работать без пула..Почему??? (Кстати "vpdn" это кто-то из цискарей ошибся и записал в IOS вместо vpnd vpdn :))
Ну и с натом до конца понимание не пришло :(
типа:
access-list 101 permit ip 10.0.0.0 255.255.255.0 192.168.1.0 255.255.255.0
ip local pool vpnpool 192.168.1.1-192.168.1.254
nat (inside) 0 access-list 101

делал так
---inside(10.0.0.1)CISCO(172.17.0.1)---outside
                    |
                    |ip local pool vpnpool 10.10.10.200-10.10.10.240
access-list nonat permit ip 10.0.0.0 255.255.255.0 10.10.0.0 255.255.255.0 !тут чушь полная :(
ip local pool vpnpool 10.10.10.200-10.10.10.240
nat (inside) 0 access-list nonat
надо натить из пула 10.10.10.200-10.10.10.240 из inside to outside ???
Недавно только начал читать про vpn.Уже мозг закипает и "каша" в голове.
Честно говоря, мне и шифровать то ничего не надо так-как сеть корпоративная и защищена сама по себе....
Просто подумал, если клиенты будут из подсети 10.10.10.0/24, то будут видется в M$ "Сет. окруж"
Никто с такой простой задачей не сталкивался? На cisco.com примеры какие то ... секурные(?)

Прилагаю куски, IMHO, значимых знач.(в ACL все убрал[разрешил] чтобы на них не грешить)
===============cut============================
acess-list inside_access_in permit ip any any
access-list inside_outbound_nat0_acl permit ip any any
access-list outside_inbound_nat0_acl permit ip any any
access-list nonat permit ip 10.10.10.0 255.255.255.0 10.10.10.0 255.255.255.0
ip address outside 10.10.200.114 255.255.255.252
ip address inside 10.10.10.17 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool VPN-POOL 10.10.10.200-10.10.10.230
nat (outside) 0 access-list outside_inbound_nat0_acl outside
nat (inside) 0 access-list inside_outbound_nat0_acl
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 10.10.200.113 1
vpdn group PPTP-VPDN-GROUP accept dialin pptp
vpdn group PPTP-VPDN-GROUP ppp authentication chap
vpdn group PPTP-VPDN-GROUP ppp authentication mschap
vpdn group PPTP-VPDN-GROUP ppp encryption mppe auto
vpdn group PPTP-VPDN-GROUP client configuration address local VPN-POOL
vpdn group PPTP-VPDN-GROUP client configuration dns IN_NS
vpdn group PPTP-VPDN-GROUP client configuration wins IN_NS
vpdn group PPTP-VPDN-GROUP client authentication aaa RADIUS
vpdn group PPTP-VPDN-GROUP client accounting RADIUS
vpdn group PPTP-VPDN-GROUP pptp echo 60
vpdn enable outside
vpdn enable inside ! для тестирования изнутри
===============end cut===================
Тестирую изнутри.
первое - адрес из пула берется но до freeradius не доходит :(
%PIX-6-603102: PPP virtual interface 1 - user: test  aaa authentication started
%PIX-6-109002: Auth from 0.0.0.0/0 to 10.10.10.200/0 failed (server 10.10.10.4 failed) on interface outside ! 10.10.10.4 - freeradius
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ не понимаю, что происходит :(^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
%PIX-6-603103: PPP virtual interface 1 - user: test  aaa authentication failed
%PIX-6-603104: PPTP Tunnel created, tunnel_id is 4, remote_peer_ip is 10.10.10.13, ppp_virtual_interface_id is 1, client_dynamic_ip is 0.0.0.0, username is test, MPPE_key_strength is None
%PIX-6-603105: PPTP Tunnel deleted, tunnel_id = 4, remote_peer_ip = 10.10.10.13

Понятно, что надо курить мануалы, man, how to etc на предмет nat acccess-list , просто уже я не то чтобы в отчаянии....

========================================
sh access-l
access-list outside_access_in line 2 permit ip any any (hitcnt=2229)
access-list inside_access_in; 1 elements
access-list inside_access_in line 1 permit ip any any (hitcnt=14934)
access-list inside_outbound_nat0_acl; 1 elements
access-list inside_outbound_nat0_acl line 1 permit ip any any (hitcnt=17331)
access-list outside_inbound_nat0_acl; 1 elements
access-list outside_inbound_nat0_acl line 1 permit ip any any (hitcnt=17206)
access-list nonat; 1 elements
access-list nonat line 1 permit ip 10.10.10.0 255.255.255.0 10.10.10.0 255.255.255.0

pixa# sh route
        outside 0.0.0.0 0.0.0.0 10.10.200.113 1 OTHER static
        inside 10.10.10.0 255.255.255.0 10.10.10.17 1 CONNECT static
        outside 10.10.200.112 255.255.255.252 10.10.200.114 1 CONNECT static

С nat (inside) 0 access-list nonat ругался. Убрал....
        
pixa# sh nat
nat (outside) 0 access-list outside_inbound_nat0_acl outside
nat (inside) 0 access-list inside_outbound_nat0_acl

ps Мне раньше ничего натить и не надо было...Общая сетка из 10.10.0.0/16
pps Немного сумбурно получилось...


Содержание

Сообщения в этом обсуждении
"vpn и раздача IP с внутренней сети. Вроде просто, но как?"
Отправлено j_vw , 05-Ноя-09 21:20 
>Здравствуйте!
>Раньше никогда не настраивал vpn.
>Была сеть 10.10.10.0/24.Теперь появились др. подсети с маской /28 побитой из 10.10.11.0
>
>Настроил DNS,mail,icq, все работает, но.... их не видно в M$ "Сетевом окружении"

А почему их должно быть видно? Учим мат-часть "как происходит обмен именами M$".

>
>По поиску (по имени) в сет. окр. находятся.
>Решил поднять vpn-канал - клиент (стандартный M$ ppptp WinXP) и PIX506[Version 6.3(5)]
>чтобы раздать IP из "своей" подсети и...
>Объясните бестолковому. Зачем при присоединении к циско vpn-клиентам выдается
>pool _не_из_внутренней сети!!!

А как, по вашему, кошка отличит "внутреннего" клиента от "внешнего"? В куда пакет посылать?


/////КУСЬ//////
>pps Немного сумбурно получилось...

/////КУСЬ//////

Выделите подсети, настройте рутинг между ними.
Если хотите разрешения имен M$, то используйте WINS или AD .



"vpn и раздача IP с внутренней сети. Вроде просто, но как?"
Отправлено wanton , 05-Ноя-09 22:38 
>>Здравствуйте!
>>Раньше никогда не настраивал vpn.
>>Была сеть 10.10.10.0/24.Теперь появились др. подсети с маской /28 побитой из 10.10.11.0
>>
>>Настроил DNS,mail,icq, все работает, но.... их не видно в M$ "Сетевом окружении"
>
>А почему их должно быть видно? Учим мат-часть "как происходит обмен именами
>M$".

Вы хотите сказать про бродкасты , кот. не маршрутиризируются?

>>По поиску (по имени) в сет. окр. находятся.
>>Решил поднять vpn-канал - клиент (стандартный M$ ppptp WinXP) и PIX506[Version 6.3(5)]
>>чтобы раздать IP из "своей" подсети и...
>>Объясните бестолковому. Зачем при присоединении к циско vpn-клиентам выдается
>>pool _не_из_внутренней сети!!!
>
>А как, по вашему, кошка отличит "внутреннего" клиента от "внешнего"? В куда
>пакет посылать?

Я не силен в маршрутизации, нате, но
Если в пакете IP из пула, то пакет для внешнего клиента...И надо перенаправлять....

>Выделите подсети, настройте рутинг между ними.

Задумался... В настоящий момент все подсети пингуются. и по имени тоже(DNS работает).В сервисах icq ftp www mail подсеть 10.10.11.0 прописана.Доступ есть. Вроде бы все работает.
Нет только их в M$ сет.окр. :(
Из-за этого и все эти бессмысленные телодвижения...

>Если хотите разрешения имен M$, то используйте WINS или AD .

В том то и дело, что эпопея началась после того как samba as PDC, работающая в домене как
доменный браузер и как локальн. для своей "группы" не смогла видеть из др. сети. Вроде бы понятно. (опять реж. броткасты).
Просто у самбы, являющейся и WINS в wins.dat есть все эти компы и группы из "чужой" подсети!
Что мешает их занести в самбовский browser.dat я не понимаю.
В каждой подсети поднимать wins?
Я не смог "увидеть" самбой и решил "увидеть" ч\з VPN.
Не судьба?

зы спасибо за участие.


j_vw подскажите возможно, чтобы vpn-клиенты получили адреса из внутр. подсети?