URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 21197
[ Назад ]

Исходное сообщение
"Cisco 1841 - VDPN (pptp - client) + NAT: проблемы с роутингом."

Отправлено sadko812 , 21-Июн-10 13:45 
Всем доброго времени суток.

есть cisco1841 - 2 физ.интерфейса.
Один смотрит внутрь(Fe0/0) подсеть 192.168.1.0
второй - наружу, в сеть провайдера (Fe0/1)xxx.xxx.xxx.10

встала задача поднять на циске ВПН-клиент чтобы несколько windows-клиентов могли коннектиться в сеть 192.168.58.0.

с циски коннект есть, sh vpdn показывает, что туннель и сессия установлены.
но с клиентов никак не подключиться: если в интерфейсе dialer0 прописываю nat outside, сам интерфейс престает пинговаться.  
фаер отключил,  - по ходу что-то с роутингом и NAT: как бы прописать, чтобы, к пирмеру клиенты с машин 192.168.1.222 и 192.168.1.223 могли одновременно ходить в интернет через провайдера, в локальную сеть и в сеть через впн???  

Помогите! Вынос мозга!  

конфиг:


!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service internal
!
hostname cisco1841
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings
!
aaa new-model
!
!
aaa authentication login default local
!
!
aaa session-id common
dot11 syslog
ip source-route
no ip gratuitous-arps
!
!
no ip dhcp conflict logging
ip dhcp excluded-address 192.168.1.250
!
ip dhcp pool dc
   host 192.168.1.50 255.255.255.0
   client-identifier 0100.1517.6461.24
   dns-server 192.168.1.143 192.168.1.50
   default-router 192.168.1.133
   domain-name v_pupkin.ru
!
ip dhcp pool v_pupkin.ru
   network 192.168.1.0 255.255.255.0
   default-router 192.168.1.133
   dns-server 192.168.1.50
!
!
!
ip cef
no ip domain lookup
ip domain name v_pupkin.ru
ip name-server xxx.xxx.xxy.10
ip multicast-routing
no ipv6 cef
!
multilink bundle-name authenticated
!
vpdn enable
!
vpdn-group 1
request-dialin
  protocol pptp
  rotary-group 0
initiate-to ip yyy.yyy.yyy.yyy
!
vpdn-group vpn
!

parameter-map type urlfpolicy local global_policy
allow-mode on
parameter-map type urlf-glob urlfilter_param
pattern vkontakte.ru
pattern *.vkontakte.ru

parameter-map type urlf-glob urlfilter_param_allowed
pattern *

!
!
!
!
username admin privilege 15 secret 5 $1$125F$Oc4ofCWPqfQDWsIApNsWF/
username cisco privilege 15
archive
log config
  hidekeys
!
!
!
!
!
ip ssh authentication-retries 5
ip ssh version 2
!
class-map type inspect match-any to_lan
match access-group name guests
class-map type inspect match-any from_lan
match access-group name from_lan
class-map type inspect match-all inet_users
match protocol http
match access-group name inet_users_filtered
class-map type urlfilter match-any blacklist_class
match  server-domain urlf-glob urlfilter_param
class-map type urlfilter match-any whitelist_class
match  server-domain urlf-glob urlfilter_param_allowed
class-map type inspect match-all vpn_class
match access-group name vpn_servers
!
!
policy-map type inspect vpn_policy
class type inspect vpn_class
  inspect
class class-default
  drop
policy-map type inspect urlfilter urlf_policy
class type urlfilter blacklist_class
  log
  reset
class type urlfilter whitelist_class
  allow
policy-map type inspect from_lan_policy
class type inspect inet_full
  inspect
class type inspect inet_users
  inspect
  service-policy urlfilter urlf_policy
class type inspect from_lan
  inspect
class class-default
  drop
policy-map type inspect to_lan_policy
class type inspect to_lan
  inspect
class class-default
  drop
!
zone security inside_zone
zone security outside_zone
zone security vpn
zone-pair security inside_to_outside source inside_zone destination outside_zone
service-policy type inspect from_lan_policy
zone-pair security outside_to_inside source outside_zone destination inside_zone
service-policy type inspect to_lan_policy
zone-pair security inside_to_vpn source inside_zone destination vpn
service-policy type inspect vpn_policy
!
!
!
interface Loopback0
ip address 192.168.0.1 255.255.255.0
!
interface FastEthernet0/0
description $ETH-SW-LAUNCH$$INTF-INFO-FE 0$
ip address 192.168.1.133 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
description $ES_LAN$
ip address xxx.xxx.xxx.10 255.255.255.0
ip nbar protocol-discovery
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Dialer0
ip address negotiated
ip pim dense-mode
ip nat enable
ip virtual-reassembly
encapsulation ppp
dialer in-band
dialer idle-timeout 0
dialer string 111
dialer vpdn
dialer-group 1
no cdp enable
ppp pfc local request
ppp pfc remote apply
ppp encrypt mppe auto
ppp chap hostname Sokolov_VA
ppp chap password 7 09681E05490E1141
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 213.170.103.9
ip route 192.168.58.0 255.255.255.0 Dialer0
ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
!
!
ip nat log translations syslog
ip nat translation pptp-timeout never
ip nat inside source list 1 interface FastEthernet0/1 overload
ip nat inside source static tcp 192.168.1.51 3389 interface FastEthernet0/1 3389
ip nat inside source static tcp 192.168.1.250 25 interface FastEthernet0/1 25
ip nat inside source static tcp 192.168.1.50 443 interface FastEthernet0/1 443
ip nat inside source static tcp 192.168.1.250 110 interface FastEthernet0/1 110
ip nat inside source static 192.168.1.222 192.168.56.43 route-map to_gis
!
ip access-list standard vpn_servers
permit 192.168.58.0 0.0.0.255
!
ip access-list extended from-lan
permit tcp any any eq pop3
permit tcp any any
permit ip any any
ip access-list extended from_lan
permit udp any any eq domain
permit udp any any eq ntp
permit icmp any any echo
permit icmp any any echo-reply
permit icmp any any source-quench
permit icmp any any packet-too-big
permit icmp any any time-exceeded
permit tcp any any eq www
permit tcp host 192.168.1.201 any eq 3389
permit tcp host 192.168.1.222 any eq 3389
permit tcp host 192.168.1.201 any eq 3389 established
permit tcp host 192.168.1.222 any eq 3389 established
permit tcp host 192.168.1.201 any eq 5938 established
permit tcp host 192.168.1.80 any eq 5938 established
permit tcp host 192.168.1.93 any eq 5938 established
permit tcp host 192.168.1.59 any eq 5938 established
permit tcp host 192.168.1.68 any eq 5938 established
permit tcp host 192.168.1.98 any eq 5938 established
permit tcp any any eq 1959 established
permit tcp any any eq 1961 established
permit tcp host 192.168.1.10 any eq 1024 established
permit tcp any any eq pop3
permit tcp any any eq 69
permit tcp any any eq 69 established
permit tcp any any eq 1723
permit tcp any any eq 443
permit tcp any any eq 587
permit tcp any any eq 995
permit tcp any host 91.103.153.27 eq 30586
permit tcp any any eq 47
permit gre any any
permit ip any any
permit tcp host 192.168.1.250 any eq smtp
ip access-list extended guests
permit tcp host 195.189.83.63 any eq 3389 www
permit tcp host 93.81.243.45 any eq 3389 www
permit tcp host 84.52.80.52 any eq 3389 www
permit tcp host 195.189.83.63 any eq 3389 www established
permit tcp host 93.81.243.45 any eq 3389 www established
permit tcp host 84.52.80.52 any eq 3389 www established
permit tcp host 93.81.243.76 any established
permit tcp host 93.100.31.195 any eq 3389 www established
permit tcp host 82.140.75.11 any eq 3389 www established
permit tcp host 93.100.57.196 any eq 3389 www established
permit tcp host 89.179.125.204 any established
permit tcp any any eq smtp
permit tcp any any eq 1723
permit tcp any any eq 47
permit gre any any
permit tcp any any eq 1024
permit ip any any
ip access-list extended inet_users
deny   tcp host 192.168.1.222 any eq www
deny   tcp host 192.168.1.201 any eq www
deny   tcp host 192.168.1.53 any eq www
deny   tcp host 192.168.1.253 any eq www
deny   tcp host 192.168.1.41 any eq www
deny   tcp host 192.168.1.222 any eq 443
deny   tcp host 192.168.1.201 any eq 443
deny   tcp host 192.168.1.53 any eq 443
deny   tcp host 192.168.1.253 any eq 443
deny   tcp host 192.168.1.41 any eq 443
permit tcp any any eq www
ip access-list extended inet_users_filtered
deny   tcp host 192.168.1.222 any eq www
permit ip any any
ip access-list extended test
permit tcp host 192.168.2.222 any
permit icmp host 192.168.2.222 any
ip access-list extended to_gis
permit ip 192.168.1.0 0.0.0.255 192.168.58.0 0.0.0.255
ip access-list extended to_lan
permit tcp host 195.189.83.63 any eq 3389 5938
permit tcp host 93.81.243.45 any eq 3389 5938
permit tcp host 84.52.80.52 any eq 3389 5938
permit tcp host 93.81.243.76 any eq 3389 5938
permit tcp host 93.100.31.195 any eq 3389 5938
permit tcp host 89.179.125.204 any eq 3389 5938
permit tcp any any eq 443
permit tcp any any eq 1024
permit udp any any eq domain
permit udp any any eq ntp
permit icmp any any echo
permit icmp any any echo-reply
permit icmp any any source-quench
permit icmp any any packet-too-big
permit icmp any any time-exceeded
permit tcp any any eq www
permit tcp any any eq smtp
permit tcp any any eq 5938
permit tcp any any eq pop3
permit tcp any any eq 995
permit tcp any any eq 1959
permit tcp any any eq 1961
permit tcp any any eq 30586
permit tcp any any eq 1723
permit tcp any any eq telnet
ip access-list extended vpn
permit ip any any
!
logging 208.87.33.151
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 2 permit 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit
!
!
!
!
!
!
!
!
control-plane
!
!
banner exec  
% Password expiration warning.
-----------------------------------------------------------------------

-----------------------------------------------------------------------

banner login  
-----------------------------------------------------------------------
-----------------------------------------------------------------------

!
line con 0
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
transport input telnet ssh
line vty 5 15
access-class 23 in
privilege level 15
transport input telnet ssh
!
scheduler allocate 20000 1000
end



Содержание

Сообщения в этом обсуждении
"Cisco 1841 - VDPN (pptp - client) + NAT: проблемы с роутингом."
Отправлено Николай , 21-Июн-10 15:32 
Это решаеться с помощью Split Tunnel но данная фишка не поддерживаеться в реализации Виндовых VPN клиентов (есть она в Easy VPN), поэтому есть 2 варианта решения проблемы:
1. На компах статикой рисуем какие пакеты уходяят в тунель а какие в инет.
2. На удаленном ВПН сервере (если есть доступ) натим ИП/пул под которым ходим по ВПН - короче инет будет даваться удаленной стороной через удаленный шлюз - ессественно с всеми вытекающими последствиями (ширина канала и т.д.)

"Cisco 1841 - VDPN (pptp - client) + NAT: проблемы с роутингом."
Отправлено sadko812 , 21-Июн-10 15:40 
>Это решаеться с помощью Split Tunnel но данная фишка не поддерживаеться в
>реализации Виндовых VPN клиентов (есть она в Easy VPN), поэтому есть
>2 варианта решения проблемы:
>1. На компах статикой рисуем какие пакеты уходяят в тунель а какие
>в инет.
>2. На удаленном ВПН сервере (если есть доступ) натим ИП/пул под которым
>ходим по ВПН - короче инет будет даваться удаленной стороной через
>удаленный шлюз - ессественно с всеми вытекающими последствиями (ширина канала и
>т.д.)

ВПН клиент уже поднят на циске. с нее устанослена сессия с впн-сервером и даже пингуется удаленная подсеть. вопрос в том, чтобы через цискин туннель ходили пользователи в локальной сети и чтобы у них еще и интернет был через сетку провайдера. сорри, если я не очень понятно описал проблему .


"Cisco 1841 - VDPN (pptp - client) + NAT: проблемы с роутингом."
Отправлено Николай , 21-Июн-10 16:17 
так, у тебя сама cisco являеться pptp - client-ом тогда попробуй сделать следующее

1. создай ацл
ip access-list extended TO-VPN
permit 192.168.1.0 0.0.0.255 <IP удаленной сети>
...

2. на interface Dialer0 добавь ip nat outside

3. Допиши ip nat inside source list TO-VPN interface Dialer0 overload
4. Допиши маршрут ip route <IP удаленной сети> dialer 0

5. На всякий случай (хотя должно маршрутизацией уже разрулиться) измени свой стандартный ацл для ната на расширенный и добавь первой строчкой
deny ip 192.168.1.0 0.0.0.255 <IP удаленной сети> - это правило запрещает натить и выпускать пакеты через НАТ для ИНЕТА.
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255
6. Не забудь про нат для ИНЕТА.
Дальше писать не буду просто влом все набирать - действия должны быть логически подкреплены и все получиться.


"Cisco 1841 - VDPN (pptp - client) + NAT: проблемы с роутингом."
Отправлено sadko812 , 21-Июн-10 16:54 
>[оверквотинг удален]
>
>5. На всякий случай (хотя должно маршрутизацией уже разрулиться) измени свой стандартный
>ацл для ната на расширенный и добавь первой строчкой
>deny ip 192.168.1.0 0.0.0.255 <IP удаленной сети> - это правило запрещает натить и выпускать пакеты через НАТ для ИНЕТА.
>access-list 1 permit 192.168.2.0 0.0.0.255
>access-list 1 permit 192.168.1.0 0.0.0.255
>access-list 1 permit 192.168.2.0 0.0.0.255
>6. Не забудь про нат для ИНЕТА.
>Дальше писать не буду просто влом все набирать - действия должны быть
>логически подкреплены и все получиться.

Коля, все получилось! все дело было в ACL deny ip 192.168.1.0 0.0.0.255 <IP удаленной сети> . Респект!


"Cisco 1841 - VDPN (pptp - client) + NAT: проблемы с роутингом."
Отправлено sadko812 , 21-Июн-10 16:59 
>[оверквотинг удален]
>>ацл для ната на расширенный и добавь первой строчкой
>>deny ip 192.168.1.0 0.0.0.255 <IP удаленной сети> - это правило запрещает натить и выпускать пакеты через НАТ для ИНЕТА.
>>access-list 1 permit 192.168.2.0 0.0.0.255
>>access-list 1 permit 192.168.1.0 0.0.0.255
>>access-list 1 permit 192.168.2.0 0.0.0.255
>>6. Не забудь про нат для ИНЕТА.
>>Дальше писать не буду просто влом все набирать - действия должны быть
>>логически подкреплены и все получиться.
>
>Коля, все получилось! все дело было в ACL deny ip 192.168.1.0 0.0.0.255 <IP удаленной сети> . Респект!

мой ящик k12at2@gmail.com прошу отпишись - скромная награда должна найти героя! ;)