День добрый! Имею следующую проблему:Есть железный Cisco Easy VPN mode client - хочу построить тунель от лупбека для внутрених адресов.
Имеем сетку LAN 192.168.32.0 255.255.248.0 адреса попадают в порт циски там натяться на Loopback0 от и надо их заставить уходить в построенный тунель - тут и проблема.
Конфиг
!
crypto ipsec client ezvpn VPN-MTSBU
connect auto
group **** key *****
mode client
peer 213.186.206.90
xauth userid mode interactive
!
!
archive
log config
hidekeys
!
!
!
!
!
interface Loopback0
ip address 10.0.0.254 255.255.255.255
ip nat outside
ip virtual-reassembly
crypto ipsec client ezvpn VPN-MTSBU inside
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address 192.168.33.120 255.255.248.0
ip nat inside
ip virtual-reassembly
ip policy route-map TO-MTSBU-map
duplex auto
speed auto
crypto ipsec client ezvpn VPN-MTSBU
!
interface Vlan1
no ip address
shutdown
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 192.168.33.1
!
!
ip nat inside source list TO-MTSBU-acl interface Loopback0 overload
!
ip access-list extended TO-MTSBU-acl
permit ip host 192.168.32.113 host 173.33.100.110
permit ip any host 173.33.100.110
!
!
!
!
route-map TO-MTSBU-map permit 10
match ip address TO-MTSBU-acl
set interface Loopback0
!
При пингах с машины 192.168.32.113 (gw 192.168.33.120 ) туннельного адреса 173.33.100.110 на железке
MTSBU(config)#do sh ip nat tran
Pro Inside global Inside local Outside local Outside global
icmp 10.0.0.254:1 192.168.32.113:1 173.33.100.110:1 173.33.100.110:1НАТ на лупбек работает
Туннел строиться
MTSBU(config)# do sh cry sess de
Crypto session current statusCode: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, X - IKE Extended Authentication
F - IKE FragmentationInterface: FastEthernet4
Uptime: 00:27:42
Session status: UP-ACTIVE
Peer: 213.186.206.90 port 4500 fvrf: (none) ivrf: (none)
Phase1_id: 213.186.206.90
Desc: (none)
IKE SA: local 192.168.33.120/4500 remote 213.186.206.90/4500 Active
Capabilities:CN connid:2005 lifetime:23:31:26
IPSEC FLOW: permit ip host 192.168.13.84 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 0 drop 0 life (KB/Sec) 4504012/27127
Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 4504012/27127
Но пакеты в тунель не уходят какие есть мнения?
Так... А команда
ping "сетка за сервером" source 10.0.0.254 проходит?
Нужные роуты клиенту передаются? (sh ip route).
Не хватает данных по топологии со стороны сервера....ip access-list extended TO-MTSBU-acl
permit ip host 192.168.32.113 host 173.33.100.110
permit ip any host 173.33.100.110Вот ЭТО немного странно выглядит...
ip access-list extended TO-MTSBU-acl
permit ip host 192.168.32.113 host 173.33.100.110
permit ip any host 173.33.100.110
Короче, рисуйте адресацию со стороны сервера и клиента, и кто-куда ходить должен...P.S. DMVPN не хотите попробовать?
>[оверквотинг удален]
>Не хватает данных по топологии со стороны сервера....
>
>ip access-list extended TO-MTSBU-acl
>permit ip host 192.168.32.113 host 173.33.100.110
>permit ip any host 173.33.100.110
>
>Вот ЭТО немного странно выглядит...
>ip access-list extended TO-MTSBU-acl
>permit ip host 192.168.32.113 host 173.33.100.110
>permit ip any host 173.33.100.110Дело с том что это не тривиальный site-to-site ВПН с внутренними и внешними адресами - если провести аналогию то это сродни Windows VPN. приведенная статистика показывает что ВПН соединение получает адрес 192.168.13.84 и ему разрешено ходить на любые ИП внутри тунеля.
IPSEC FLOW: permit ip host 192.168.13.84 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 0 drop 0 life (KB/Sec) 4504012/27127
Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 4504012/27127относительно ацл - этот лист просто отлавливает трифик приходящий на Fa4 по заданому привилу и направляет пакеты на Loopback поскольку дефаул роут смотрит на Fa4.
173.33.100.110 - IP который существует внутри тунеля вот только пакет в тунель никак попадать не хочет :(
>
>Дело с том что это не тривиальный site-to-site ВПН с внутренними и
>внешними адресами - если провести аналогию то это сродни Windows VPN.
>приведенная статистика показывает что ВПН соединение получает адрес 192.168.13.84 и ему
>разрешено ходить на любые ИП внутри тунеля.Это понятно.... ;)
>
Вы разбейте задачку то....
Сначала настройте клиента, чтоб работал (с конфигами из букваря), а потом уже трафик в соединение рулить будете...А по поводу аналогий... Если поднимаете с "точки" Windows версию клиента...работает?
P.S. Если не будет лениво, попробую вбить подобный конфиг в домашний стенд и посмотреть, что получится...(При условии, что Виндовый клиент у меня работает нормально).
Как я и говорил, попробовал забить конфиг на стенд.
В качестве "подопытной" 1861
В конфиге ни используется дополнительный Lo.
На сервере настроен Split Tunnel.Конфиг:
ip dhcp pool data
network 10.128.90.0 255.255.255.0
default-router 10.128.90.1
dns-server 10.128.90.1
!
!
crypto isakmp policy 71
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
!!
crypto ipsec client ezvpn VPN-MTSBU
connect auto
group GROUP key KEY
mode client
peer XXX.XXX.XXX.20
xauth userid mode interactive
!interface FastEthernet0/0
ip address dhcp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
crypto ipsec client ezvpn VPN-MTSBU
!
!
interface FastEthernet0/1/2
switchport access vlan 3
spanning-tree portfast
!!
interface Vlan3
description DATA INT
ip address 10.128.90.1 255.255.255.0
ip nat inside
ip virtual-reassembly
crypto ipsec client ezvpn VPN-MTSBU inside
!
ip nat inside source list TONAT interface FastEthernet0/0 overload
!
ip access-list extended TONAT
permit ip 10.128.90.0 0.0.0.255 any___________________________________________________________________________
Ввиду того, что стоит запрет сохранения пароля, даем команду:
Router#crypto ipsec client ezvpn xaut
Username: VASYA
Password:
Router#
Jun 27 11:27:42.067: %CRYPTO-6-EZVPN_CONNECTION_UP: (Client) User= Group=vpn_group1 Client_public_addr=192.168.1.2 Server_public_addr=XXX.XXX.XXX.20 Assigned_client_addr=172.30.0.8
Router#
Jun 27 11:27:42.975: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback10000, changed state to upRouter#sh crypto ipsec client ezvpn
Easy VPN Remote Phase: 8Tunnel name : VPN-MTSBU
Inside interface list: Vlan3
Outside interface: FastEthernet0/0
Current State: IPSEC_ACTIVE
Last Event: MTU_CHANGED
Address: 172.30.0.8 (applied on Loopback10000)
Mask: 255.255.255.255
Save Password: Disallowed
Split Tunnel List: 1
Address : 10.128.0.0
Mask : 255.255.0.0
Protocol : 0x0
Source Port: 0
Dest Port : 0
Router#sh crypto session
Crypto session current statusInterface: FastEthernet0/0
Session status: UP-ACTIVE
Peer: XXX.XXX.XXX.20 port 4500
IKE SA: local 192.168.1.2/4500 remote XXX.XXX.XXX.20/4500 Active
IPSEC FLOW: permit ip host 172.30.0.8 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
Router#sh ip routeGateway of last resort is 192.168.1.1 to network 0.0.0.0
172.30.0.0/32 is subnetted, 1 subnets
C 172.30.0.8 is directly connected, Loopback10000
C 10.128.90.0 is directly connected, Vlan3
C 192.168.1.0/24 is directly connected, FastEthernet0/0
S* 0.0.0.0/0 [254/0] via 192.168.1.1
Проверяем:
C клиентской машины:
ping www.ru
ping 10.128.0.54 (комп за "головной" кошкой)
Router#sh ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 172.30.0.8:512 10.128.90.2:512 10.128.0.54:512 10.128.0.54:512
icmp 192.168.1.2:512 10.128.90.2:512 194.87.0.50:512 194.87.0.50:512Как то так....