Здравствуйте.
Я полный нуб во всякого рода vpn'ах, но из-за отсутствия нашего спеца по этим вопросам все взвалили на меня. В общем есть цисковский рутер в офисе, рабочий. Есть клиент вне офиса. Нужно, чтобы этот клиент мог через cisco vpn client соединятся с офисом и, пользуясь виндовской функцией удаленного рабочего стола, работать на нескольких офисных компьютерах.
В общем по статейке http://www.realcoding.net/article/view/4331 рутер я настроил. Программа vpn cliet устанавливает соединение с офисом, пинговать любую офисную машину снаружи можно, а вот делать ничего нельзя, соответственно даже удаленным рабочим столом на машинку офисную не законнектиться. Есть у меня глубокомысленное предположение, что все дело в каких-нибудь натах, который портят туннель. Значит в офисе нат (точнее даже пат) поднят на том же цисковском рутере, провайдером выдан один открытый фиксированный ip-адрес. Клиент сидит дома, тоже за натом. Там стоит обычный пользователький рутер, типа длинка или кого-то еще, который делает нат (именно натит, т.к. у него не бридж).
Вопрос.
Господа, объясните, в чем причина отсутвия нужной работы через vpn client? Правильно ли я понимаю, что проблема скорее всего в нате со стороны клиенты? Какой есть выход из подобной ситуации (как бы у клиента делать бридж нельзя на длинке, т.к. там тоже свой локалка домашняя и он выступает именно как рутер, а не как мост)?
Спасибо.
если пиг проходит от одной точки до другой, а подключится к определенному порту не получается, то возможно дело в acl , так что Вам надо показать конфиг, иначе ничего никто не поймет.
>если пиг проходит от одной точки до другой, а подключится к определенному
>порту не получается, то возможно дело в acl , так что
>Вам надо показать конфиг, иначе ничего никто не поймет.cisco#sh run
Building configuration...Current configuration : 5182 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cisco
!
boot-start-marker
boot-end-marker
!
enable secret 5 <password>
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login userauthen local
aaa authentication ppp default local
aaa authorization network default local
aaa authorization network groupauthor local
!
aaa session-id common
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.100.1 192.168.100.149
ip dhcp excluded-address 192.168.100.161 192.168.100.254
!
ip dhcp pool COMPANY
network 192.168.100.0 255.255.255.0
dns-server 192.168.100.110
domain-name domain.ru
default-router 192.168.100.1
!
!
ip cef
ip name-server 192.168.100.110
ip inspect name firewall tcp
ip inspect name firewall udp
ip inspect name firewall pop3
ip inspect name firewall esmtp
ip inspect name firewall icmp
ip inspect name firewall isakmp
!
username <user> privilege 15 secret 5 <password>
username <user1> password 0 <password>
!
!
ip ssh version 2
!
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 5
lifetime 3600
!
crypto isakmp policy 20
encr aes 256
authentication pre-share
group 2
crypto isakmp key <key> address <ip-адрес для ipsec>
!
crypto isakmp client configuration group vpnclient
key <key>
dns 192.168.100.110
domain domain.ru
pool ippool
!
!
crypto ipsec transform-set <name> ah-sha-hmac esp-aes 256 esp-sha-hmac
crypto ipsec transform-set vpnclients esp-aes 256 esp-sha-hmac
!
crypto ipsec profile <name>
set transform-set <name>
!
!
crypto dynamic-map dynmap 10
set transform-set vpnclients
reverse-route
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
!
!
interface Loopback0
ip address 172.16.250.1 255.255.255.0
ip nat inside
!
interface Loopback1
ip address 192.168.20.1 255.255.255.255
!
interface Tunnel0
ip address 172.29.113.1 255.255.0.0
shutdown
tunnel source <внешний ip-адрес>
tunnel destination <ip адрес для ipsec>
tunnel mode ipsec ipv4
tunnel protection ipsec profile name
!
interface Ethernet0
ip address 192.168.100.1 255.255.255.0
ip nat inside
ip inspect firewall in
fair-queue
!
interface Ethernet1
ip address <внешний ip-адрес> 255.255.255.252
ip access-group 100 in
ip nat outside
ip policy route-map VPN-Client
duplex full
crypto map clientmap
!
router rip
network 172.29.0.0
network 192.168.100.0
!
ip local pool ippool 172.16.251.1 172.16.251.3
ip local pool pptp 192.168.100.205 192.168.100.210
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 <шлюз>
no ip http server
no ip http secure-server
!
ip nat inside source list 1 interface Ethernet1 overload
ip nat inside source static tcp 192.168.100.110 25 <внешний ip-адрес> 25 extendable
ip nat inside source static tcp 192.168.100.110 53 <внешний ip-адрес> 53 extendable
ip nat inside source static udp 192.168.100.110 53 <внешний ip-адрес> 53 extendable
ip nat inside source static tcp 192.168.100.110 80 <внешний ip-адрес> 80 extendable
ip nat inside source static tcp 192.168.100.110 110 <внешний ip-адрес> 110 extendable
ip nat inside source static tcp 192.168.100.110 143 <внешний ip-адрес> 143 extendable
ip nat inside source static tcp 192.168.100.110 22 <внешний ip-адрес> 1022 extendable
ip nat inside source static tcp 192.168.100.10 22 <внешний ip-адрес> 1122 extendable
ip nat inside source static tcp 192.168.100.110 295 <внешний ip-адрес> 2525 extendable
!
access-list 1 permit 192.168.100.0 0.0.0.255
access-list 1 permit 172.16.250.0 0.0.0.255
access-list 1 permit 172.16.251.0 0.0.0.255
access-list 100 permit tcp any host <внешний ip-адрес> eq smtp
access-list 100 permit tcp any host <внешний ip-адрес> eq 2525
access-list 100 permit tcp any host <внешний ip-адрес> eq pop3
access-list 100 permit tcp any host <внешний ip-адрес> eq 143
access-list 100 permit tcp any host <внешний ip-адрес> eq domain
access-list 100 permit udp any host <внешний ip-адрес> eq domain
access-list 100 permit tcp any host <внешний ip-адрес> eq 22
access-list 100 permit tcp any host <внешний ip-адрес> eq 1022
access-list 100 permit tcp any host <внешний ip-адрес> eq 1122
access-list 100 permit icmp any any packet-too-big
access-list 100 permit udp any host <внешний ip-адрес> eq isakmp
access-list 100 permit esp any host <внешний ip-адрес>
access-list 100 permit ahp any host <внешний ip-адрес>
access-list 100 permit tcp any host <внешний ip-адрес> eq www
access-list 100 permit ip host <адрес с которого нужно коннектиться vpn-клиентом> any
access-list 110 permit ip 172.16.251.0 0.0.0.255 any
route-map VPN-Client permit 10
match ip address 110
set interface Loopback0
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
!
scheduler max-task-time 5000
endcisco#
Ну, мусора, ИМНО, много...И вам, точно, надо, чтобы клиент выходил в инет через ваш шлюз?
Если не надо, то:
По топологии, настройте, для начала Split tunnel для VPN клиента.
>
>!
>crypto isakmp client configuration group vpnclient
> key <key>
> dns 192.168.100.110
> domain domain.ru
> pool ippoolТут добавьте:
include-local-lan
netmask 255.255.255.0
И ACL для Split Tunnel
acl EasyVPN
ip access-list extended EasyVPN
permit ip 192.168.100.0 0.0.0.255 any
>!
>interface Loopback0
> ip address 172.16.250.1 255.255.255.0
> ip nat inside
>!
>interface Ethernet1
> ip address <внешний ip-адрес> 255.255.255.252
> ip access-group 100 in
> ip nat outside
> ip policy route-map VPN-ClientЭто вам зачем?
>!
>ip local pool ippool 172.16.251.1 172.16.251.3
>!
>ip nat inside source list 1 interface Ethernet1 overload
>!
>access-list 1 permit 192.168.100.0 0.0.0.255
>access-list 1 permit 172.16.250.0 0.0.0.255
>access-list 1 permit 172.16.251.0 0.0.0.255Поменяйте ACL на extended и уберите из ната клиента..
ip access-list extended to_nat
deny ip 192.168.100.0 0.0.0.255 172.16.251.0 0.0.0.255
permit ip 192.168.100.0 0.0.0.255 any>access-list 100 permit ip host <адрес с которого нужно коннектиться vpn-клиентом> any
Добавьте, вместо этого
access-list 100 permit udp any host any eq non500-isakmp
Может чего и упустил.....