Вечер добрый!
Проблема такая - есть циско1811, позади нее, в локалке, находится сервер VPN. Достучаться до него не получается. Хотя порт 1723 проброшен и гре разрешен. При попытке соединения процесс доходит до проверки пользователя\пароля и задумывается на пару минут, после чего выдаёт ошибку 806. С сервером проблем нет - локально раздаёт соединения. А вот через циску ни в какую.
Конфиг кошки предоставляю
Current configuration : 16358 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname CISCO
!
boot-start-marker
boot-end-marker
!
logging buffered 256000 warnings
enable secret 5 $1$CmrU$IA2Odw4H.1/h3No5HpjsM1
!
aaa new-model
!
!
!
aaa session-id common
!
resource policy
!
no ip source-route
no ip gratuitous-arps
!
!
ip cef
!
!
no ip bootp server
no ip domain lookup
ip sla 1
icmp-echo 87.250.251.11
timeout 2000
threshold 40
frequency 15
ip sla schedule 1 life forever start-time now
!
!
!
no spanning-tree vlan 1
username admin privilege 15 secret 5 $1$4ptu$/3Bv8RpiVTKqTCAtchJ80.
!
!
track 11 rtr 1 reachability
delay down 30
!
!
!
!
!
interface Tunnel1
ip address 192.168.4.1 255.255.255.252
ip mtu 1460
tunnel source FastEthernet0
tunnel destination Z.Z.Z.Z
tunnel mode ipip
tunnel checksum
!
interface Tunnel2
ip address 192.168.5.1 255.255.255.252
ip mtu 1460
tunnel source FastEthernet1
tunnel destination Z.Z.Z.Z
tunnel mode ipip
tunnel checksum
!
interface FastEthernet0
description LINK-TO-ISP1
ip address X.X.X.X 255.255.255.248
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet1
description LINK-to-ISP2
ip address Y.Y.Y.Y 255.255.255.248
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface FastEthernet9
!
interface Vlan1
ip address 192.168.111.10 255.255.255.0
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
!
interface Async1
no ip address
encapsulation slip
!
ip route 0.0.0.0 0.0.0.0 X.X.X.X1 track 11
ip route 192.168.50.0 255.255.255.0 192.168.4.2 track 11
ip route 192.168.2.0 255.255.255.0 192.168.4.2 track 11
ip route 192.168.1.0 255.255.255.0 192.168.4.2 track 11
ip route 0.0.0.0 0.0.0.0 Y.Y.Y.Y1 50
ip route 87.250.251.11 255.255.255.255 X.X.X.X1
ip route 192.168.1.0 255.255.255.0 192.168.5.2 50
ip route 192.168.2.0 255.255.255.0 192.168.5.2 50
ip route 192.168.50.0 255.255.255.0 192.168.5.2 50
!
!
no ip http server
no ip http secure-server
ip nat inside source route-map ISP1 interface FastEthernet0 overload
ip nat inside source route-map ISP2 interface FastEthernet1 overload
ip nat inside source static tcp 192.168.111.178 1723 Y.Y.Y.Y 1723 route-map ISP2 extendable
ip nat inside source static tcp 192.168.111.178 1723 X.X.X.X 1723 route-map ISP1 extendable
!
access-list 88 permit 192.168.111.0 0.0.0.255
access-list dynamic-extended
no cdp run
!
!
!
route-map ISP1 permit 10
match ip address 88
match interface FastEthernet0
!
route-map ISP2 permit 10
match ip address 88
match interface FastEthernet1
!
end
возможно что-то с роут-мапами, по моему они там не нужныу меня работает проброс VPN следующим образом:
ip nat inside source static tcp 172.25.1.1 1723 195.XX.XX.XX 1723 extendable
а маршрутизацию по источнику я сделал так:
route-map SLA permit 10
match ip address SLA1
set ip next-hop (на ISP1)
set interface Dialer1
!
route-map SLA permit 20
match ip address SLA2
set ip next-hop (на ISP2)
set interface FastEthernet0/1
!ip access-list standard SLA1
permit (адреса ISP1)
ip access-list standard SLA2
permit (адреса ISP2)!
ip local policy route-map SLA
> возможно что-то с роут-мапами, по моему они там не нужны
> у меня работает проброс VPN следующим образом:
> ip nat inside source static tcp 172.25.1.1 1723 195.XX.XX.XX 1723 extendableпереписал проброс без роут-мапа - всё заработало. Спасибо огромное :)
>[оверквотинг удален]
> !
> route-map ISP1 permit 10
> match ip address 88
> match interface FastEthernet0
> !
> route-map ISP2 permit 10
> match ip address 88
> match interface FastEthernet1
> !
> end
интересные правила у тебя получаются)) ты же ничего ими не разруливаешь...
сделай тогда так:
route-map ISP1 permit 10
match ip address 88
match interface FastEthernet0
!
route-map ISP2 permit 10
match ip address 99
match interface FastEthernet1
access-list 88 permit (ip от ISP1)
access-list 99 permit (ip от ISP2)
и зачем кстати access-list dynamic-extended ?