Здравствуйте.Возможно ли реализовать следующее.Имется VPN pptp.Все работает на на клиентских местах необходимо прописывать маршруты.Возможно ли настроить так,чтобы маршруты приходили вместе с vpn.
vpdn enable
!
vpdn-group VPDN-PPTP
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
pptp tunnel echo 10
ip pmtu
ip mtu adjustinterface Virtual-Template1
ip unnumbered Loopback0
ip nat inside
ip virtual-reassembly
autodetect encapsulation ppp
peer ip address forced
peer default ip address pool POOL-PPTP
ppp encrypt mppe auto
ppp authentication ms-chap-v2interface Loopback0
description - LO-PPTP -
ip address 172.16.0.1 255.255.255.255
ip virtual-reassemblyБуду благодарен за любой совет.
>[оверквотинг удален]
> autodetect encapsulation ppp
> peer ip address forced
> peer default ip address pool POOL-PPTP
> ppp encrypt mppe auto
> ppp authentication ms-chap-v2
> interface Loopback0
> description - LO-PPTP -
> ip address 172.16.0.1 255.255.255.255
> ip virtual-reassembly
> Буду благодарен за любой совет.Проанонсите сеть POOL-PPTP да и все
>[оверквотинг удален]
>> peer ip address forced
>> peer default ip address pool POOL-PPTP
>> ppp encrypt mppe auto
>> ppp authentication ms-chap-v2
>> interface Loopback0
>> description - LO-PPTP -
>> ip address 172.16.0.1 255.255.255.255
>> ip virtual-reassembly
>> Буду благодарен за любой совет.
> Проанонсите сеть POOL-PPTP да и всеНиколай, можно поподробнее?
>[оверквотинг удален]
>>> peer default ip address pool POOL-PPTP
>>> ppp encrypt mppe auto
>>> ppp authentication ms-chap-v2
>>> interface Loopback0
>>> description - LO-PPTP -
>>> ip address 172.16.0.1 255.255.255.255
>>> ip virtual-reassembly
>>> Буду благодарен за любой совет.
>> Проанонсите сеть POOL-PPTP да и все
> Николай, можно поподробнее?В асе выдача маршрута в сторону клиента настраивается, насчет рутеров что-то не припомню, придется прописывать вручную, а так если маршрут лень писать каждому, тогда можно решить вариант натом.
если нужно подсунуть юзеру маршрут на не относящиеся роутеры к ВПН то это невозможно. Единственное что может _НЕМНОЖКО_ помочь - это выдача роутов с DHCP сервера, но там есть свои ограничения - максимум порядка 30 маршрутов отдать можно.Если ВПН используете для раздачи инета, то лучше отказаться от такого гемора и чем раньше это произойдет - тем проблем будет меньше :)
Натить\форвардить\извращаться через туннель приведет к аховой нагрузке на ВПН сервер, что рано или поздно вынудить разносить ВПН на 2 и более серверов.
> если нужно подсунуть юзеру маршрут на не относящиеся роутеры к ВПН то
> это невозможно. Единственное что может _НЕМНОЖКО_ помочь - это выдача роутов
> с DHCP сервера, но там есть свои ограничения - максимум порядка
> 30 маршрутов отдать можно.
> Если ВПН используете для раздачи инета, то лучше отказаться от такого гемора
> и чем раньше это произойдет - тем проблем будет меньше :)
> Натить\форвардить\извращаться через туннель приведет к аховой нагрузке на ВПН сервер,
> что рано или поздно вынудить разносить ВПН на 2 и более
> серверов.Настроить динамическую маршрутизацию (EIGRP если можно, RIP в крайнем случае)
> Настроить динамическую маршрутизацию (EIGRP если можно, RIP в крайнем случае)Я так понял автору нужно обычным юзерам маршруты давать, собственно если простой юзер не знает как добавить маршрут в винде, то демоны динамической маршрутизации тем более будут не по зубам им :)
>> Настроить динамическую маршрутизацию (EIGRP если можно, RIP в крайнем случае)
> Я так понял автору нужно обычным юзерам маршруты давать, собственно если простой
> юзер не знает как добавить маршрут в винде, то демоны динамической
> маршрутизации тем более будут не по зубам им :)Винда RIP поддерживает
> Здравствуйте.Возможно ли реализовать следующее.Имется VPN pptp.Все работает на на клиентских
> местах необходимо прописывать маршруты.Возможно ли настроить так,чтобы маршруты приходили
> вместе с vpn.
> peer default ip address pool POOL-PPTPесли это заменить на выдачу адресов с помощью DHCP, то можно с помощью options 249 и 121 передать маршруты.
например в Virtual-Template пишем
peer default ip address dhcp
поднимаем на Cisco DHCP и в настройках пула пишем:
ip dhcp pool PPTP
network 10.0.10.0 255.255.255.0
default-router 10.0.10.1
domain-name vpdn.local
dns-server 10.0.1.2
option 249 hex 180a.0001.0a00.0a01
option 121 hex 180a.0001.0a00.0a01
в двух последних строках закодированы маршруты, которые отдавать клиенту, у клиента, к примеру, можно снять галочку в настройках соединения "шлюз по умолчанию" и клиент останется со своим интернетом, но с помощью option 121 и 249 получит маршруты внутрь подключенной VPN-ом сети. Как кодировать маршруты описано здесь - http://ftp.isc.org/isc/dhcp/draft-ietf-dhc-csr-06.txt. В приведённом выше примере клиенту отдаётся маршрут на сеть 10.0.1.0/24 через 10.0.10.1. Две опции используем потому, что в разных реализациях DHCP_клиента в разных версиях windows и Linux параметры берутся из разных option.
Немного не соглашусь, задействовать опции сервера это конечно вариант, но там есть лимит на 20-30 маршрутов, что не всем хватит и выдача недостижимого маршрута будет проигнорирована системой. Переполучить маршруты после поднятия ВПНа несколько бредовая затея, еще более бредовая - снять галку про удаленный шлюз, ибо тот юзер который понимает про что идет речь - без галки и псевдоавтоматики обойдется, а тот который не понимает - потенциальный дрочер (прошу прощение) службы ТП :) зачем создавать себе лишний геморрой..?имхо ВПН в качестве авторизилки (защищалки, отключалки итд) в сетях провайдера - лишний таракан который заставляет искажать представления о нормальной маршрутизации и лишний напрягатор ТП.
> Немного не соглашусь, задействовать опции сервера это конечно вариант, но там есть
> лимит на 20-30 маршрутов, что не всем хватит и выдача недостижимого
> маршрута будет проигнорирована системой. Переполучить маршруты после поднятия ВПНа несколько
> бредовая затея, еще более бредовая - снять галку про удаленный шлюз,
> ибо тот юзер который понимает про что идет речь - без
> галки и псевдоавтоматики обойдется, а тот который не понимает - потенциальный
> дрочер (прошу прощение) службы ТП :) зачем создавать себе лишний геморрой..?
> имхо ВПН в качестве авторизилки (защищалки, отключалки итд) в сетях провайдера -
> лишний таракан который заставляет искажать представления о нормальной маршрутизации и
> лишний напрягатор ТП.Ситуации бывают разные. Например мне нужно дать внешним ВПН-клиентам (удалённым сотрудникам офиса, клиентам) доступ только к нескольким хостам в моей сети не мешая им работать в инетернете. Если не снять галку про удалённый шлюз, то мне прийдётся весь их инет трафик выпускать через свой канал наружу, либо у них получится работать только с моими хостами и не иметь доступа в интернет, пока они не разорвут соединение. А так я им передаю опциями сервера нужные маршруты и вопрос закрыт - инет у них через провайдерский дефолт, мои хосты через отданные при коннекте маршруты.
Мне так думается, что если разработчики протокола DHCP предусмотрели вариант передачи маршрутов опциями сервера, то им это не казалось бредом, а было реализовано как полезная фича. Уважаем.
если говорить про администрируемую сеть в т.ч. и абонентские терминалы - то да, это достаточно удобно, а вот если про физически недоступные администратору юзерские места, то это головная боль.
> если это заменить на выдачу адресов с помощью DHCP, то можно с помощью options 249 и 121 передать маршруты.Каким образом хост получит эти данные по PPP/IPCP? Есть какое-то расширение протокола, поддерживаемое виндой?
>> если это заменить на выдачу адресов с помощью DHCP, то можно с помощью options 249 и 121 передать маршруты.
> Каким образом хост получит эти данные по PPP/IPCP? Есть какое-то расширение протокола,
> поддерживаемое виндой?Все, разобрался. Виндовые клиенты после установки PPP соединения еще пытаются по DHCP получить дополнительные параметры, тут DHCP пул и используется.
>[оверквотинг удален]
> option 249 hex 180a.0001.0a00.0a01
> option 121 hex 180a.0001.0a00.0a01
> в двух последних строках закодированы маршруты, которые отдавать клиенту, у клиента, к
> примеру, можно снять галочку в настройках соединения "шлюз по умолчанию" и
> клиент останется со своим интернетом, но с помощью option 121 и
> 249 получит маршруты внутрь подключенной VPN-ом сети. Как кодировать маршруты описано
> здесь - http://ftp.isc.org/isc/dhcp/draft-ietf-dhc-csr-06.txt. В приведённом выше
> примере клиенту отдаётся маршрут на сеть 10.0.1.0/24 через 10.0.10.1. Две опции
> используем потому, что в разных реализациях DHCP_клиента в разных версиях windows
> и Linux параметры берутся из разных option.в цисках не особо шарю, но потребовалась такая же возможность. Подскажите, у Вас 10.0.10.1 - дефолт роутер, где еще прописан? Можете выложить весь конфиг?
> в цисках не особо шарю, но потребовалась такая же возможность. Подскажите, у
> Вас 10.0.10.1 - дефолт роутер, где еще прописан? Можете выложить весь
> конфиг?interface Loopback0
ip address 10.0.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip ospf network point-to-point
>> в цисках не особо шарю, но потребовалась такая же возможность. Подскажите, у
>> Вас 10.0.10.1 - дефолт роутер, где еще прописан? Можете выложить весь
>> конфиг?
> interface Loopback0
> ip address 10.0.10.1 255.255.255.0
> ip nat inside
> ip virtual-reassembly
> ip route-cache flow
> ip ospf network point-to-pointможет быть подскажете? пример примерно, как у вас, только локальная сеть 192.168.104.0/22
нужно, чтобы клиенты впн цеплялись на сеть 192.168.20.0/24 и видели хосты в 104 сети.
> может быть подскажете? пример примерно, как у вас, только локальная сеть 192.168.104.0/22
> нужно, чтобы клиенты впн цеплялись на сеть 192.168.20.0/24 и видели хосты в
> 104 сети.no ip dhcp use vrf connected
no ip dhcp conflict logging
ip dhcp excluded-address 192.168.20.1
!
ip dhcp pool DC
network 192.168.20.0 255.255.255.0
default-router 192.168.20.1
domain-name localnet.vpn <-- Ваш домен
dns-server 192.168.20.2 <-- Ваш DNS
option 249 hex 16c0.a868.c0a8.1401 <-- AABB.CCDD.EEFF.GGHH, где AA - маска, BB.CC.DD три первые октета от вашей сети, EE.FF.GG.HH - шлюз через который доступна эта сеть, всё в HEX, в переводе на десятки получится 22_192(.)168_104(.)192_168(.)20_1
option 121 hex 16c0.a868.c0a8.1401 <-- аналогичноvpdn-group PPTP
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1interface Loopback0
ip address 192.168.20.1 255.255.255.0
ip virtual-reassemblyinterface Virtual-Template1
mtu 1474
ip unnumbered Loopback0
ip virtual-reassembly
autodetect encapsulation ppp
peer default ip address dhcp
ppp encrypt mppe auto required
ppp authentication ms-chap-v2
Сделал все, но при подключении долго идет регистрация компьютера в сети, в конце пишет ошибку: "TCP/IP протокол сообщает об ошибке 738: Сервер не назначил адресс". Когда настраивал Virtual-template не по дхцп, а ip local pool, цеплялось нормально. Вот конфиг:version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router_2
!
boot-start-marker
boot system flash c1841-adventerprisek9-mz.151-4.M4.bin
boot-end-marker
!
!
!
no aaa new-model
!
clock timezone SPB 4 0
crypto pki token default removal timeout 0
!
!
dot11 syslog
no ip source-route
!
!
!
no ip dhcp use vrf connected
no ip dhcp conflict logging
ip dhcp excluded-address 192.168.20.1
!
ip dhcp pool PPTP
network 192.168.20.0 255.255.255.0
default-router 192.168.20.1
domain-name bt
dns-server 192.168.104.222
option 249 hex 16c0.a868.c0a8.1401
option 121 hex 16c0.a868.c0a8.1401
!
!
ip cef
no ip domain lookup
ip domain name bt
no ipv6 cef
!
multilink bundle-name authenticated
!
vpdn enable
vpdn session-limit 5000
!
!
vpdn-group PPTP
accept-dialin
protocol pptp
virtual-template 1
l2tp tunnel timeout no-session 15
!
!
!
!username XXXXX privilege 15 password 7 XXXXXXX
!
redundancy
!
!
ip ssh version 2
!
!
!
!
!
!
!
interface Loopback0
ip address 192.168.20.1 255.255.255.0
ip flow ingress
!
interface FastEthernet0/0
ip address XXX.XXX.XXX.85 255.255.240.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
ip address 192.168.104.251 255.255.252.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface Virtual-Template1
mtu 1474
ip unnumbered Loopback0
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly in
ip verify unicast reverse-path
autodetect encapsulation ppp
peer default ip address dhcp
no keepalive
ppp encrypt mppe auto required
ppp authentication ms-chap-v2
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source list 100 interface FastEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.81
!
access-list 100 permit ip 192.168.104.0 0.0.3.255 any
!
!
!
!
!
!
control-plane
!
!
!
line con 0
login local
line aux 0
line vty 0 4
exec-timeout 60 0
login local
autocommand terminal monitor
autocommand-options nohangup
transport input ssh
!
scheduler allocate 20000 1000
ntp server 192.168.104.222
end
ip dhcp-server 192.168.20.1
> ip dhcp-server 192.168.20.1спасибо, помогло.) но в 104 сеть все равно не стучится(
>> ip dhcp-server 192.168.20.1
> спасибо, помогло.) но в 104 сеть все равно не стучится(Покажите список маршрутов с клиента
netstat -nrКакая ОС на клиенте?
Вин7
Список интерфейсов
32...........................VPN-подключение
10...00 1f d0 87 6d 52 ......Realtek PCIe GBE Family Controller
19...7a 79 05 8b 2a 0a ......Hamachi Network Interface
1...........................Software Loopback Interface 1
25...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
11...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
13...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
18...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
21...00 00 00 00 00 00 00 e0 Адаптер Microsoft 6to4
===========================================================================IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.131.1 192.168.131.70 10
5.0.0.0 255.0.0.0 On-link 5.139.42.10 9256
5.139.42.10 255.255.255.255 On-link 5.139.42.10 9256
5.255.255.255 255.255.255.255 On-link 5.139.42.10 9256
93.153.157.85 255.255.255.255 192.168.131.1 192.168.131.70 11
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
169.254.0.0 255.255.0.0 On-link 192.168.131.70 30
169.254.255.255 255.255.255.255 On-link 192.168.131.70 266
192.168.20.0 255.255.255.0 192.168.20.1 192.168.20.4 11
192.168.20.4 255.255.255.255 On-link 192.168.20.4 266
192.168.104.0 255.255.252.0 On-link 192.168.20.4 11
192.168.107.255 255.255.255.255 On-link 192.168.20.4 266
192.168.131.0 255.255.255.0 On-link 192.168.131.70 266
192.168.131.70 255.255.255.255 On-link 192.168.131.70 266
192.168.131.255 255.255.255.255 On-link 192.168.131.70 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.131.70 266
224.0.0.0 240.0.0.0 On-link 5.139.42.10 9256
224.0.0.0 240.0.0.0 On-link 192.168.20.4 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.131.70 266
255.255.255.255 255.255.255.255 On-link 5.139.42.10 9256
255.255.255.255 255.255.255.255 On-link 192.168.20.4 266
===========================================================================
Постоянные маршруты:
ОтсутствуетIPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
21 1110 ::/0 2002:c058:6301::c058:6301
1 306 ::1/128 On-link
21 1010 2002::/16 On-link
21 266 2002:58b:2a0a::58b:2a0a/128
On-link
1 306 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует
Маршрут, как видно из таблицы, присутствует. Какой хост Вы пытаетесь пинговать? Какая конфигурация сети на этом хосте?
> Маршрут, как видно из таблицы, присутствует. Какой хост Вы пытаетесь пинговать? Какая
> конфигурация сети на этом хосте?192.168.104.222, например. В смысле конфигурация сети?
>> Маршрут, как видно из таблицы, присутствует. Какой хост Вы пытаетесь пинговать? Какая
>> конфигурация сети на этом хосте?
> 192.168.104.222, например. В смысле конфигурация сети?192.168.104.222 через что ходит в интернет? через эту же циску?
> 192.168.104.222 через что ходит в интернет? через эту же циску?
нет, через другую 192.168.105.40
>> 192.168.104.222 через что ходит в интернет? через эту же циску?
> нет, через другую 192.168.105.40И как же он по Вашему должен отвечать неизвестной ему сети 192.168.20.0? Представьте себе весь маршрут:
1. Пусть впн-клиент получил адрес 192.168.20.2.
2. Маршрут на 192.168.104.0/22 у него указывает на 192.168.20.2, т.е. на впн-коннект.
3. Пакет для 192.168.104.222 побежал с 192.168.20.2 на 192.168.20.1
4. 192.168.20.1 (lo0) определила по своим таблицам, что 192.168.104.222 живёт за fa0/1 и выпихнула пакет туда
5. 192.168.104.222 получает пакет в котором отправителем числится 192.168.20.2, смотрит в свои таблицы маршрутизации и не находит там такой сети. Что он делает? Правильно, отсылает ответ по дефолту, т.е. на 192.168.105.40.
6. 192.168.105.40 так же не в курсе про сеть 192.168.20.0 и шлёт пакет по своему дефолту (видимо на провайдера) где он теряется окончательною.Вывод: или на 192.168.104.222 пишем статикой где у нас живёт 192.168.20.0 (ip route -p add 192.168.20.0 mask 255.255.255.0 192.168.104.251) и сразу получаем желаемый пинг, либо на 192.168.105.40 (коли уж он дефолт для всей сети) пишем аналогичную статику с указанием, что сеть 192.168.20.0 живёт за 192.168.104.251.
Да, все заработало, огромное спасибо!