URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23223
[ Назад ]

Исходное сообщение
" Site2Site VPN + Remote Access + доступ в интернет проблемы!"

Отправлено jnicolson , 25-Окт-11 16:57 
Коллеги! Добрый день!
Знакомый попросил оказать помощь, в настройке Site2Site VPN + Remote Access + доступ в интернет.
Все вроде нарисовал, все VPN работают а вот в Инет доступа нет, как только не изворачивался. Не могу сообразить что не так, с головою или с руками.

Задача:
подключиться Cisco VPN клиентом, получить доступ как в LAN, так и в Интернет.
Что имеем: подключаемся, имеем доступ в LAN, не имеем в Интернет.
Конфига:


aaa authentication login default local
aaa authentication login clientauth local
aaa authorization network groupauthor local
aaa session-id common
ip subnet-zero
ip cef
!
!
!
!
ip ips po max-events 100
no ip domain lookup
no ftp-server write-enable
!
!
!
!
!
crypto keyring spokes
    pre-shared-key address X.X.X.X key xxxxx
!
crypto isakmp policy 10
  encr 3des
  hash md5
  authentication pre-share
  group 2
!
crypto isakmp client configuration group Users
  key xxxxxx
  dns 8.8.8.8
  pool Users
  max-users 2
  max-logins 2
crypto isakmp profile VPNclient
      description VPN clients profile
      match identity group Users
      client authentication list clientauth
      isakmp authorization list groupauthor
      client configuration address respond
crypto isakmp profile L2L
      description LAN-to-LAN for spoke router(s) connection
      keyring spokes
      match identity address X.X.X.X 255.255.255.255
!
!
crypto ipsec transform-set PEERS esp-3des esp-md5-hmac
!
crypto dynamic-map dynmap 5
  set transform-set PEERS
  set isakmp-profile VPNclient
  reverse-route
crypto dynamic-map dynmap 10
  set security-association lifetime seconds 1800
  set transform-set PEERS
  set pfs group2
  set isakmp-profile L2L
!
!
crypto map IPSEC-NEW 10 ipsec-isakmp dynamic dynmap
!
!
!
interface FastEthernet0/0
  description to_INET
  ip address x.x.x.x 255.255.255.248
  ip nat outside
  ip virtual-reassembly
  duplex auto
  speed auto
  crypto map IPSEC-NEW
!
interface FastEthernet0/1
  description to_LAN
  ip address 192.168.5.200 255.255.255.0
  ip nat inside
  ip virtual-reassembly
  duplex auto
  speed auto
!
interface Serial0/0/0
  no ip address
  shutdown
  clockrate 2000000
!
ip local pool Users 192.168.50.240
ip classless
ip route 0.0.0.0 0.0.0.0 x.x.x.x
!
no ip http server
no ip http secure-server
ip nat inside source list 110 interface FastEthernet0/0 overload
!
ip access-list extended ACL_IPSEC
  permit ip 192.168.x.x 0.0.0.255 10.250.5.0 0.0.0.255
ip access-list extended IPSEC_NAT
  permit ip 192.168.50.0 0.0.0.255 any

access-list 110 permit ip host 192.168.50.240 any


Это уже рабочий конфиг для VPN, все что касается NAT вырезал, ибо не вижу смысла выкладывать. Какие предложения господа? Что надо сделать? Мозговал по разному, и с лупбэками и рут-мапами, ничего не выходит.

Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.3(11)T3, RELEASE SOFTWARE (fc4)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Tue 25-Jan-05 14:20 by pwade

ROM: System Bootstrap, Version 12.3(8r)T9, RELEASE SOFTWARE (fc1)

XXXX uptime is 1 hour, 14 minutes
System returned to ROM by power-on
System image file is "flash:c1841-advsecurityk9-mz.123-11.T3.bin"


Содержание

Сообщения в этом обсуждении
" Site2Site VPN + Remote Access + доступ в интернет проблемы!"
Отправлено Aleks305 , 25-Окт-11 19:55 
ну так нужно засунуть сеть (или хост) 192.168.50.240 в Вашем случае в NAT - по идее все должно работать
Второй путь- сделать split tunnel - трафик клиента в локальную сеть будет заворачиваться в туннель,в Интернет будет ходить напрямую без центрального офиса.
Не знаю есть ли на 1841 такая фича - но посмотрите. Снизит лишний головняк с пользовательским трафиком.

" Site2Site VPN + Remote Access + доступ в интернет проблемы!"
Отправлено jnicolson , 25-Окт-11 20:17 
> ну так нужно засунуть сеть (или хост) 192.168.50.240 в Вашем случае в
> NAT - по идее все должно работать
> Второй путь- сделать split tunnel - трафик клиента в локальную сеть будет
> заворачиваться в туннель,в Интернет будет ходить напрямую без центрального офиса.
> Не знаю есть ли на 1841 такая фича - но посмотрите. Снизит
> лишний головняк с пользовательским трафиком.

Это я понимаю, что нужно засунуть в NAT, приведите конструкцию например, как сделать, потому  как я уже перепробовал собственно много чего и ничего не работает.
По поводу split tunneling. Тут в том то и дело, что задача стоит таким образом, чтобы обеспечить клиента возможностью пользоваться своим Интернетом, не имея на своей площади никакого proxy сервера. Например клиент находится в Китае, где многие необходимые ему сайты закрыты, и он не хочет искать всякие анонимайзеры да прокси, а хочет воспользоваться своим Интернетом, подключившись через VPN. Т.е split tunneling не то, мне надо именно весь трафик засунуть туда, и там его уже занатить.


" Site2Site VPN + Remote Access + доступ в интернет проблемы!"
Отправлено jnicolson , 25-Окт-11 20:22 
>[оверквотинг удален]
> Это я понимаю, что нужно засунуть в NAT, приведите конструкцию например, как
> сделать, потому  как я уже перепробовал собственно много чего и
> ничего не работает.
> По поводу split tunneling. Тут в том то и дело, что задача
> стоит таким образом, чтобы обеспечить клиента возможностью пользоваться своим Интернетом,
> не имея на своей площади никакого proxy сервера. Например клиент находится
> в Китае, где многие необходимые ему сайты закрыты, и он не
> хочет искать всякие анонимайзеры да прокси, а хочет воспользоваться своим Интернетом,
> подключившись через VPN. Т.е split tunneling не то, мне надо именно
> весь трафик засунуть туда, и там его уже занатить.

Тут важно понять, вот трафик приходит на интерфейс fa0/0, разворачивается, расшифровывается, и по идее я могу с ним делать что угодно, завернуть куда мне надо, занатить и т.д Но не тут то было... В лан, трафик нормально бегает, а вот в интернет ,трафик улетает как будто бы в дыру.
tracert -d 8.8.8.8 с клиента показывает первый хоп - адрес сервера VPN и дальше звезды.


" Site2Site VPN + Remote Access + доступ в интернет проблемы!"
Отправлено jnicolson , 26-Окт-11 10:01 
Неужели нетривиальная задача? Ни у кого похожей постановки не было?