URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 372
[ Назад ]

Исходное сообщение
"L2TP на циске и нат "

Отправлено evgenpch , 13-Дек-12 16:06 
Доброго времени суток, не подскажите что сделал не так, есть л2тп сервер нациске 1841 подключаюсь клиентом получаю адрес и получаю пару проблем.
1. мне нужно, чтобы л2тп клиенты во внутреннюю сеть натились во внутренний интерфейс циски (она не является дефолтным гейтом в сети а маршруты прописывать не хочется) вот конфиг:

Fa0/0 -соответственно внутренний интерфейс.
в нат просто не попадают и не могу понять почему...

ip dhcp pool VPDNDP
   network 10.11.11.0 255.255.255.0
   default-router 10.11.11.1
   dns-server 192.168.0.10 192.168.2.70
   option 121 hex 080a.0a0b.0b01.18c0.a800.0a0b.0b01
   option 249 hex 080a.0a0b.0b01.18c0.a800.0a0b.0b01

vpdn-group VPDN-L2TP
! Default L2TP VPDN group
accept-dialin
  protocol l2tp
  virtual-template 2
lcp renegotiation on-mismatch
l2tp security crypto-profile L2TP
no l2tp tunnel authentication
l2tp tunnel timeout no-session 15
ip pmtu
ip mtu adjust

crypto ipsec transform-set L2TP esp-aes esp-sha-hmac

crypto ipsec profile L2TP
set transform-set L2TP

crypto map ххх 1 ipsec-isakmp profile L2TP
set transform-set L2TP

interface Loopback101
ip address 10.11.11.1 255.255.255.255

interface Virtual-Template2
ip unnumbered Loopback101
ip nat inside
ip virtual-reassembly
autodetect encapsulation ppp
peer default ip address dhcp-pool VPDNDP
ppp authentication ms-chap-v2

ip nat inside source route-map L2TP interface FastEthernet0/0 overload

access-list 111 permit ip 10.11.11.0 0.0.0.255 192.168.0.0 0.0.3.255

route-map L2TP permit 10
match ip address 111


2. стандартная проблема выдачи маршрутов л2тп-клиентам.

Подскажите пожалуйста в чем не так?


Содержание

Сообщения в этом обсуждении
"L2TP на циске и нат "
Отправлено Merridius , 13-Дек-12 18:03 
>[оверквотинг удален]
>  ip virtual-reassembly
>  autodetect encapsulation ppp
>  peer default ip address dhcp-pool VPDNDP
>  ppp authentication ms-chap-v2
> ip nat inside source route-map L2TP interface FastEthernet0/0 overload
> access-list 111 permit ip 10.11.11.0 0.0.0.255 192.168.0.0 0.0.3.255
> route-map L2TP permit 10
>  match ip address 111
> 2. стандартная проблема выдачи маршрутов л2тп-клиентам.
> Подскажите пожалуйста в чем не так?

Мало что понял, кто куда и зачем натится, но могу сказать следующее: чтобы трафик натился куда-то, он(трафик) должен сначала быть направлен туда. Соответственно сначала разбираемся с маршрутизацией, потом накладываем поверх нее сервис трансляции.


"L2TP на циске и нат "
Отправлено spiegel , 13-Дек-12 20:11 
>[оверквотинг удален]
>>  ppp authentication ms-chap-v2
>> ip nat inside source route-map L2TP interface FastEthernet0/0 overload
>> access-list 111 permit ip 10.11.11.0 0.0.0.255 192.168.0.0 0.0.3.255
>> route-map L2TP permit 10
>>  match ip address 111
>> 2. стандартная проблема выдачи маршрутов л2тп-клиентам.
>> Подскажите пожалуйста в чем не так?
> Мало что понял, кто куда и зачем натится, но могу сказать следующее:
> чтобы трафик натился куда-то, он(трафик) должен сначала быть направлен туда. Соответственно
> сначала разбираемся с маршрутизацией, потом накладываем поверх нее сервис трансляции.

на  f0/0 не забыли ip nat outside? Что показывает sh ip nat stat и sh ip nat trans?


"L2TP на циске и нат "
Отправлено evgenpch , 14-Дек-12 00:01 
с маршрутизацией все ок, прописываю маршрут на внутреннем сервере 10.11.11.0 на внутренний интерфейсе и все пингуется. не на внутреннем fa0/0 я не могу ip nat outside прописать - он для исходящих соединений еще некоторых работает.
вот остатки - интерфейсы и нат (исходящих соединений)

interface FastEthernet0/0
ip address 192.168.11.1 255.255.255.0 secondary
ip address 192.168.2.247 255.255.252.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache policy
ip tcp adjust-mss 1420
ip ospf priority 20
duplex auto
speed auto
no mop enabled

interface FastEthernet0/1
ip address ххххх
ip access-group FireWall_IN in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
ip route-cache policy
duplex auto
speed auto
no mop enabled
crypto map OB_net
ip nat inside source route-map Inet_VPN interface FastEthernet0/1 overload


"L2TP на циске и нат "
Отправлено spiegel , 14-Дек-12 00:42 
>[оверквотинг удален]
>  ip flow ingress
>  ip flow egress
>  ip nat outside
>  ip virtual-reassembly
>  ip route-cache policy
>  duplex auto
>  speed auto
>  no mop enabled
>  crypto map OB_net
> ip nat inside source route-map Inet_VPN interface FastEthernet0/1 overload

Тогда нат работать не будет. Команда nat inside только помечает пакеты, как возможные для ната. И лишь покинув интерфейс, где стоит nat outside, пакеты получат другой ip. Чтобы обойти эту логику, используйте  ip nat enable (потребуетcя также изменить  ip nat sourсe...)
С другой стороны, зачем вам сдался нат? С точки зрения роутера, ваша сеть подключена к нему напрямую.


"L2TP на циске и нат "
Отправлено evgenpc , 14-Дек-12 02:12 
>[оверквотинг удален]
>>  speed auto
>>  no mop enabled
>>  crypto map OB_net
>> ip nat inside source route-map Inet_VPN interface FastEthernet0/1 overload
> Тогда нат работать не будет. Команда nat inside только помечает пакеты, как
> возможные для ната. И лишь покинув интерфейс, где стоит nat outside,
> пакеты получат другой ip. Чтобы обойти эту логику, используйте  ip
> nat enable (потребуетcя также изменить  ip nat sourсe...)
> С другой стороны, зачем вам сдался нат? С точки зрения роутера, ваша
> сеть подключена к нему напрямую.

да... да но с точки зрения хостов во внутренней сети для которых эта циска не дефолтовый гейт... маршруты прописывать не хочется. ок, сейчас опробую этот nvi.


"L2TP на циске и нат "
Отправлено evgenpc , 14-Дек-12 02:15 
>[оверквотинг удален]
>>> ip nat inside source route-map Inet_VPN interface FastEthernet0/1 overload
>> Тогда нат работать не будет. Команда nat inside только помечает пакеты, как
>> возможные для ната. И лишь покинув интерфейс, где стоит nat outside,
>> пакеты получат другой ip. Чтобы обойти эту логику, используйте  ip
>> nat enable (потребуетcя также изменить  ip nat sourсe...)
>> С другой стороны, зачем вам сдался нат? С точки зрения роутера, ваша
>> сеть подключена к нему напрямую.
> да... да но с точки зрения хостов во внутренней сети для которых
> эта циска не дефолтовый гейт... маршруты прописывать не хочется. ок, сейчас
> опробую этот nvi.

!!! а работает же ведь!!! )))


"L2TP на циске и нат "
Отправлено evgenpch , 14-Дек-12 02:44 
>[оверквотинг удален]
>>> Тогда нат работать не будет. Команда nat inside только помечает пакеты, как
>>> возможные для ната. И лишь покинув интерфейс, где стоит nat outside,
>>> пакеты получат другой ip. Чтобы обойти эту логику, используйте  ip
>>> nat enable (потребуетcя также изменить  ip nat sourсe...)
>>> С другой стороны, зачем вам сдался нат? С точки зрения роутера, ваша
>>> сеть подключена к нему напрямую.
>> да... да но с точки зрения хостов во внутренней сети для которых
>> эта циска не дефолтовый гейт... маршруты прописывать не хочется. ок, сейчас
>> опробую этот nvi.
> !!! а работает же ведь!!! )))

спасибо! очень все работает!
а вот по-второму вопросу не подскажите?

2. стандартная проблема выдачи маршрутов л2тп-клиентам.

вот схожие ветки... делают же ведь люди

http://www.opennet.me/openforum/vsluhforumID10/4943.html
http://www.opennet.me/openforum/vsluhforumID6/8569.html
http://www.opennet.me/openforum/vsluhforumID6/23712.html?n=M...

ДХцП беру из внутренней сети там в 121-ой опции все прописано.


000284: *Dec 14 01:54:35.139 PCTime: DHCP Offer Message   Offered Address: 10.11.11.11
000285: *Dec 14 01:54:35.139 PCTime: DHCP: Lease Seconds: 691200    Renewal secs:  345600    Rebind secs:   604800
000286: *Dec 14 01:54:35.139 PCTime: DHCP: Server ID Option: 192.168.2.70
000287: *Dec 14 01:54:35.139 PCTime: DHCP: offer received from 192.168.2.70
000288: *Dec 14 01:54:35.139 PCTime: DHCP: SRequest attempt # 1 for entry:
000289: *Dec 14 01:54:35.143 PCTime: Temp IP addr: 10.11.11.11  for peer on Interface: Virtual-Access4
000290: *Dec 14 01:54:35.143 PCTime: Temp  sub net mask: 255.255.255.0
000291: *Dec 14 01:54:35.143 PCTime:    DHCP Lease server: 192.168.2.70, state: 4 Requesting
000292: *Dec 14 01:54:35.143 PCTime:    DHCP transaction id: 1708
000293: *Dec 14 01:54:35.143 PCTime:    Lease: 691200 secs,  Renewal: 0 secs,  Rebind: 0 secs
000294: *Dec 14 01:54:35.143 PCTime:    Next timer fires after: 00:00:03
000295: *Dec 14 01:54:35.143 PCTime:    Retry count: 1   Client-ID: e.pchelkin
000296: *Dec 14 01:54:35.143 PCTime:    Client-ID hex dump: 652E706368656C6B696E
000297: *Dec 14 01:54:35.143 PCTime:    Hostname: svpn
000298: *Dec 14 01:54:35.143 PCTime: DHCP: SRequest- Server ID option: 192.168.2.70
000299: *Dec 14 01:54:35.143 PCTime: DHCP: SRequest- Requested IP addr option: 10.11.11.11
000300: *Dec 14 01:54:35.143 PCTime: DHCP: SRequest: 285 bytes
000301: *Dec 14 01:54:35.143 PCTime: DHCP: SRequest: 285 bytes
000302: *Dec 14 01:54:35.187 PCTime: DHCP: XID MATCH in dhcpc_for_us()
000303: *Dec 14 01:54:35.187 PCTime: DHCP: Received a BOOTREP pkt
000304: *Dec 14 01:54:35.187 PCTime: DHCP: Scan: Message type: DHCP Ack
000305: *Dec 14 01:54:35.187 PCTime: DHCP: Scan: Renewal time: 345600
000306: *Dec 14 01:54:35.187 PCTime: DHCP: Scan: Rebind time: 604800
000307: *Dec 14 01:54:35.187 PCTime: DHCP: Scan: Lease Time: 691200
000308: *Dec 14 01:54:35.187 PCTime: DHCP: Scan: Server ID Option: 192.168.2.70 = C0A80246
000309: *Dec 14 01:54:35.187 PCTime: DHCP: Scan: Subnet Address Option: 255.255.255.0
000310: *Dec 14 01:54:35.187 PCTime: DHCP: Scan: DNS Name Server Option: 192.168.0.10, 192.168.2.70
000311: *Dec 14 01:54:35.187 PCTime: DHCP: rcvd pkt source: 192.168.2.70,  destination:  10.11.11.1
000312: *Dec 14 01:54:35.187 PCTime:    UDP  sport: 43,  dport: 43,  length: 308
000313: *Dec 14 01:54:35.187 PCTime:    DHCP op: 2, htype: 1, hlen: 6, hops: 0
000314: *Dec 14 01:54:35.187 PCTime:    DHCP server identifier: 192.168.2.70
000315: *Dec 14 01:54:35.187 PCTime:         xid: 1708, secs: 0, flags: 0
000316: *Dec 14 01:54:35.187 PCTime:         client: 0.0.0.0, your: 10.11.11.11
000317: *Dec 14 01:54:35.187 PCTime:         srvr:   0.0.0.0, gw: 10.11.11.1
000318: *Dec 14 01:54:35.187 PCTime:         options block length: 60

000319: *Dec 14 01:54:35.187 PCTime: DHCP Ack Message
000320: *Dec 14 01:54:35.187 PCTime: DHCP: Lease Seconds: 691200    Renewal secs:  345600    Rebind secs:   604800
000321: *Dec 14 01:54:35.187 PCTime: DHCP: Server ID Option: 192.168.2.70
000322: *Dec 14 01:54:35.187 PCTime: DHCP: Sending notification of ASSIGNMENT:
000323: *Dec 14 01:54:35.187 PCTime:   Address 0.0.0.0 mask 0.0.0.0
000324: *Dec 14 01:54:35.191 PCTime: DHCP Proxy Client Pooling: ***Allocated IP address: 10.11.11.11
000325: *Dec 14 01:54:35.191 PCTime: DHCP: look up prim DNS for Vi4 from lease good ret: 192.168.0.10
000326: *Dec 14 01:54:35.191 PCTime: DHCP: look up prim NBNS for Vi4 from lease any ret: fail
000327: *Dec 14 01:54:35.191 PCTime: DHCP: look up sec DNS for Vi4 from lease good ret: 192.168.2.70
000328: *Dec 14 01:54:35.191 PCTime: DHCP: look up sec NBNS for Vi4 from lease any ret: fail
000329: *Dec 14 01:54:35.203 PCTime: DHCP: look up prim DNS for Vi4 from lease good ret: 192.168.0.10
000330: *Dec 14 01:54:35.203 PCTime: DHCP: look up sec DNS for Vi4 from lease good ret: 192.168.2.70
000331: *Dec 14 01:54:35.215 PCTime: DHCP: look up prim DNS for Vi4 from lease good ret: 192.168.0.10
000332: *Dec 14 01:54:35.215 PCTime: DHCP: look up sec DNS for Vi4 from lease good ret: 192.168.2.70
000333: *Dec 14 01:54:35.747 PCTime: %SEC-6-IPACCESSLOGP: list VPN permitted udp 10.11.11.11(0) -> 255.255.255.255(0), 1 packet
000334: *Dec 14 01:54:46.103 PCTime: DHCP: Client socket is closed

да а во второй раз пришло в конце вот это -

000490: *Dec 14 01:59:43.911 PCTime: DHCP: Received a BOOTREP pkt Not for us..:  xid: 0x4BD225D5

то есть на-сколько я понял дхцпинформ пошел, дошел и дхцп послала пакет а циска его отрубила, а как ей сказать чтобы она это отправляла клиенту?


"L2TP на циске и нат "
Отправлено spiegel , 14-Дек-12 19:52 
>[оверквотинг удален]
> from lease good ret: 192.168.2.70
> 000333: *Dec 14 01:54:35.747 PCTime: %SEC-6-IPACCESSLOGP: list VPN permitted udp 10.11.11.11(0)
> -> 255.255.255.255(0), 1 packet
> 000334: *Dec 14 01:54:46.103 PCTime: DHCP: Client socket is closed
> да а во второй раз пришло в конце вот это -
> 000490: *Dec 14 01:59:43.911 PCTime: DHCP: Received a BOOTREP pkt Not for
> us..:  xid: 0x4BD225D5
> то есть на-сколько я понял дхцпинформ пошел, дошел и дхцп послала пакет
> а циска его отрубила, а как ей сказать чтобы она это
> отправляла клиенту?

Возможно ошибка в опции 249? Если мы хотим по l2tp на клиенте (Win7) получить доступ к 172.16.100.0/24 через 10.11.11.1, надо прописать:

ip dhcp pool VPDNDP
  option 249 hex 18ac.1064.0a0b.0b01


"L2TP на циске и нат "
Отправлено evg , 25-Дек-12 01:22 
>[оверквотинг удален]
>> да а во второй раз пришло в конце вот это -
>> 000490: *Dec 14 01:59:43.911 PCTime: DHCP: Received a BOOTREP pkt Not for
>> us..:  xid: 0x4BD225D5
>> то есть на-сколько я понял дхцпинформ пошел, дошел и дхцп послала пакет
>> а циска его отрубила, а как ей сказать чтобы она это
>> отправляла клиенту?
> Возможно ошибка в опции 249? Если мы хотим по l2tp на клиенте
> (Win7) получить доступ к 172.16.100.0/24 через 10.11.11.1, надо прописать:
> ip dhcp pool VPDNDP
>   option 249 hex 18ac.1064.0a0b.0b01

спасибо, но не помогло... может есть какие-то другие решения?


"L2TP на циске и нат "
Отправлено evg , 28-Дек-12 16:32 
>[оверквотинг удален]
>>> 000490: *Dec 14 01:59:43.911 PCTime: DHCP: Received a BOOTREP pkt Not for
>>> us..:  xid: 0x4BD225D5
>>> то есть на-сколько я понял дхцпинформ пошел, дошел и дхцп послала пакет
>>> а циска его отрубила, а как ей сказать чтобы она это
>>> отправляла клиенту?
>> Возможно ошибка в опции 249? Если мы хотим по l2tp на клиенте
>> (Win7) получить доступ к 172.16.100.0/24 через 10.11.11.1, надо прописать:
>> ip dhcp pool VPDNDP
>>   option 249 hex 18ac.1064.0a0b.0b01
> спасибо, но не помогло... может есть какие-то другие решения?

Смотрите, на винХП палит 249-ая опция в дхцп на циске, и все отдается и нужные маршруты на ХП прописываются, а вот для вин 7 ничего не происходит, добавил и аналогичную строчку со 121-ой опцией - ничего не поменялось, может кому удалось отдать стат маршруты л2тп-клиенту вин7?


"L2TP на циске и нат "
Отправлено asx , 28-Дек-12 17:04 
>[оверквотинг удален]
>>> Возможно ошибка в опции 249? Если мы хотим по l2tp на клиенте
>>> (Win7) получить доступ к 172.16.100.0/24 через 10.11.11.1, надо прописать:
>>> ip dhcp pool VPDNDP
>>>   option 249 hex 18ac.1064.0a0b.0b01
>> спасибо, но не помогло... может есть какие-то другие решения?
> Смотрите, на винХП палит 249-ая опция в дхцп на циске, и все
> отдается и нужные маршруты на ХП прописываются, а вот для вин
> 7 ничего не происходит, добавил и аналогичную строчку со 121-ой опцией
> - ничего не поменялось, может кому удалось отдать стат маршруты л2тп-клиенту
> вин7?

Вот это работает для всех клиентов (WinXP+Win7). Единственное, больше 4 маршрутов прописать нельзя.

ip dhcp pool VPDN
   network 192.168.254.0 255.255.255.0
   default-router 192.168.254.1
   dns-server 192.168.254.1
   option 249 ip 24.192.168.1 192.168.254.1 24.10.10.10 192.168.254.1 24.192.168.10 192.168.254.1 24.10.0.10 192.168.254.1
!


"L2TP на циске и нат "
Отправлено evg , 29-Дек-12 10:57 
> ip dhcp pool VPDN
>    network 192.168.254.0 255.255.255.0
>    default-router 192.168.254.1
>    dns-server 192.168.254.1
>    option 249 ip 24.192.168.1 192.168.254.1 24.10.10.10 192.168.254.1 24.192.168.10 192.168.254.1
> 24.10.0.10 192.168.254.1
> !

У меня вот такой конфиг и все опции отдаются в винХП а в вин 7 не хотят.

ip dhcp pool VPDNDP
   network 10.11.11.0 255.255.255.0
   default-router 10.11.11.1
   dns-server 192.168.0.10 192.168.2.70
   option 121 hex 10ac.100a.0b0b.0110.ac12.0a0b.0b01.10ac.130a.0b0b.0110.ac14.0a0b.0b01.10ac.150a.0b0b.0120.c0a8.014d.0a0b.0b01.20c0.a800.0a0a.0b0b.0120.c0a8.0246.0a0b.0b01.20c0.a802.b70a.0b0b.0120.c0a8.03f0.0a0b.0b01
   option 249 hex 10ac.100a.0b0b.0110.ac12.0a0b.0b01.10ac.130a.0b0b.0110.ac14.0a0b.0b01.10ac.150a.0b0b.0120.c0a8.014d.0a0b.0b01.20c0.a800.0a0a.0b0b.0120.c0a8.0246.0a0b.0b01.20c0.a802.b70a.0b0b.0120.c0a8.03f0.0a0b.0b01
!

Можете прислать остальной конфиг, возможно что-то еще у вас открыто, чтобы передавалось...


"L2TP на циске и нат "
Отправлено vigogne , 29-Дек-12 11:21 
>[оверквотинг удален]
> У меня вот такой конфиг и все опции отдаются в винХП а
> в вин 7 не хотят.
> ip dhcp pool VPDNDP
>    network 10.11.11.0 255.255.255.0
>    default-router 10.11.11.1
>    dns-server 192.168.0.10 192.168.2.70
>    option 121 hex 10ac.100a.0b0b.0110.ac12.0a0b.0b01.10ac.130a.0b0b.0110.ac14.0a0b.0b01.10ac.150a.0b0b.0120.c0a8.014d.0a0b.0b01.20c0.a800.0a0a.0b0b.0120.c0a8.0246.0a0b.0b01.20c0.a802.b70a.0b0b.0120.c0a8.03f0.0a0b.0b01
>    option 249 hex 10ac.100a.0b0b.0110.ac12.0a0b.0b01.10ac.130a.0b0b.0110.ac14.0a0b.0b01.10ac.150a.0b0b.0120.c0a8.014d.0a0b.0b01.20c0.a800.0a0a.0b0b.0120.c0a8.0246.0a0b.0b01.20c0.a802.b70a.0b0b.0120.c0a8.03f0.0a0b.0b01
> !
> Можете прислать остальной конфиг, возможно что-то еще у вас открыто, чтобы передавалось...

Кстати, иногда Windows 7, при обновлении адреса бывает использует старые настройки, игнорируя новые. Попробуйте в командной строке, запущенной с правами администратора сделать две команды:
ipconfig /release
ipconfig /renew