https://www.opennet.dev/openforum/vsluhforumID6/12678.html входящие подключения pptp должны приниматься на интерфейсе лежащем в отдельном vrf. В процессе подключения видно что негоциация ppp идеть нормально, трафик по tcp 1723 идет нормально по маршрутам vrf. а вот когда начинается gre lcp обмен, гре пакеты выплывают из глобального врф. соотв-но сеанс не устанавливается.<br><br>vpdn-group 1<br>! Default PPTP VPDN group<br> accept-dialin<br> protocol pptp<br> virtual-template 1<br> vpn vrf inet<br> source-ip хх.хх.хх.хх<br> local name CISCO_VPN<br>!<br>interface Virtual-Template1<br> no ip address<br> ip virtual-reassembly<br> ip route-cache flow<br> ip mroute-cache<br> peer default ip address pool pptp_pool<br> ppp encrypt mppe auto required<br> ppp authentication ms-chap-v2 eap ms-chap<br>!<br> https://www.opennet.dev/openforum/vsluhforumID6/12678.html#6 Sat, 06 Nov 2010 20:22:53 GMT Решил всетаки ответить на эту старую тему.<br>Сам недавно пытался проделать subj - а именно у меня доступ к pptp серверу из интерфейса в VRF.<br>Если маршрут к pptp серверу из глобала, то все работает. pptp устанавливается, поднимается интерфейс virtual-access, все как обычно.<br>Если маршрут к pptp серверу из VRF, то pptp не устанавливается.<br><br>ВНИМАНИЕ это не баг, а фича :)<br><br>http://www.cisco.com/en/US/docs/ios/12_2t/12_2t15/feature/guide/ftvpdnmh.html<br><br><br>Пришлось применить MPLS route leaking и тем самым сделать роут из VRF в глобал и обратно. Иначе не получается.<br><br><br><br><br> https://www.opennet.dev/openforum/vsluhforumID6/12678.html#5 Tue, 06 Feb 2007 08:44:53 GMT &gt;&gt;да, не помогает. LCP, Conf-Request приходят с наружи, а LCP, Conf-Reject уходит <br>&gt;&gt;из глобального во внутрь. <br>&gt;<br>&gt;vpdn-group 1 <br>&gt;! Default PPTP VPDN group <br>&gt; accept-dialin <br>&gt; protocol pptp <br>&gt; virtual-template 1 <br>&gt; session-limit 30 <br>&gt; vpn vrf NOC <br>&gt;<br>&gt;interface Virtual-Template1 <br>&gt; description ---PPTP management--- <br>&gt; ip vrf forwarding NOC <br>&gt; ip address 192.168.2.1 255.255.255.0 <br>&gt; ip nat inside <br>&gt; peer default ip address pool default <br>&gt; no keepalive <br>&gt; ppp authentication pap chap ms-chap <br>&gt;<br>&gt;вот в таком виде все работает <br><br>если б у меня из глобала был выход в инет я так понимаю тоже работало бы. т.к. пакет уходит через глобал но с пральными адресами, сорс интерфейса на апстрим, дест мой. но он не выходит, соотв-но конект не проходит по таймаутам. вот мой тепершний конфиг:<br><br>vpdn enable<br>vpdn multihop<br>vpdn authen-before-forward<br>vpdn tunnel authorization network default<br>!<br>vpdn-group 1<br>! Default PPTP VPDN group<br> accept-dialin<br> protocol pptp<br> virtual-template 1<br> vpn vrf inet<br> https://www.opennet.dev/openforum/vsluhforumID6/12678.html#4 Tue, 06 Feb 2007 08:10:41 GMT &gt;да, не помогает. LCP, Conf-Request приходят с наружи, а LCP, Conf-Reject уходит <br>&gt;из глобального во внутрь. <br><br>vpdn-group 1<br>! Default PPTP VPDN group<br> accept-dialin<br> protocol pptp<br> virtual-template 1<br> session-limit 30<br> vpn vrf NOC<br><br>interface Virtual-Template1<br> description ---PPTP management---<br> ip vrf forwarding NOC<br> ip address 192.168.2.1 255.255.255.0<br> ip nat inside<br> peer default ip address pool default<br> no keepalive<br> ppp authentication pap chap ms-chap<br><br>вот в таком виде все работает<br> https://www.opennet.dev/openforum/vsluhforumID6/12678.html#3 Tue, 06 Feb 2007 07:59:58 GMT да, не помогает. LCP, Conf-Request приходят с наружи, а LCP, Conf-Reject уходит из глобального во внутрь.<br><br> https://www.opennet.dev/openforum/vsluhforumID6/12678.html#2 Tue, 06 Feb 2007 07:52:17 GMT &gt;<br>&gt;interface Virtual-Template1 может этот интерфейс тоже включить в этот врф ? <br><br><br>да включал, не помогало. щас еще попробую. https://www.opennet.dev/openforum/vsluhforumID6/12678.html#1 Mon, 05 Feb 2007 18:08:55 GMT &gt;входящие подключения pptp должны приниматься на интерфейсе лежащем в отдельном vrf. В <br>&gt;процессе подключения видно что негоциация ppp идеть нормально, трафик по tcp <br>&gt;1723 идет нормально по маршрутам vrf. а вот когда начинается gre <br>&gt;lcp обмен, гре пакеты выплывают из глобального врф. соотв-но сеанс не <br>&gt;устанавливается. <br>&gt;<br>&gt;vpdn-group 1 <br>&gt;! Default PPTP VPDN group <br>&gt; accept-dialin <br>&gt; protocol pptp <br>&gt; virtual-template 1 <br>&gt; vpn vrf inet <br>&gt; source-ip хх.хх.хх.хх <br>&gt; local name CISCO_VPN <br>&gt;! <br>&gt;interface Virtual-Template1 <br>&gt; no ip address <br>&gt; ip virtual-reassembly <br>&gt; ip route-cache flow <br>&gt; ip mroute-cache <br>&gt; peer default ip address pool pptp_pool <br>&gt; ppp encrypt mppe auto required <br>&gt; ppp authentication ms-chap-v2 eap ms-chap <br>&gt;! <br><br>interface Virtual-Template1 может этот интерфейс тоже включить в этот врф ?<br>