https://www.opennet.ru/openforum/vsluhforumID6/372.html Доброго времени суток, не подскажите что сделал не так, есть л2тп сервер нациске 1841 подключаюсь клиентом получаю адрес и получаю пару проблем.<br>1. мне нужно, чтобы л2тп клиенты во внутреннюю сеть натились во внутренний интерфейс циски (она не является дефолтным гейтом в сети а маршруты прописывать не хочется) вот конфиг:<br><br>Fa0/0 -соответственно внутренний интерфейс.<br>в нат просто не попадают и не могу понять почему...<br><br>ip dhcp pool VPDNDP<br> network 10.11.11.0 255.255.255.0<br> default-router 10.11.11.1<br> dns-server 192.168.0.10 192.168.2.70<br> option 121 hex 080a.0a0b.0b01.18c0.a800.0a0b.0b01<br> option 249 hex 080a.0a0b.0b01.18c0.a800.0a0b.0b01<br><br>vpdn-group VPDN-L2TP<br> ! Default L2TP VPDN group<br> accept-dialin<br> protocol l2tp<br> virtual-template 2<br> lcp renegotiation on-mismatch<br> l2tp security crypto-profile L2TP<br> no l2tp tunnel authentication<br> l2tp tunnel timeout no-session 15<br> ip pmtu<br> ip mtu adjust<br><br>crypto ipsec transform-set L2TP esp-aes esp-sha-hmac<br><br>crypto ipsec profile L2TP<br> set https://www.opennet.ru/openforum/vsluhforumID6/372.html#13 Sat, 29 Dec 2012 07:21:34 GMT &gt;[оверквотинг удален]<br>&gt; У меня вот такой конфиг и все опции отдаются в винХП а <br>&gt; в вин 7 не хотят.<br>&gt; ip dhcp pool VPDNDP <br>&gt; network 10.11.11.0 255.255.255.0 <br>&gt; default-router 10.11.11.1 <br>&gt; dns-server 192.168.0.10 192.168.2.70 <br>&gt; option 121 hex 10ac.100a.0b0b.0110.ac12.0a0b.0b01.10ac.130a.0b0b.0110.ac14.0a0b.0b01.10ac.150a.0b0b.0120.c0a8.014d.0a0b.0b01.20c0.a800.0a0a.0b0b.0120.c0a8.0246.0a0b.0b01.20c0.a802.b70a.0b0b.0120.c0a8.03f0.0a0b.0b01 <br>&gt; option 249 hex 10ac.100a.0b0b.0110.ac12.0a0b.0b01.10ac.130a.0b0b.0110.ac14.0a0b.0b01.10ac.150a.0b0b.0120.c0a8.014d.0a0b.0b01.20c0.a800.0a0a.0b0b.0120.c0a8.0246.0a0b.0b01.20c0.a802.b70a.0b0b.0120.c0a8.03f0.0a0b.0b01 <br>&gt; !<br>&gt; Можете прислать остальной конфиг, возможно что-то еще у вас открыто, чтобы передавалось... <br><br>Кстати, иногда Windows 7, при обновлении адреса бывает использует старые настройки, игнорируя новые. Попробуйте в командной строке, запущенной с правами администратора сделать две команды:<br>ipconfig /release<br>ipconfig /renew<br> https://www.opennet.ru/openforum/vsluhforumID6/372.html#12 Sat, 29 Dec 2012 06:57:20 GMT &gt; ip dhcp pool VPDN <br>&gt; network 192.168.254.0 255.255.255.0 <br>&gt; default-router 192.168.254.1 <br>&gt; dns-server 192.168.254.1 <br>&gt; option 249 ip 24.192.168.1 192.168.254.1 24.10.10.10 192.168.254.1 24.192.168.10 192.168.254.1 <br>&gt; 24.10.0.10 192.168.254.1 <br>&gt; !<br><br>У меня вот такой конфиг и все опции отдаются в винХП а в вин 7 не хотят.<br><br>ip dhcp pool VPDNDP<br> network 10.11.11.0 255.255.255.0<br> default-router 10.11.11.1<br> dns-server 192.168.0.10 192.168.2.70<br> option 121 hex 10ac.100a.0b0b.0110.ac12.0a0b.0b01.10ac.130a.0b0b.0110.ac14.0a0b.0b01.10ac.150a.0b0b.0120.c0a8.014d.0a0b.0b01.20c0.a800.0a0a.0b0b.0120.c0a8.0246.0a0b.0b01.20c0.a802.b70a.0b0b.0120.c0a8.03f0.0a0b.0b01<br> option 249 hex 10ac.100a.0b0b.0110.ac12.0a0b.0b01.10ac.130a.0b0b.0110.ac14.0a0b.0b01.10ac.150a.0b0b.0120.c0a8.014d.0a0b.0b01.20c0.a800.0a0a.0b0b.0120.c0a8.0246.0a0b.0b01.20c0.a802.b70a.0b0b.0120.c0a8.03f0.0a0b.0b01<br>!<br><br>Можете прислать остальной конфиг, возможно что-то еще у вас открыто, чтобы передавалось...<br> https://www.opennet.ru/openforum/vsluhforumID6/372.html#11 Fri, 28 Dec 2012 13:04:37 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; Возможно ошибка в опции 249? Если мы хотим по l2tp на клиенте <br>&gt;&gt;&gt; (Win7) получить доступ к 172.16.100.0/24 через 10.11.11.1, надо прописать: <br>&gt;&gt;&gt; ip dhcp pool VPDNDP <br>&gt;&gt;&gt; option 249 hex 18ac.1064.0a0b.0b01 <br>&gt;&gt; спасибо, но не помогло... может есть какие-то другие решения?<br>&gt; Смотрите, на винХП палит 249-ая опция в дхцп на циске, и все <br>&gt; отдается и нужные маршруты на ХП прописываются, а вот для вин <br>&gt; 7 ничего не происходит, добавил и аналогичную строчку со 121-ой опцией <br>&gt; - ничего не поменялось, может кому удалось отдать стат маршруты л2тп-клиенту <br>&gt; вин7?<br><br>Вот это работает для всех клиентов (WinXP+Win7). Единственное, больше 4 маршрутов прописать нельзя.<br><br>ip dhcp pool VPDN<br> network 192.168.254.0 255.255.255.0<br> default-router 192.168.254.1<br> dns-server 192.168.254.1<br> option 249 ip 24.192.168.1 192.168.254.1 24.10.10.10 192.168.254.1 24.192.168.10 192.168.254.1 24.10.0.10 192.168.254.1<br>!<br><br> https://www.opennet.ru/openforum/vsluhforumID6/372.html#10 Fri, 28 Dec 2012 12:32:22 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; 000490: *Dec 14 01:59:43.911 PCTime: DHCP: Received a BOOTREP pkt Not for <br>&gt;&gt;&gt; us..: xid: 0x4BD225D5 <br>&gt;&gt;&gt; то есть на-сколько я понял дхцпинформ пошел, дошел и дхцп послала пакет <br>&gt;&gt;&gt; а циска его отрубила, а как ей сказать чтобы она это <br>&gt;&gt;&gt; отправляла клиенту?<br>&gt;&gt; Возможно ошибка в опции 249? Если мы хотим по l2tp на клиенте <br>&gt;&gt; (Win7) получить доступ к 172.16.100.0/24 через 10.11.11.1, надо прописать: <br>&gt;&gt; ip dhcp pool VPDNDP <br>&gt;&gt; option 249 hex 18ac.1064.0a0b.0b01 <br>&gt; спасибо, но не помогло... может есть какие-то другие решения?<br><br>Смотрите, на винХП палит 249-ая опция в дхцп на циске, и все отдается и нужные маршруты на ХП прописываются, а вот для вин 7 ничего не происходит, добавил и аналогичную строчку со 121-ой опцией - ничего не поменялось, может кому удалось отдать стат маршруты л2тп-клиенту вин7?<br> https://www.opennet.ru/openforum/vsluhforumID6/372.html#9 Mon, 24 Dec 2012 21:22:57 GMT &gt;[оверквотинг удален]<br>&gt;&gt; да а во второй раз пришло в конце вот это - <br>&gt;&gt; 000490: *Dec 14 01:59:43.911 PCTime: DHCP: Received a BOOTREP pkt Not for <br>&gt;&gt; us..: xid: 0x4BD225D5 <br>&gt;&gt; то есть на-сколько я понял дхцпинформ пошел, дошел и дхцп послала пакет <br>&gt;&gt; а циска его отрубила, а как ей сказать чтобы она это <br>&gt;&gt; отправляла клиенту?<br>&gt; Возможно ошибка в опции 249? Если мы хотим по l2tp на клиенте <br>&gt; (Win7) получить доступ к 172.16.100.0/24 через 10.11.11.1, надо прописать: <br>&gt; ip dhcp pool VPDNDP <br>&gt; option 249 hex 18ac.1064.0a0b.0b01 <br><br>спасибо, но не помогло... может есть какие-то другие решения?<br> https://www.opennet.ru/openforum/vsluhforumID6/372.html#8 Fri, 14 Dec 2012 15:52:32 GMT &gt;[оверквотинг удален]<br>&gt; from lease good ret: 192.168.2.70 <br>&gt; 000333: *Dec 14 01:54:35.747 PCTime: %SEC-6-IPACCESSLOGP: list VPN permitted udp 10.11.11.11(0) <br>&gt; -&gt; 255.255.255.255(0), 1 packet <br>&gt; 000334: *Dec 14 01:54:46.103 PCTime: DHCP: Client socket is closed <br>&gt; да а во второй раз пришло в конце вот это - <br>&gt; 000490: *Dec 14 01:59:43.911 PCTime: DHCP: Received a BOOTREP pkt Not for <br>&gt; us..: xid: 0x4BD225D5 <br>&gt; то есть на-сколько я понял дхцпинформ пошел, дошел и дхцп послала пакет <br>&gt; а циска его отрубила, а как ей сказать чтобы она это <br>&gt; отправляла клиенту?<br><br>Возможно ошибка в опции 249? Если мы хотим по l2tp на клиенте (Win7) получить доступ к 172.16.100.0/24 через 10.11.11.1, надо прописать:<br><br>ip dhcp pool VPDNDP<br> option 249 hex 18ac.1064.0a0b.0b01<br><br> https://www.opennet.ru/openforum/vsluhforumID6/372.html#7 Thu, 13 Dec 2012 22:44:56 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; Тогда нат работать не будет. Команда nat inside только помечает пакеты, как <br>&gt;&gt;&gt; возможные для ната. И лишь покинув интерфейс, где стоит nat outside, <br>&gt;&gt;&gt; пакеты получат другой ip. Чтобы обойти эту логику, используйте ip <br>&gt;&gt;&gt; nat enable (потребуетcя также изменить ip nat sourсe...) <br>&gt;&gt;&gt; С другой стороны, зачем вам сдался нат? С точки зрения роутера, ваша <br>&gt;&gt;&gt; сеть подключена к нему напрямую.<br>&gt;&gt; да... да но с точки зрения хостов во внутренней сети для которых <br>&gt;&gt; эта циска не дефолтовый гейт... маршруты прописывать не хочется. ок, сейчас <br>&gt;&gt; опробую этот nvi.<br>&gt; !!! а работает же ведь!!! ))) <br><br>спасибо! очень все работает!<br>а вот по-второму вопросу не подскажите?<br><br>2. стандартная проблема выдачи маршрутов л2тп-клиентам.<br><br>вот схожие ветки... делают же ведь люди<br><br>http://www.opennet.ru/openforum/vsluhforumID10/4943.html<br>http://www.opennet.ru/openforum/vsluhforumID6/8569.html<br>http://www.opennet.ru/openforum/vsluhforumID6/23712.html?n=McLeod095<br><br>ДХцП беру из внутренне https://www.opennet.ru/openforum/vsluhforumID6/372.html#6 Thu, 13 Dec 2012 22:15:14 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; ip nat inside source route-map Inet_VPN interface FastEthernet0/1 overload <br>&gt;&gt; Тогда нат работать не будет. Команда nat inside только помечает пакеты, как <br>&gt;&gt; возможные для ната. И лишь покинув интерфейс, где стоит nat outside, <br>&gt;&gt; пакеты получат другой ip. Чтобы обойти эту логику, используйте ip <br>&gt;&gt; nat enable (потребуетcя также изменить ip nat sourсe...) <br>&gt;&gt; С другой стороны, зачем вам сдался нат? С точки зрения роутера, ваша <br>&gt;&gt; сеть подключена к нему напрямую.<br>&gt; да... да но с точки зрения хостов во внутренней сети для которых <br>&gt; эта циска не дефолтовый гейт... маршруты прописывать не хочется. ок, сейчас <br>&gt; опробую этот nvi.<br><br>!!! а работает же ведь!!! )))<br> https://www.opennet.ru/openforum/vsluhforumID6/372.html#5 Thu, 13 Dec 2012 22:12:19 GMT &gt;[оверквотинг удален]<br>&gt;&gt; speed auto <br>&gt;&gt; no mop enabled <br>&gt;&gt; crypto map OB_net <br>&gt;&gt; ip nat inside source route-map Inet_VPN interface FastEthernet0/1 overload <br>&gt; Тогда нат работать не будет. Команда nat inside только помечает пакеты, как <br>&gt; возможные для ната. И лишь покинув интерфейс, где стоит nat outside, <br>&gt; пакеты получат другой ip. Чтобы обойти эту логику, используйте ip <br>&gt; nat enable (потребуетcя также изменить ip nat sourсe...) <br>&gt; С другой стороны, зачем вам сдался нат? С точки зрения роутера, ваша <br>&gt; сеть подключена к нему напрямую.<br><br>да... да но с точки зрения хостов во внутренней сети для которых эта циска не дефолтовый гейт... маршруты прописывать не хочется. ок, сейчас опробую этот nvi.<br>