Ответить с цитатой
Сообщение Cisco 2911 и SSL VPNне пускает в клиентов в LAN
помогите со следующей проблемой :
Настроил SSL VPN на cisco 2911 (ios 15.1), предварительно покрутив более простую связку на GSN3 (в том числе и просто remote access ipsec).
При этом на реальном конфиге имеют такую ситуацию:
Соединение устанавливается, проблем нет. Но удаленный клиент не может обмениваться трафиком с локальной сетью.
Доступен только обмен трафиком с интерфейсом маршрутизатора в локальной сети
Если создаю Loopback0 то он также доступен для обмена трафиком (icmp идет).
Но обмен с локальной сетью для меня пока остается не решенной.
Настроил ipsec remote access - такая я же ситуация.На маршрутизаторе настроен PBR с помощью route-map, с помощью которых осуществляется выбор маршрута на тот либо иной линк провайдера.
Линк на котором делаю коннект насколько я понимаю (т.к конфигурация не моя, еще разбираюсь) разрешает исходящий трафик только в удаленные сети.
ip nat inside source route-map NAT-TO-WAN3 interface Vlan2 overload
route-map NAT-TO-WAN3 permit 10
match ip address LAN
match ip next-hop NAT-TO-WAN3
ip access-list standard NAT-TO-WAN3
permit <WAN3-GW>
ip access-list extended LAN
deny ip 192.168.0.0 0.0.1.255 192.168.51.0 0.0.0.255
deny ip 192.168.0.0 0.0.1.255 192.168.35.0 0.0.0.255
deny ip 192.168.0.0 0.0.1.255 192.168.33.0 0.0.0.255
deny ip 192.168.0.0 0.0.1.255 192.168.29.0 0.0.0.255
deny ip 192.168.0.0 0.0.1.255 192.168.50.0 0.0.0.255
deny ip 192.168.0.0 0.0.1.255 192.168.37.0 0.0.0.255
deny ip 192.168.0.0 0.0.1.255 192.168.36.0 0.0.0.255
deny ip 192.168.0.0 0.0.1.255 192.168.44.0 0.0.0.255
deny ip 192.168.0.0 0.0.1.255 192.168.76.0 0.0.0.255
deny ip 192.168.0.0 0.0.1.255 192.168.135.0 0.0.0.255
deny ip 192.168.0.0 0.0.1.255 192.168.150.0 0.0.0.255
deny ip 192.168.0.0 0.0.1.255 192.168.235.0 0.0.0.255
permit ip host 192.168.0.152 any
permit ip host 192.168.0.151 any
permit ip host 192.168.0.44 host 193.233.48.99
permit ip host 192.168.0.16 any
permit ip host 192.168.0.17 host 193.233.48.99
permit ip host 192.168.0.18 any
permit ip host 192.168.0.19 any
permit ip host 192.168.0.21 any
permit ip host 192.168.0.79 any
permit ip host 192.168.0.9 any
permit ip host 192.168.0.100 any
permit ip host 192.168.0.121 any
permit ip host 192.168.0.204 any
permit ip host 192.168.0.205 any
permit ip host 192.168.0.7 any
permit ip host 192.168.0.112 any
permit ip host 192.168.0.109 any
permit ip host 192.168.0.23 any
permit ip host 192.168.0.10 any
permit ip host 192.168.0.251 any
permit ip host 192.168.0.249 any
permit ip host 192.168.0.24 any
permit ip host 192.168.0.15 any
permit ip host 192.168.0.73 any
permit ip host 192.168.0.12 any
permit ip host 192.168.0.11 any
permit ip host 192.168.0.87 any
permit ip host 192.168.0.5 any
permit ip host 192.168.0.60 any
permit ip host 192.168.0.128 any
interface Vlan2
description WAN3
ip address <IP_WA3> 255.255.255.252
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly in
crypto map ra-vpn-map
!
Конфигурация Webvpn у меня не вызывает сомнений в правильности
Код:
ip local pool ssl-pool 172.18.12.10 172.18.12.25
webvpn gateway ssl_gate
ip address <IP_WAN3> port 443
ssl trustpoint TP-self-signed-2312210246
logging enable
inservice
!
webvpn install svc flash0:/webvpn/anyconnect-win-3.1.04066-k9.pkg sequence 1
!
webvpn context ssl_context
ssl authenticate verify all
!
!
policy group ssl_policy
functions svc-enabled
banner "Welcom users"
svc address-pool "ssl-pool"
svc default-domain "test.ru"
svc keep-client-installed
default-group-policy ssl_policy
aaa authentication list userauthen-ra
gateway ssl_gate
inservice
!
В таблице маршутизации маршрут имеется
Код:
172.18.0.0/32 is subnetted, 1 subnets
S 172.18.12.16 [0/0] via 0.0.0.0, Virtual-Access1
WINDOWS ROUTE PRINT
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 172.18.12.23 172.18.12.21 1
89.179.87.102 255.255.255.255 192.168.1.1 192.168.1.11 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
172.18.12.21 255.255.255.255 127.0.0.1 127.0.0.1 1
172.18.255.255 255.255.255.255 172.18.12.21 172.18.12.21 1
192.168.1.0 255.255.255.0 192.168.1.11 192.168.1.11 10
192.168.1.0 255.255.255.0 172.18.12.23 172.18.12.21 1
192.168.1.1 255.255.255.255 192.168.1.11 192.168.1.11 1
192.168.1.11 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.1.255 255.255.255.255 192.168.1.11 192.168.1.11 10
224.0.0.0 240.0.0.0 172.18.12.21 172.18.12.21 1
224.0.0.0 240.0.0.0 192.168.1.11 192.168.1.11 10
255.255.255.255 255.255.255.255 172.18.12.21 172.18.12.21 1
255.255.255.255 255.255.255.255 192.168.1.11 192.168.1.11 1
255.255.255.255 255.255.255.255 192.168.1.11 2 1
Основной шлюз: 172.18.12.23
===========================================================================
Заранее благодарен за советы и наводки