The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Непонятки с VPN."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"Непонятки с VPN."  +/
Сообщение от Alyce (ok) on 07-Окт-10, 19:50 
Добрый день.

Добрый день.
Есть cisco. Gi0/2 - провайдер, Gi0/0 - LAN.
Надо настроить VPN, чтобы клиенты могли входить в локалку.
IP LAN - 10.0.0.0
IP VPN - 10.100.1.0
Вот часть конфига:

-- cut--
version 15.0
aaa new-model
!
aaa authentication login userauth local
aaa authorization network groupauthor local
!
aaa session-id common
!
username test password XXXXXXXXXX
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key KEYXXX address 0.0.0.0 0.0.0.0
!
crypto isakmp client configuration group MobVPN
key KEYXXX
dns 10.0.0.2
pool MobVPN_Pool
acl MobVPN
netmask 255.255.255.0
!
!
crypto ipsec transform-set Trans-MobVPN esp-3des esp-md5-hmac
!
crypto dynamic-map MapVPN 1
set transform-set Trans-MobVPN
reverse-route
!
!
crypto map MobVPN_Map client authentication list userauth
crypto map MobVPN_Map isakmp authorization list groupauthor
crypto map MobVPN_Map client configuration address respond
crypto map MobVPN_Map 1 ipsec-isakmp dynamic MapVPN
!
interface GigabitEthernet0/0
description Local LAN
ip address 10.0.0.1 255.0.0.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface GigabitEthernet0/2
description ISP
ip address 85.xxx.xxx.xxx 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map MobVPN_Map
!
ip local pool MobVPN_Pool 10.100.1.1 10.100.1.254
!
ip nat inside source route-map VPN-map interface GigabitEthernet0/2 overload
!
ip access-list extended MobVPN
permit ip 10.0.0.0 0.255.255.255 any
!
access-list 100 deny ip 10.0.0.0 0.255.255.255 10.100.1.0 0.0.0.255
access-list 100 permit ip 10.0.0.0 0.255.255.255 any
!
route-map VPN-map permit 10
match ip address 100
match interface GigabitEthernet0/2
!
end
-- cut --

При таком конфиге клиент подключается, но пингует только 10.0.0.1.
Внутри сети не пингуется ничего.

Со стороны клиента traceroute выглядит так:

-- cut --
C:\cisco\tftp>tracert 10.0.200.1

Трассировка маршрута к 10.0.200.1 с максимальным числом прыжков 30

1 1049 ms 1138 ms 945 ms 85.xxx.xxx.xxx
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.

C:\cisco\tftp>tracert 10.0.0.1

Трассировка маршрута к 10.0.0.1 с максимальным числом прыжков 30

1 2556 ms * * 10.0.0.1
2 1386 ms 1417 ms 1041 ms 10.0.0.1

Трассировка завершена.
-- cut --

То есть похоже, что срабатывает nat, когда пингуем внутрь сети.
А когда пингую 10.0.0.1 - nat не срабатывает, как и должно быть.

Что я делаю не так?
Как поправить?
Спасибо.

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Непонятки с VPN."  +/
Сообщение от j_vw on 08-Окт-10, 00:39 
В "Анти..." ответил....
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру