Помогите, если не трудно.
Есть кошка 12.4T.
К ней подключены локалка и 2 провайдера.
Необходимо сделать, чтобы пользователи ходили в тырнет через 1 провайдера, в все VPN-клиенты и тоннели через второго прова, при падении главного канала всех переключает на резервный, который для тонелей используется. Всё настроил, юзеры бегают, как надо через 1 канал, тонели работают через второй, при падении всё переключается, работает. НО! Возникла проблема с удалёнными пользователями, которые пользуют cisco vpn client. При соединении с циской они получают IP, нужные маршруты, но обратная связь с их vpn-IP циска выстраивает через дефолт-гейт, соответственно в клиентский тонель пакет не убегает. Как бы её заставить правильный роутинг устанавливать при коннекте клиента?
Данные:
Гейт 1 провайдера (куда дефолтом бегают юзвери): 192.168.1.3 (мой ip: 192.168.1.1/24)
Гейт 2 провайдера: 88.88.88.1 (мой ip: 88.88.88.83/24)
Сеть впн-клиентов: 172.30.0.0/16
Локалка: 192.168.0.0/24===== конфиг начало =====
#sh run
Building configuration...
Current configuration : 10135 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname core.localnet
!
boot-start-marker
boot system flash c880data-universalk9-mz.124-24.T.bin
boot-end-marker
!
security authentication failure rate 3 log
logging message-counter syslog
logging buffered 51200
logging console critical
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
!
aaa session-id common
memory-size iomem 10
clock timezone Moscow 3
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-1265679897
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1265679897
revocation-check none
rsakeypair TP-self-signed-1265679897
!
!
crypto pki certificate chain TP-self-signed-1265679897
certificate self-signed 01
3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
...skiped...
quit
!
ip source-route
ip arp proxy disable
ip icmp rate-limit unreachable 1000
ip icmp rate-limit unreachable DF 1000
ip dhcp excluded-address 192.168.0.1
ip dhcp excluded-address 192.168.0.99
ip dhcp excluded-address 192.168.0.101 192.168.0.254
!
ip dhcp pool pooldhcp
network 192.168.0.0 255.255.255.0
domain-name local.localnet
default-router 192.168.0.1
dns-server 192.168.0.222
netbios-name-server 192.168.0.222
lease 7
!
no ip cef
no ip bootp server
no ip domain lookup
ip domain name core.localnet
ip inspect alert-off
ip inspect tcp max-incomplete host 9999 block-time 0
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 esmtp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive
login on-failure log
login on-success log
no ipv6 cef
!
!
!
username список юзеров с паролями
!
crypto key pubkey-chain rsa
named-key realm-cisco.pub signature
key-string
30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
...skiped...
quit
!
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
lifetime 28800
! Постоянный тонель, всё норм работает
crypto isakmp key 92c133ce5d address 99.99.99.55 no-xauth
crypto isakmp client configuration address-pool local dynpool
!
crypto isakmp client configuration group easy_vpn
key SecretPass
wins 192.168.0.222
domain local.localnet
pool dynpool
acl vpnclientacl
!
!
crypto ipsec transform-set tuneltrans esp-aes 256 esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set tuneltrans
reverse-route
!
!
crypto map vpnmap client authentication list userauthen
crypto map vpnmap isakmp authorization list groupauthor
crypto map vpnmap client configuration address respond
crypto map vpnmap 5 ipsec-isakmp dynamic dynmap
crypto map vpnmap 10 ipsec-isakmp
set peer 99.99.99.55
set transform-set tuneltrans
set pfs group5
match address 130
!
archive
log config
logging enable
notify syslog contenttype plaintext
hidekeys
!
!
ip tcp selective-ack
ip tcp timestamp
ip tcp synwait-time 10
!
!
!
interface FastEthernet0
description LocalNET
switchport access vlan 192
!
interface FastEthernet1
switchport access vlan 192
!
interface FastEthernet2
switchport access vlan 192
!
interface FastEthernet3
switchport access vlan 150
duplex full
speed 100
!
interface FastEthernet4
description Второй_Провайдер
ip address 88.88.88.83 255.255.255.0
ip access-group ANTISPOOFING in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat outside
ip virtual-reassembly
ip route-cache policy
ip tcp adjust-mss 1452
ip policy route-map equal-access
duplex auto
speed auto
crypto map vpnmap
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
no ip address
!
interface Vlan150
description Первый_главный_Провайдер
ip address 192.168.1.1 255.255.255.0
!
interface Vlan192
description LocalNet_192.168.0.0
ip address 192.168.0.254 255.255.255.0 secondary
ip address 192.168.0.1 255.255.255.0
no ip redirects
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly
ip route-cache policy
! Включаю локал-полиси, чтобы ответы с интерфейса второго провайдера уходили к нему же, а не по дефолту к первому
ip local policy route-map equal-access
!
ip local pool dynpool 172.30.0.100 172.30.0.200
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 192.168.1.3 5
ip route 0.0.0.0 0.0.0.0 88.88.88.1 10
ip route 192.168.11.0 255.255.255.0 99.99.99.55 5 permanent
ip route 192.168.101.0 255.255.255.0 99.99.99.55 5 permanent
ip route 192.168.107.0 255.255.255.0 99.99.99.55 5 permanent
ip route 172.18.0.0 255.255.255.0 192.168.0.222 permanent
ip route 172.30.0.0 255.255.255.0 88.88.88.1 permanent
ip route 99.99.99.0 255.255.255.0 88.88.88.1 5 permanent
no ip http server
no ip http secure-server
!
!
ip nat inside source route-map nonat interface FastEthernet4 overload
!
ip access-list extended ANTISPOOFING
permit ip 99.28.1.0 0.0.1.255 any
permit ip 99.14.12.0 0.0.1.255 any
permit ip 17.10.20.0 0.0.7.255 any
deny tcp any any eq 135
deny tcp any any eq 139
deny tcp any any eq 445
deny ip 172.16.0.0 0.15.255.255 any
deny ip 224.0.0.0 15.255.255.255 any
deny tcp any host 88.88.88.83 eq 22
deny tcp any host 88.88.88.83 eq telnet
deny tcp any host 0.0.0.0
permit ip any any
ip access-list extended vpnclientacl
permit ip 192.168.0.0 0.0.0.255 172.30.0.0 0.0.255.255
permit ip host 192.168.101.187 172.30.0.0 0.0.255.255
permit ip host 192.168.107.107 172.30.0.0 0.0.255.255
permit ip host 192.168.11.129 172.30.0.0 0.0.255.255
permit ip host 192.168.101.100 172.30.0.0 0.0.255.255
!
access-list 2 permit 88.88.88.83
access-list 2 permit 172.30.0.0 0.0.0.255
access-list 102 deny ip 192.168.0.0 0.0.0.255 host 192.168.101.100
access-list 102 deny ip 192.168.0.0 0.0.0.255 host 192.168.11.129
access-list 102 deny ip 192.168.0.0 0.0.0.255 host 192.168.101.187
access-list 102 deny ip 192.168.0.0 0.0.0.255 host 192.168.107.107
access-list 102 deny ip 192.168.0.0 0.0.0.255 172.30.0.0 0.0.255.255
access-list 102 permit ip 192.168.0.0 0.0.0.255 any
access-list 130 permit ip 192.168.0.0 0.0.0.255 host 192.168.101.100
access-list 130 permit ip 192.168.0.0 0.0.0.255 host 192.168.11.129
access-list 130 permit ip 192.168.0.0 0.0.0.255 host 192.168.107.107
access-list 130 permit ip 192.168.0.0 0.0.0.255 host 192.168.101.187
access-list 130 permit ip 192.168.0.0 0.0.0.255 172.30.0.0 0.0.255.255
no cdp run
!
!
!
!
route-map equal-access permit 10
match ip address 2
set ip default next-hop 88.88.88.1
!
route-map nonat permit 10
match ip address 102
===== конфиг конец =====
Включил для теста ip cef, и вижу, как при соединеи клиента строится мартшут - почему-то гейтом выставляется гейт первого провайдера:
#do sh ip cef
Prefix Next Hop Interface
0.0.0.0/0 192.168.1.3 Vlan150
0.0.0.0/8 drop
0.0.0.0/32 receive
88.88.88.0/24 attached FastEthernet4
88.88.88.83/32 receive FastEthernet4
127.0.0.0/8 drop
172.30.0.0/24 88.88.88.1 FastEthernet4
! А вот, появившийся маршрут, после коннекта cisco vpn client
172.30.0.108/32 192.168.1.3 Vlan150
!
192.168.0.0/24 attached Vlan192
...skip...
Если отключаю первого прова - сразу выставляется так:
172.30.0.108/32 88.88.88.1 FastEthernet4
и всё работает, клиенты на cisco vpn client всё видят, всё норм бегает.
Поможите, кто чем может... :)
[сообщение отредактировано модератором]