отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Easy vpn

Здравствуйте!

Подскажите пожалуйста!

CISCO881-SEC-K9 пытаюсь поднять Easy VPN с удаленного компа подключаюсь  авторизация проходит но  доступа к локальную сеть нет, пинги не проходят и не могу подключиться к серверу

Заранее благодарю за ответ!!

1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения

Re: Easy vpn

Вы на NAT его вешали?

no ip nat inside source list 20 interface Vlan2925 overload

ip nat inside source list VPN_CLIENT123 interface Vlan2925 overload

(но я уже один раз наступал на грабли, применяя один ACL одновременно к NAT и IPSec, так что предпочитаю делать их разными)

Если не работает, то:

show crypto ipsec sa

show crypto ipsec client ez

И кстати, ACL SPLIT-TUNNEL лучше сделать standart'ом, с содержанием:

192.168.10.0 0.0.0.255

192.168.20.0 0.0.0.255

и так далее.

4 ОТВЕТ.

Easy vpn

Трафик от 192.168.20.0/24 определенно подпадает под NAT:

ip nat inside source list 20 interface Vlan2925 overload

Советую попробовать привязать к нему не ACL 20, а ACL ACL-ETH-NAT, который вроде правильно сформирован. А лучше создать отдельный ACL.

А с какой целью настроен PBR? Если в роут-мапе стоит set ip next-hop на провайдерский адрес, то я бы вообще убрал эту конфигурацию.

New Member

Re: Easy vpn

Дмитрий Подскажите пожалуйста какой иммено нужно создать access-list?

создавал аналогичный лист

ip access-list extended ACL-ETH-NAT

deny   ip 192.168.20.0 0.0.0.255 192.168.2.0 0.0.0.255

deny   ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.7

deny   ip 192.168.20.0 0.0.0.255 192.168.21.0 0.0.0.7

deny   ip 192.168.20.0 0.0.0.255 192.168.22.0 0.0.0.255

permit ip 192.168.20.0 0.0.0.255 any

 

авторизация проходит, а пинги не проходят с компа клиента на 192.168.20.1

создал такой лист

ip access-list extended VPN_CLIENT123

deny   ip 192.168.20.0 0.0.0.255 192.168.22.0 0.0.0.255

permit ip 192.168.20.0 0.0.0.255 any

БЕЗРЕЗУЛЬТАТНО! (((

 

прописал на

crypto isakmp client configuration group *****

key *****

dns ******

wins *****

domain ******

pool VPN-POOL

acl VPN_CLIENT123

 

может быть проблема в ip local pool VPN-POOL 192.168.22.11 192.168.22.30

нужно ли указывать в ip access-list extended VPN_CLIENT123 соответствующюю маску для ip local pool VPN-POOL???

 

подскажите какой иммено нужен access-list!

Спасибо!

 

Re: Easy vpn

Вы на NAT его вешали?

no ip nat inside source list 20 interface Vlan2925 overload

ip nat inside source list VPN_CLIENT123 interface Vlan2925 overload

(но я уже один раз наступал на грабли, применяя один ACL одновременно к NAT и IPSec, так что предпочитаю делать их разными)

Если не работает, то:

show crypto ipsec sa

show crypto ipsec client ez

И кстати, ACL SPLIT-TUNNEL лучше сделать standart'ом, с содержанием:

192.168.10.0 0.0.0.255

192.168.20.0 0.0.0.255

и так далее.

New Member

Re: Easy vpn

Огромное Спасибо Дмитрий!

Урааааааааа! Получилось!

231
Просмотры
0
Полезный материал
4
Ответы