https://www.opennet.ru/openforum/vsluhforumID6/18852.html Есть cisco 2811 понял на ней easy vpn server, на PC поставил cisco vpn client, подключение происходит клиент получает ip из нужного пула но хосты в локальной сети почему то не видны(не проходит ping), в чем может быть проблема подскажите уважаемые..<br><br>crypto isakmp policy 500<br> encr 3des<br> authentication pre-share<br> group 2<br>crypto isakmp client configuration address-pool local pool1<br>!<br>crypto isakmp client configuration group ezvpn<br> key ciscocisco<br> pool pool1<br> save-password<br> netmask 255.255.255.0<br>!<br>!<br>crypto ipsec transform-set ts_ezvpn esp-aes esp-sha-hmac <br>!<br>crypto dynamic-map dm_map 1<br> description --Mobile remote access<br> set transform-set ts_ezvpn <br> reverse-route<br>!<br>!<br>!<br>crypto map cm_EZVPN client authentication list ezvpn<br>crypto map cm_EZVPN isakmp authorization list ezvpn<br>crypto map cm_EZVPN client configuration address respond<br>crypto map cm_EZVPN 500 ipsec-isakmp dynamic dm_map <br><br><br>в принципе такая же ситуация когда попытался поднять pptp сервер, подключение происходит клиент автори https://www.opennet.ru/openforum/vsluhforumID6/18852.html#14 Fri, 15 May 2009 06:46:17 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;2. <br>&gt;&gt;access-list 100 permit 10.10.10.0 0.0.0.255 any <br>&gt;<br>&gt;У вас неправильно описан этот ACL для split-route <br>&gt;Надо наоборот: <br>&gt;access-list 100 permit 10.10.10.0 0.0.0.255 х.х.х.х 0.0.0.255 <br>&gt;где х.х.х.х подсеть для VPN <br>&gt;<br>&gt;А вообще попробуйте посмотреть route print на вашей машине. <br><br>Изменил и адреса и acl,посмотрел route print маршрут есть, но ситуация не меняется, и вот это нормально --- допустим 1.1.1.1 это IP WAN интерфейса который смотрит в сторону провайдера на который соoбствено я и подымаю VPN , 10.10.10.0/24 LAN сеть, так вот при соединении когда я получаю IP и пытаюсь что то пропинговать из LAN ответ (Reply from), идет от адреса 1.1.1.1, такое чувство что не строится тунель <br> https://www.opennet.ru/openforum/vsluhforumID6/18852.html#13 Thu, 14 May 2009 16:51:38 GMT 1. Вы таки опять используете адреса локальной сети для VPN.<br>Не будет так работать. Я обьяснял почему.<br><br>2.<br>&gt;access-list 100 permit 10.10.10.0 0.0.0.255 any <br><br>У вас неправильно описан этот ACL для split-route<br>Надо наоборот:<br>access-list 100 permit 10.10.10.0 0.0.0.255 х.х.х.х 0.0.0.255<br>где х.х.х.х подсеть для VPN<br><br>А вообще попробуйте посмотреть route print на вашей машине.<br> https://www.opennet.ru/openforum/vsluhforumID6/18852.html#12 Thu, 14 May 2009 15:07:56 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;VPN в принципе нужен для того что б удаленные пользователи могли <br>&gt;&gt;&gt;попасть на эти сервера, как быть в такой ситуации?? <br>&gt;&gt;<br>&gt;&gt;Еще как-то странно допустим 1.1.1.1 это IP WAN интерфейса который смотрит в <br>&gt;&gt;сторону провайдера на который соoбствено я и подымаю VPN , 10.10.10.0/24 <br>&gt;&gt;LAN сеть, так вот при соединении когда я получаю IP и <br>&gt;&gt; пытаюсь что то пропинговать из LAN ответ (Reply from), <br>&gt;&gt;идет от адреса 1.1.1.1 <br>&gt;<br>&gt;Конфиг и схему покажите. <br><br>А схема сообственно любой юзер с инета мог подключится VPN-ом в корп сеть и работать<br><br>crypto isakmp policy 500<br> encr 3des<br> authentication pre-share<br> group 2<br>crypto isakmp client configuration address-pool local pool1<br>!<br>crypto isakmp client configuration group ezvpn<br> key ciscocisco<br> pool pool1<br> acl 100<br> save-password<br> netmask 255.255.255.0<br>!<br>!<br>crypto ipsec transform-set ts_ezvpn esp-3des esp-sha-hmac <br>!<br>crypto dynamic-map dm_map 1<br> description --Mobile remote access<br> set transform-set ts_ezvpn <br> reverse-rout https://www.opennet.ru/openforum/vsluhforumID6/18852.html#11 Thu, 14 May 2009 14:40:30 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;Дело в том что сервера в локальной сети находятся за NAT, и <br>&gt;&gt;VPN в принципе нужен для того что б удаленные пользователи могли <br>&gt;&gt;попасть на эти сервера, как быть в такой ситуации?? <br>&gt;<br>&gt;Еще как-то странно допустим 1.1.1.1 это IP WAN интерфейса который смотрит в <br>&gt;сторону провайдера на который соoбствено я и подымаю VPN , 10.10.10.0/24 <br>&gt;LAN сеть, так вот при соединении когда я получаю IP и <br>&gt; пытаюсь что то пропинговать из LAN ответ (Reply from), <br>&gt;идет от адреса 1.1.1.1 <br><br>Конфиг и схему покажите.<br> https://www.opennet.ru/openforum/vsluhforumID6/18852.html#10 Thu, 14 May 2009 14:00:00 GMT &gt;&gt;<br>&gt;&gt;&gt;равно не работало. Кстати еще на маршрутизаторе есть NAT это может <br>&gt;&gt;&gt;влиять? <br>&gt;&gt;<br>&gt;&gt;Конечно. Надо исключить подсеть VPN из NAT <br>&gt;<br>&gt;Дело в том что сервера в локальной сети находятся за NAT, и <br>&gt;VPN в принципе нужен для того что б удаленные пользователи могли <br>&gt;попасть на эти сервера, как быть в такой ситуации?? <br><br>Еще как-то странно допустим 1.1.1.1 это IP WAN интерфейса который смотрит в сторону провайдера на который соoбствено я и подымаю VPN , 10.10.10.0/24 LAN сеть, так вот при соединении когда я получаю IP и пытаюсь что то пропинговать из LAN ответ (Reply from), идет от адреса 1.1.1.1 <br> https://www.opennet.ru/openforum/vsluhforumID6/18852.html#9 Thu, 14 May 2009 13:49:33 GMT &gt;<br>&gt;&gt;равно не работало. Кстати еще на маршрутизаторе есть NAT это может <br>&gt;&gt;влиять? <br>&gt;<br>&gt;Конечно. Надо исключить подсеть VPN из NAT <br><br>Дело в том что сервера в локальной сети находятся за NAT, и VPN в принципе нужен для того что б удаленные пользователи могли попасть на эти сервера, как быть в такой ситуации?? <br> https://www.opennet.ru/openforum/vsluhforumID6/18852.html#8 Thu, 14 May 2009 13:31:23 GMT <br>&gt;равно не работало. Кстати еще на маршрутизаторе есть NAT это может <br>&gt;влиять? <br><br>Конечно. Надо исключить подсеть VPN из NAT<br> https://www.opennet.ru/openforum/vsluhforumID6/18852.html#7 Thu, 14 May 2009 12:57:44 GMT &gt;&gt;&gt;И, кстати, при чем тут pptp? <br>&gt;&gt;<br>&gt;&gt;C одной подсети, pptp не причем просто когда у меня не получилось <br>&gt;&gt;easy vpn, я попробовал с pptp но эфект такой же. <br>&gt;<br>&gt;Потому что одна подсеть. Для компьютера в локальной сети пришедший пакет считается <br>&gt;локальным. И ответ будет локальным. Ему нет смысла отсылать что-то через <br>&gt;маршрутизатор. <br>&gt;В этом и есть косяк. Выделяйте под VPN отдельную подсеть. <br><br>Пробовал и разные подсети, при этом на удаленом компьютере прописывал маршрут, все равно не работало. Кстати еще на маршрутизаторе есть NAT это может влиять? <br><br> https://www.opennet.ru/openforum/vsluhforumID6/18852.html#6 Thu, 14 May 2009 12:44:12 GMT &gt;[оверквотинг удален]<br>&gt;&gt;в принципе такая же ситуация когда попытался поднять pptp сервер, подключение происходит <br>&gt;&gt;клиент авторизируется но LAN на видна <br>&gt;<br>&gt;А чего не соответствие алгоритмов шифрования ? <br>&gt;crypto isakmp policy 500 <br>&gt;&gt; encr 3des <br>&gt;<br>&gt;crypto ipsec transform-set ts_ezvpn esp-aes esp-sha-hmac <br>&gt;<br>&gt;определитесь уже aes или 3des <br><br>изменил на crypto ipsec transform-set ts_ezvpn esp-3des esp-sha-hmac, но ничего не изменилось<br>