https://slinkov.ru/openforum/vsluhforumID6/19913.html Доброго времени суток, Коллеги.<br>Имею следующую проблему:<br>Поднят Eazy VPN сервер на Cisco 871-k9.<br>авторизация проходит, тоннель строится нормально, сплит работает.<br>Сеть впн клиентов: 10.0.18.0/24<br>Сеть Интернал: 10.0.4.0/24<br>но для VPN клиента выдается не верный GW (а соответственно пакеты от впн клиента в интернал сеть не идут):<br>(листинг с клиента)<br>Network Destination Netmask Gateway Interface Metric<br> 0.0.0.0 0.0.0.0 On-link 10.23.77.208 51<br> 10.0.0.0 255.0.0.0 On-link 10.0.18.22 306<br> 10.0.18.0 255.255.255.0 10.0.0.1 10.0.18.22 100<br> 10.0.18.22 255.255.255.255 On-link 10.0.18.22 306<br><br>хоста 10.0.0.1 не существует. откуда оно взяло этот гейт?<br><br>Вот конфиг циски:<br>Current configuration : 2677 bytes<br>!<br>version 12.4<br>no service pad<br>service timestamps debug datetime msec<br>service timestamps log datetime localtime<br>no service password-encryption<br>!<br>hostname rtr0 https://slinkov.ru/openforum/vsluhforumID6/19913.html#10 Tue, 27 Oct 2009 22:59:45 GMT &gt;[оверквотинг удален]<br>&gt;&gt;НА: <br>&gt;&gt;на access-list ex nat1 <br>&gt;&gt;deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255 <br>&gt;&gt;permit 10.0.4.0 0.0.0.255 any <br>&gt;deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255 <br>&gt;permit ip 10.0.4.0 0.0.0.255 any <br>&gt;&gt;<br>&gt;&gt;на access-list ex nat10 <br>&gt;deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255 <br>&gt;permit ip 10.0.16.0 0.0.0.255 any <br><br>Спасибо, добрый человек, заработало!<br><br> https://slinkov.ru/openforum/vsluhforumID6/19913.html#9 Tue, 27 Oct 2009 21:56:32 GMT &gt;Ни разу ;) <br>&gt;Он у вас ОБРАТНЫЙ <br>&gt;не 10.0.18.0 0.0.0.255 any <br>&gt;Надо: <br>&gt;10 permit 10.0.16.0 0.0.0.255 аnу <br>&gt;20 permit 10.0.4.0 0.0.0.255 any <br><br>permit ip 10.0.16.0 0.0.0.255 аnу <br>permit ip 10.0.4.0 0.0.0.255 any <br><br>&gt;[оверквотинг удален]<br>&gt;По NAT, переделайте: <br>&gt;<br>&gt;access-list 1 permit 10.0.4.0 0.0.0.255 <br>&gt;access-list 10 permit 10.0.16.0 0.0.0.255 <br>&gt;<br>&gt;НА: <br>&gt;<br>&gt;на access-list ex nat1 <br>&gt;deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255 <br>&gt;permit 10.0.4.0 0.0.0.255 any <br><br>deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255 <br>permit ip 10.0.4.0 0.0.0.255 any <br><br><br>&gt;<br>&gt;на access-list ex nat10 <br>&gt;deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255 <br>&gt;access-list 10 permit ip 10.0.16.0 0.0.0.255 any <br><br>deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255 <br>permit ip 10.0.16.0 0.0.0.255 any <br><br><br>Можно, для начала, добавить в конце строчек log, чтобы видеть на экране (ter mon), куда пакеты попадают.<br><br><br> https://slinkov.ru/openforum/vsluhforumID6/19913.html#8 Tue, 27 Oct 2009 21:48:13 GMT &gt;<br>&gt;когда 172.17.0.5 - адрес впн клиента, а 172.17.0.1 - его GW - <br>&gt;да, это нормально, <br>&gt;но когда 10.0.18.1 - адрес впн клиента, а 10.0.0.1 - его GW <br>&gt;- это ИМХО не! нормально. <br>&gt;<br>&gt;по поводу ACL: <br>&gt;Предложенный вами экстендед ацл - суть тоже что и мой 150тый. <br><br>Ни разу ;) <br>Он у вас ОБРАТНЫЙ<br>не 10.0.18.0 0.0.0.255 any<br>Надо:<br>10 permit 10.0.16.0 0.0.0.255 аnу<br>20 permit 10.0.4.0 0.0.0.255 any<br><br>Это ПЕРЕДАЮЩИЕСЯ клиенту маршруты!!!<br><br><br>По NAT, переделайте:<br><br>access-list 1 permit 10.0.4.0 0.0.0.255<br>access-list 10 permit 10.0.16.0 0.0.0.255<br><br>НА:<br><br>на access-list ex nat1 <br>deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255<br>permit 10.0.4.0 0.0.0.255 any<br><br><br>на access-list ex nat10 <br>deny ip 10.0.4.0 0.0.0.255 10.0.18.0 0.0.0.255<br>access-list 10 permit ip 10.0.16.0 0.0.0.255 any<br><br><br>Ну, и ip nat iside, соответственно....<br><br><br>&gt;но! я попробовал и так как у вас. фокус не удался, ничего <br>&gt;не изменилось. <br>&gt;и все-таки проблема в GW )) <br><br>Это есть?:<br><br>crypto isakmp client configuration group YYYYYY<br>netm https://slinkov.ru/openforum/vsluhforumID6/19913.html#7 Tue, 27 Oct 2009 21:26:56 GMT &gt;[оверквотинг удален]<br>&gt;&gt;вот такая байда теперь в route print на клиенте: <br>&gt;&gt;Active Routes: <br>&gt;&gt;Откуда берется это 10.0.0.1 ? :wall: <br>&gt;<br>&gt;Это нормально. <br>&gt;<br>&gt;Или,скажу так: У МЕНЯ так же.... <br>&gt;<br>&gt; 10.228.0.0 255.255.255.0 <br>&gt;172.17.0.1 172.17.0.5 <br><br>когда 172.17.0.5 - адрес впн клиента, а 172.17.0.1 - его GW - да, это нормально,<br>но когда 10.0.18.1 - адрес впн клиента, а 10.0.0.1 - его GW - это ИМХО не! нормально.<br><br>по поводу ACL:<br>Предложенный вами экстендед ацл - суть тоже что и мой 150тый.<br>но! я попробовал и так как у вас. фокус не удался, ничего не изменилось.<br>и все-таки проблема в GW ))<br> https://slinkov.ru/openforum/vsluhforumID6/19913.html#6 Tue, 27 Oct 2009 20:30:19 GMT <br><br>access-list 1 permit 10.0.4.0 0.0.0.255<br>access-list 10 permit 10.0.16.0 0.0.0.255<br>access-list 150 permit ip 10.0.18.0 0.0.0.255 any<br><br> https://slinkov.ru/openforum/vsluhforumID6/19913.html#5 Tue, 27 Oct 2009 20:24:09 GMT &gt;2 J_VW: <br>&gt;вот такая байда теперь в route print на клиенте: <br>&gt;Active Routes: <br>&gt;Откуда берется это 10.0.0.1 ? :wall: <br><br>Это нормально.<br><br>Или,скажу так: У МЕНЯ так же....<br><br> 10.228.0.0 255.255.255.0 172.17.0.1 172.17.0.5 1<br><br>На Кошке (sh ip ro)<br><br><br> 172.17.0.0/32 is subnetted, 1 subnets<br>S 172.17.0.5 [1/0] via "ip клиента"<br><br>Все ходит<br><br><br> https://slinkov.ru/openforum/vsluhforumID6/19913.html#4 Tue, 27 Oct 2009 20:11:10 GMT 2 J_VW:<br>вот такая байда теперь в route print на клиенте:<br>Active Routes:<br>Network Destination Netmask Gateway Interface Metric<br> 0.0.0.0 0.0.0.0 On-link 10.20.80.186 51<br> 10.0.0.0 255.0.0.0 On-link 10.0.18.25 306<br> 10.0.4.0 255.255.255.0 10.0.0.1 10.0.18.25 100<br> 10.0.16.0 255.255.255.0 10.0.0.1 10.0.18.25 100<br><br>Откуда берется это 10.0.0.1 ? :wall:<br> https://slinkov.ru/openforum/vsluhforumID6/19913.html#3 Tue, 27 Oct 2009 19:31:37 GMT Сравнивай....<br><br><br>crypto isakmp profile VPNclient<br> match identity group YYYYYY<br> client authentication list vpn<br> isakmp authorization list vpn<br> client configuration address respond<br><br>ip local pool ippool 172.17.0.1 172.17.0.10<br><br>crypto isakmp client configuration group YYYYYY<br> key XXXXX<br> pool ippool<br> acl EasyVPN<br> include-local-lan<br> netmask 255.255.255.0<br><br>crypto dynamic-map dynmap 10<br> set transform-set Vasya<br> set isakmp-profile VPNclient<br> reverse-route<br><br>crypto map clientmap 10 ipsec-isakmp dynamic dynmap <br><br><br>ip access-list extended EasyVPN<br> permit ip 10.1.1.0 0.0.0.255 any<br> permit ip 10.228.0.0 0.0.0.255 any<br><br>Это сети, на которые передаются маршруты в клиентскую машину.<br><br>Ну, и в ACL ната запрещен маршрут в ippool<br><br><br> https://slinkov.ru/openforum/vsluhforumID6/19913.html#2 Tue, 27 Oct 2009 19:06:35 GMT &gt;Попробуйте для начала добавить ip classless <br><br>Вы имеете в виду ip classes routing?<br><br>Кстати, промелькнула у меня мысля что пакеты от ВПН клиента во внутреннюю сеть не ходят не из за GW, а по проблеме с Ацес-Листами.<br>Коллеги, подскажите, можт какого ацл не хватает?<br>