URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 8174
[ Назад ]

Исходное сообщение
"PAT и VPN"
Отправлено maxborz , 22-Июн-05 03:41

У меня в головном офисе CISCO 1841,
сеть 192.168.0.0/24,
филиал Linksys BEFVP41,
сеть 192.168.99.0/24
WAN интерфейсу 1841 назначен 1 IP адрес. Включена трансляция адресов c Route Map, этот же IP используется для подключения сети филиала по VPN.
SMTP с хоста 192.168.0.1 опубликован на внешнем интерфейсе и в ACL указан доступ на него с любого IP. Но при установленном VPN соединении на него не удается соединиться из филиальной сети (192.168.99.0/24) по адресу 192.168.0.1 Стоит снять публикацию и соединение устанавливается.
С чем это связано? и как исправить эту ситуацию?

Содержание

PAT и VPN,klez, 11:03 , 22-Июн-05
- PAT и VPN,maxborz, 14:21 , 22-Июн-05
  - PAT и VPN,maxborz, 14:39 , 22-Июн-05
PAT и VPN,Nailer, 12:00 , 22-Июн-05
- PAT и VPN,maxborz, 14:36 , 22-Июн-05

Сообщения в этом обсуждении

"PAT и VPN"
Отправлено klez , 22-Июн-05 11:03

У вас не возникало проблемм с поднятием тунеля межу cisco и linksys?
А то у меня тунель поднялся а пакеты не "ходят" :(

"PAT и VPN"
Отправлено maxborz , 22-Июн-05 14:21

>У вас не возникало проблемм с поднятием тунеля межу cisco и
>linksys?
>А то у меня тунель поднялся а пакеты не "ходят" :(

У меня была похожая проблема. Как выяснилось в ACL нужно разрешить отправку IP.

"PAT и VPN"
Отправлено maxborz , 22-Июн-05 14:39

>>У вас не возникало проблемм с поднятием тунеля межу cisco и
>>linksys?
>>А то у меня тунель поднялся а пакеты не "ходят" :(
>
>
>У меня была похожая проблема. Как выяснилось в ACL нужно разрешить отправку
>IP.
Очень интересно, говроит что редактировать не могу - сообщение не мое :))
Ну да не важно... я немного подумал и пришел к выводу что это в моем конкретном случае грабли были по этой причине. В действительности лучше увидеть Running config с циски (так как на bef все настраивается легко и непринужденно ).

"PAT и VPN"
Отправлено Nailer , 22-Июн-05 12:00

>У меня в головном офисе CISCO 1841,
>сеть 192.168.0.0/24,
>филиал Linksys BEFVP41,
>сеть 192.168.99.0/24
>
>WAN интерфейсу 1841 назначен 1 IP адрес. Включена трансляция адресов c Route
>Map, этот же IP используется для подключения сети филиала по VPN.
>
>SMTP с хоста 192.168.0.1 опубликован на внешнем интерфейсе и в ACL указан
>доступ на него с любого IP. Но при установленном VPN соединении
>на него не удается соединиться из филиальной сети (192.168.99.0/24) по адресу
>192.168.0.1 Стоит снять публикацию и соединение устанавливается.
>
>С чем это связано? и как исправить эту ситуацию?
sh run с циски покажите

"PAT и VPN"
Отправлено maxborz , 22-Июн-05 14:36

вот он - немного отредактирован...
interface FastEthernet0/0
description $FW_INSIDE$$ETH-LAN$$INTF-INFO-FE 0$
ip address 192.168.0.2 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
no cdp enable
no mop enabled
!
interface FastEthernet0/1
description $FW_OUTSIDE$$ETH-WAN$
ip address [address/mask]
ip access-group Inbound in
ip access-group Outnbound out
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
no cdp enable
no mop enabled
crypto map SDM_CMAP_1
!
ip classless
ip route 0.0.0.0 0.0.0.0 [DefGateway] permanent
!
!
ip http server
ip http authentication local
no ip http secure-server
ip nat pool Combelga [pool-1 адрес] netmask 255.255.255.252
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet0/1 overload
ip nat inside source static tcp 192.168.0.8 25 [WanIP] 25 extendable
!
ip access-list extended Inbound
remark SDM_ACL Category=1
remark IPSec Rule
permit ip 192.168.99.0 0.0.0.255 192.168.0.0 0.0.0.255
permit udp any host [WanIP] eq non500-isakmp
permit udp any host [WanIP] eq isakmp
permit esp any host [WanIP]
permit ahp any host [WanIP]
remark ETRN
permit tcp host [Provider Host] any eq smtp
permit udp host [NS] eq domain any
permit udp any any log
permit icmp any any
deny   tcp any any log
deny   ip any any log
ip access-list extended Outnbound
remark SDM_ACL Category=1
permit ip any any
permit udp any any
permit tcp any any
permit icmp any any
!
logging trap debugging
access-list 100 remark SDM_ACL Category=4
access-list 100 remark IPSec Rule
access-list 100 permit ip 192.168.0.0 0.0.0.255 192.168.99.0 0.0.0.255
access-list 100 remark IPSec Rule
access-list 100 permit ip 192.168.99.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 101 remark SDM_ACL Category=2
access-list 101 remark IPSec Rule
access-list 101 deny   ip 192.168.0.0 0.0.0.255 192.168.99.0 0.0.0.255
access-list 101 remark All allowed
access-list 101 permit ip 192.168.0.0 0.0.255.255 any
no cdp run
!
route-map SDM_RMAP_1 permit 1
match ip address 101