Сообщения без ответов | Активные темы Текущее время: 22 окт 2018, 17:06



Ответить на тему  [ Сообщений: 10 ] 
Не работает NAT совместно со split-tunnel EasyVPN 
Автор Сообщение

Зарегистрирован: 16 окт 2008, 21:51
Сообщения: 8
Добрый день всем!

На роутере 891 с IOS 15.0(1)M настраиваю клиента EasyVPN с DVTI для подключения к маршрутизатору центрального офиса через Интернет.
ACL для split-tunnel сообщает только о внутренней сети ЦО. Трафик, нацеленный непосредственно в Интернет, хочу выпускать через NAT по дефолтному маршруту.

Проблема заключается в том, что когда установлено соединение по VPN, NAT не работает. Даже трансляций в show ip nat translations не появляется. Как только VPN падает, NAT начинает замечательно работать.

В чем тут дело, кто сталкивался?

С уважением, SLuk


17 май 2011, 18:42
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Была похожая бяка: не работали трансляции при подключении ИзиВПН.

Самое обидное, что я не помню, победил или нет...

Дает ли 15.0 сделать по-старинке, с

сrypto ipsec client ezvpn {NAME}

и применением этой конструкции на внутреннем и внешнем интерфейсах?
Или только
cry ipsec profile
на int tunnel?

Если да, то попробуйте.

ИМХО, это не баг, а фича, что НАТ не работает.

ЗЫ Ну и site-to-site обычный никто не отменял. Вместо ИзиВПН


17 май 2011, 21:15
Профиль

Зарегистрирован: 16 окт 2008, 21:51
Сообщения: 8
Да, дает сделать сrypto ipsec client ezvpn. Вот фрагмент конфига:

Код:
version 15.0
hostname filial
!
!
crypto ipsec client ezvpn EzVPN_to_CO
 connect auto
 group Branches key *****
 mode network-plus
 peer 99.99.99.99 default
 acl VPN_ACL
 virtual-interface 1
 username Filial_Router password Filial_Router
 xauth userid mode local
!
!
!
interface Loopback0
 ip address 10.10.10.10 255.255.255.255
!
interface FastEthernet0/0
 description ****** TO LOCAL NET *****
 ip address 192.168.0.1 255.255.255.0
 ip nat inside
 crypto ipsec client ezvpn EzVPN_to_CO inside
!
interface Serial1/0
 description ***** Primary Internet Channel ****
 ip address 177.22.100.1 255.255.255.252
 ip nat outside
 crypto ipsec client ezvpn EzVPN_to_CO
!
!
interface Virtual-Template1 type tunnel
 ip unnumbered Loopback0
 ip tcp adjust-mss 1440
!
ip route 0.0.0.0 0.0.0.0 172.20.100.2 2 track 1
!
!
ip nat inside source route-map NAT1 interface Serial1/0 overload
ip nat inside source route-map NAT2 interface FastEthernet0/1 overload
!
ip access-list extended VPN_ACL
 permit ip 192.168.85.0 0.0.0.255 any
!
ip sla 1
 icmp-echo 8.8.8.8 source-interface Serial1/0
 frequency 10
ip sla schedule 1 life forever start-time now
access-list 154 permit ip any any
!
!
!
route-map NAT1 permit 10
 match ip address 154
 match interface Serial1/0
!
route-map NAT2 permit 10
 match ip address 154
 match interface FastEthernet0/1
!
!
!
end


Беда в том, что эта конфигурация в v12.4 работает, а в v15.0 - нет!. Что, они поменяли порядок операций по сравнению с описанным здесь: http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080133ddd.shtml

С уваженим, SLuk!


17 май 2011, 22:20
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
И так тоже не работает НАТ?


18 май 2011, 06:39
Профиль

Зарегистрирован: 16 окт 2008, 21:51
Сообщения: 8
Да, в том то и проблема! Этот конфиг работает в v12.4 и не работает в v15.0(1)M.

По моему, задача-то классическая: дать выйти филиалу в Интернет и подключить по VPN к центральному офису. Т.е. классический split-tunnel. Интернет-провайдер дает только один динамический IP-адрес, поэтому требуется NAT.

Почему это не поддерживается в v15.0, мне не понятно. Что такое принципиально изменилось в 15 версии?
Или в 15 версии вообще запрещен split-tunnel из соображений безопасности?

С уважением, SLuk.


18 май 2011, 12:39
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Нет, не запрещен.

ПО идее ты должен это увидеть
sh cry ips cl ez


19 май 2011, 12:57
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 185
Добрый день.
Столкнулся с подобной проблемой, не работает одновременно VPN туннель и доступ в интернет. Проблема со split-tunnel только на 2911 ios 15.1.4M2 версии, подобный конфиг отлично работает на 1841 ios v12.4. Может кто-то решил эту проблему? Конфиг ниже.

Сервер EzVPN:
- ASA 5510
Клиенты:
- EzVPN client cisco 1841, ios v12.4
- EzVPN client cisco 2911, ios v 15.1.4M2

На клиенте настроено:

crypto isakmp policy 10
encr aes 256
group 2
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 10
crypto isakmp nat keepalive 10

crypto ipsec client ezvpn EZ-BACKUP
connect auto
mode network-extension
peer x.x.x.42
peer y.y.y.242
acl EZVPN-ROUTEINJECTION
virtual-interface 1
username TEST password TEST
xauth userid mode local

crypto ipsec client ezvpn EZ
connect auto
backup EZ-BACKUP track 102
mode network-extension
peer y.y.y.242
peer x.x.x.42
acl EZVPN-ROUTEINJECTION
virtual-interface 1
username TEST password TEST
xauth userid mode local

ip access-list extended EZVPN-ROUTEINJECTION
permit ip 192.168.248.0 0.0.0.255 any
permit ip 10.1.248.0 0.0.0.255 any

int gi0/0
interface gi0/0
description DMZ $FW_INSIDE$
ip address 10.1.248.21 255.255.255.0
no ip proxy-arp
ip virtual-reassembly
ip route-cache flow
ip nat inside
crypto ipsec client ezvpn EZ inside
crypto ipsec client ezvpn EZ-BACKUP inside

exit

interface gi0/1
description MAIN-CHANNEL $FW_OUTSIDE$
ip address z.z.z.z 255.255.255.248
no ip proxy-arp
ip nbar protocol-discovery
ip virtual-reassembly
ip route-cache flow
ip nat outside
crypto ipsec client ezvpn EZ
exit

interface gi0/2
description SECOND-CHANNEl $FW_OUTSIDE$
no ip address
duplex auto
speed auto
pppoe enable
pppoe-client dial-pool-number 1
exit

interface Dialer0
description PPPoE BACKUP-CHANNEL-to-Internet $FW_OUTSIDE$
bandwidth 10000
ip address negotiated
no ip redirects
no ip unreachable
ip mtu 1492
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer idle-timeout 0
dialer persistent
no cdp enable
ppp authentication pap callin
ppp pap sent-username TEST password TEST
ip nat outside
crypto ipsec client ezvpn EZ-BACKUP
exit

interface Virtual-Template1 type tunnel
description VPN CISCO-CISCO DIALOUT $FW_OUTSIDE$
no ip address
ip virtual-reassembly
no logging event link-status
tunnel mode ipsec ipv4
exit

route-map NAT-Init-Main permit 10
match ip address NAT-Init
match interface gi0/1

route-map NAT-Init-Backup permit 10
match ip address NAT-Init
match interface Dialer0

ip access-list extended NAT-Init
deny ip 192.168.248.0 0.0.0.255 192.168.0.0 0.0.255.255
deny ip 192.168.248.0 0.0.0.255 10.0.0.0 0.255.255.255
deny ip 10.1.248.0 0.255.255.255 10.0.0.0 0.255.255.255
deny ip 10.1.248.0 0.255.255.255 192.168.0.0 0.0.255.255
permit ip 192.168.248.0 0.0.0.255 any
permit ip 10.1.248.0 0.0.0.255 any


ip route 0.0.0.0 0.0.0.0 gi0/1 30 track 102
ip route 0.0.0.0 0.0.0.0 Dialer0 40 track 202

Ip nat inside source route-map NAT-Init-Main interface GigabitEthernet0/1 overload
ip nat inside source route-map NAT-Init-Backup interface dialer 0 overload

:?:


19 окт 2011, 08:23
Профиль

Зарегистрирован: 16 окт 2008, 21:51
Сообщения: 8
Добрый день!
Попробуйте в crypto ipsec client ezvpn EZ поставить следующие команды:
nat allow и
nat acl access-list

Желаю успеха! Напишите, если поможет.

С уважением, SLuk!


19 окт 2011, 18:23
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 185
SluK, спасибо,проблема решена.

На сайте cisco нашел следующее:

Defining the Easy VPN remote in network-extension mode and enabling nat allow
If split-tunneling is required, using the nat acl command to enable split-tunneling for the traffic specified by the acl-name or the acl-number argument. The ACL is the same as the ACL used by the NAT or PAT mapping in the preceding bullet item.


Рабочий конфиг для моей конфигурации:

crypto ipsec client ezvpn EZ
connect auto
backup EZ-BACKUP track 102
mode network-extension
peer y.y.y.y
peer x.x.x.x
acl EZVPN-ROUTEINJECTION
virtual-interface 1
username TEST password TEST
xauth userid mode local
nat allow
nat acl NAT-Init


p.s.
В ios 12.4- подобных команд не требуется.


20 окт 2011, 12:01
Профиль

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
в мемориз. спасибо, что все же написали решение


20 окт 2011, 15:48
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 10 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB