Anticisco https://anticisco.ru/forum/ |
|
Не работает NAT совместно со split-tunnel EasyVPN https://anticisco.ru/forum/viewtopic.php?f=8&t=1796 |
Страница 1 из 1 |
Автор: | sluk [ 17 май 2011, 18:42 ] |
Заголовок сообщения: | Не работает NAT совместно со split-tunnel EasyVPN |
Добрый день всем! На роутере 891 с IOS 15.0(1)M настраиваю клиента EasyVPN с DVTI для подключения к маршрутизатору центрального офиса через Интернет. ACL для split-tunnel сообщает только о внутренней сети ЦО. Трафик, нацеленный непосредственно в Интернет, хочу выпускать через NAT по дефолтному маршруту. Проблема заключается в том, что когда установлено соединение по VPN, NAT не работает. Даже трансляций в show ip nat translations не появляется. Как только VPN падает, NAT начинает замечательно работать. В чем тут дело, кто сталкивался? С уважением, SLuk |
Автор: | Fedia [ 17 май 2011, 21:15 ] |
Заголовок сообщения: | Re: Не работает NAT совместно со split-tunnel EasyVPN |
Была похожая бяка: не работали трансляции при подключении ИзиВПН. Самое обидное, что я не помню, победил или нет... Дает ли 15.0 сделать по-старинке, с сrypto ipsec client ezvpn {NAME} и применением этой конструкции на внутреннем и внешнем интерфейсах? Или только cry ipsec profile на int tunnel? Если да, то попробуйте. ИМХО, это не баг, а фича, что НАТ не работает. ЗЫ Ну и site-to-site обычный никто не отменял. Вместо ИзиВПН |
Автор: | sluk [ 17 май 2011, 22:20 ] |
Заголовок сообщения: | Re: Не работает NAT совместно со split-tunnel EasyVPN |
Да, дает сделать сrypto ipsec client ezvpn. Вот фрагмент конфига: Код: version 15.0 hostname filial ! ! crypto ipsec client ezvpn EzVPN_to_CO connect auto group Branches key ***** mode network-plus peer 99.99.99.99 default acl VPN_ACL virtual-interface 1 username Filial_Router password Filial_Router xauth userid mode local ! ! ! interface Loopback0 ip address 10.10.10.10 255.255.255.255 ! interface FastEthernet0/0 description ****** TO LOCAL NET ***** ip address 192.168.0.1 255.255.255.0 ip nat inside crypto ipsec client ezvpn EzVPN_to_CO inside ! interface Serial1/0 description ***** Primary Internet Channel **** ip address 177.22.100.1 255.255.255.252 ip nat outside crypto ipsec client ezvpn EzVPN_to_CO ! ! interface Virtual-Template1 type tunnel ip unnumbered Loopback0 ip tcp adjust-mss 1440 ! ip route 0.0.0.0 0.0.0.0 172.20.100.2 2 track 1 ! ! ip nat inside source route-map NAT1 interface Serial1/0 overload ip nat inside source route-map NAT2 interface FastEthernet0/1 overload ! ip access-list extended VPN_ACL permit ip 192.168.85.0 0.0.0.255 any ! ip sla 1 icmp-echo 8.8.8.8 source-interface Serial1/0 frequency 10 ip sla schedule 1 life forever start-time now access-list 154 permit ip any any ! ! ! route-map NAT1 permit 10 match ip address 154 match interface Serial1/0 ! route-map NAT2 permit 10 match ip address 154 match interface FastEthernet0/1 ! ! ! end Беда в том, что эта конфигурация в v12.4 работает, а в v15.0 - нет!. Что, они поменяли порядок операций по сравнению с описанным здесь: http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080133ddd.shtml С уваженим, SLuk! |
Автор: | Fedia [ 18 май 2011, 06:39 ] |
Заголовок сообщения: | Re: Не работает NAT совместно со split-tunnel EasyVPN |
И так тоже не работает НАТ? |
Автор: | sluk [ 18 май 2011, 12:39 ] |
Заголовок сообщения: | Re: Не работает NAT совместно со split-tunnel EasyVPN |
Да, в том то и проблема! Этот конфиг работает в v12.4 и не работает в v15.0(1)M. По моему, задача-то классическая: дать выйти филиалу в Интернет и подключить по VPN к центральному офису. Т.е. классический split-tunnel. Интернет-провайдер дает только один динамический IP-адрес, поэтому требуется NAT. Почему это не поддерживается в v15.0, мне не понятно. Что такое принципиально изменилось в 15 версии? Или в 15 версии вообще запрещен split-tunnel из соображений безопасности? С уважением, SLuk. |
Автор: | Fedia [ 19 май 2011, 12:57 ] |
Заголовок сообщения: | Re: Не работает NAT совместно со split-tunnel EasyVPN |
Нет, не запрещен. ПО идее ты должен это увидеть sh cry ips cl ez |
Автор: | Andreanisimo [ 19 окт 2011, 08:23 ] |
Заголовок сообщения: | Re: Не работает NAT совместно со split-tunnel EasyVPN |
Добрый день. Столкнулся с подобной проблемой, не работает одновременно VPN туннель и доступ в интернет. Проблема со split-tunnel только на 2911 ios 15.1.4M2 версии, подобный конфиг отлично работает на 1841 ios v12.4. Может кто-то решил эту проблему? Конфиг ниже. Сервер EzVPN: - ASA 5510 Клиенты: - EzVPN client cisco 1841, ios v12.4 - EzVPN client cisco 2911, ios v 15.1.4M2 На клиенте настроено: crypto isakmp policy 10 encr aes 256 group 2 crypto isakmp invalid-spi-recovery crypto isakmp keepalive 10 crypto isakmp nat keepalive 10 crypto ipsec client ezvpn EZ-BACKUP connect auto mode network-extension peer x.x.x.42 peer y.y.y.242 acl EZVPN-ROUTEINJECTION virtual-interface 1 username TEST password TEST xauth userid mode local crypto ipsec client ezvpn EZ connect auto backup EZ-BACKUP track 102 mode network-extension peer y.y.y.242 peer x.x.x.42 acl EZVPN-ROUTEINJECTION virtual-interface 1 username TEST password TEST xauth userid mode local ip access-list extended EZVPN-ROUTEINJECTION permit ip 192.168.248.0 0.0.0.255 any permit ip 10.1.248.0 0.0.0.255 any int gi0/0 interface gi0/0 description DMZ $FW_INSIDE$ ip address 10.1.248.21 255.255.255.0 no ip proxy-arp ip virtual-reassembly ip route-cache flow ip nat inside crypto ipsec client ezvpn EZ inside crypto ipsec client ezvpn EZ-BACKUP inside exit interface gi0/1 description MAIN-CHANNEL $FW_OUTSIDE$ ip address z.z.z.z 255.255.255.248 no ip proxy-arp ip nbar protocol-discovery ip virtual-reassembly ip route-cache flow ip nat outside crypto ipsec client ezvpn EZ exit interface gi0/2 description SECOND-CHANNEl $FW_OUTSIDE$ no ip address duplex auto speed auto pppoe enable pppoe-client dial-pool-number 1 exit interface Dialer0 description PPPoE BACKUP-CHANNEL-to-Internet $FW_OUTSIDE$ bandwidth 10000 ip address negotiated no ip redirects no ip unreachable ip mtu 1492 ip virtual-reassembly encapsulation ppp dialer pool 1 dialer idle-timeout 0 dialer persistent no cdp enable ppp authentication pap callin ppp pap sent-username TEST password TEST ip nat outside crypto ipsec client ezvpn EZ-BACKUP exit interface Virtual-Template1 type tunnel description VPN CISCO-CISCO DIALOUT $FW_OUTSIDE$ no ip address ip virtual-reassembly no logging event link-status tunnel mode ipsec ipv4 exit route-map NAT-Init-Main permit 10 match ip address NAT-Init match interface gi0/1 route-map NAT-Init-Backup permit 10 match ip address NAT-Init match interface Dialer0 ip access-list extended NAT-Init deny ip 192.168.248.0 0.0.0.255 192.168.0.0 0.0.255.255 deny ip 192.168.248.0 0.0.0.255 10.0.0.0 0.255.255.255 deny ip 10.1.248.0 0.255.255.255 10.0.0.0 0.255.255.255 deny ip 10.1.248.0 0.255.255.255 192.168.0.0 0.0.255.255 permit ip 192.168.248.0 0.0.0.255 any permit ip 10.1.248.0 0.0.0.255 any ip route 0.0.0.0 0.0.0.0 gi0/1 30 track 102 ip route 0.0.0.0 0.0.0.0 Dialer0 40 track 202 Ip nat inside source route-map NAT-Init-Main interface GigabitEthernet0/1 overload ip nat inside source route-map NAT-Init-Backup interface dialer 0 overload |
Автор: | sluk [ 19 окт 2011, 18:23 ] |
Заголовок сообщения: | Re: Не работает NAT совместно со split-tunnel EasyVPN |
Добрый день! Попробуйте в crypto ipsec client ezvpn EZ поставить следующие команды: nat allow и nat acl access-list Желаю успеха! Напишите, если поможет. С уважением, SLuk! |
Автор: | Andreanisimo [ 20 окт 2011, 12:01 ] |
Заголовок сообщения: | Re: Не работает NAT совместно со split-tunnel EasyVPN |
SluK, спасибо,проблема решена. На сайте cisco нашел следующее: Defining the Easy VPN remote in network-extension mode and enabling nat allow If split-tunneling is required, using the nat acl command to enable split-tunneling for the traffic specified by the acl-name or the acl-number argument. The ACL is the same as the ACL used by the NAT or PAT mapping in the preceding bullet item. Рабочий конфиг для моей конфигурации: crypto ipsec client ezvpn EZ connect auto backup EZ-BACKUP track 102 mode network-extension peer y.y.y.y peer x.x.x.x acl EZVPN-ROUTEINJECTION virtual-interface 1 username TEST password TEST xauth userid mode local nat allow nat acl NAT-Init p.s. В ios 12.4- подобных команд не требуется. |
Автор: | Ilya [ 20 окт 2011, 15:48 ] |
Заголовок сообщения: | Re: Не работает NAT совместно со split-tunnel EasyVPN |
в мемориз. спасибо, что все же написали решение |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |