Необходимо организовать тех поддержку удаленных пользователей подключенных в сеть VPN по IPSEC. Cisco 2811 IOS12.4 имеет два интерфейса.Настроен VPN - по IPSEC
Необходимо разрешить клинтам совместный доступ к ресурсу 10.98.5.0 из сети 10.10.10.0
т.к. NAT отсекает даннй трафик.
Из сети 10.98.5.0 - все нормально работает ресурс сети 10.10.10.0 удаленным клиентам доступен, обратно нет.
Что не так в настройках ???
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname vgw
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200 debugging
logging console critical
enable secret 5 $1$pBL5$MpPnun8UdlI/lm/DkMucW1
enable password 7 1415010F5D56793E223820
!
aaa new-model
!
!
aaa group server radius myservers
server 10.10.10.2 auth-port 1812 acct-port 1813
server 10.10.10.3 auth-port 1812 acct-port 1813
!
aaa authentication login default local group myservers
aaa authentication ppp default group myservers group radius
aaa authentication dot1x default group myservers group radius
aaa authorization exec default local
aaa authorization network default local
aaa accounting update periodic 2
aaa accounting exec default start-stop group myservers
aaa accounting network default start-stop group myservers
aaa accounting resource default start-stop group myservers
!
aaa session-id common
!
resource policy
!
clock timezone PCTime 3
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
no ip source-route
ip tcp synwait-time 10
!
!
ip cef
!
!
no ip bootp server
ip domain name yourdomain.com
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
!
!
!
voice-card 0
no dspfarm
!
password encryption aes
!
!
!
!
crypto ctcp port 10000
username uuust privilege 15 secret 5 $1$DQC5$cUreUJyrM4czPc/kHnIj..
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 2
group 2
!
crypto isakmp client configuration group Gr
key 6 F]VY_MahbHE]e_[HIZd[[UHVRYGLEb
dns xxx.xxx.xxx.64
pool SDM_POOL_1
acl 101
backup-gateway yyy.yyy.yyy.186
max-users 200
netmask 255.255.255.0
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
reverse-route
!
!
crypto map clientmap client authentication list userauth
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
!
!
!
!
interface Loopback0
no ip address
!
!
interface FastEthernet0/0
description iface LAN UFPS$ETH-LAN$$FW_INSIDE$$ES_LAN$
ip address 10.10.10.1 255.255.255.0
ip access-group 102 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip policy route-map nonat
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
description iface WAN Sinterra$ETH-WAN$$FW_OUTSIDE$
ip address yyy.yyy.yyy.186 255.255.255.252
ip access-group 100 in
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no mop enabled
crypto map clientmap
!
!
ip local pool SDM_POOL_1 10.98.5.2 10.98.5.250
ip classless
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 permanent
ip route 0.0.0.0 0.0.0.0 yyy.yyy.yyy.185
!
!
no ip http server
no ip http secure-server
!
ip nat inside source list 111 interface FastEthernet0/1 overload
!
ip radius source-interface FastEthernet0/0
logging trap debugging
access-list 1 remark SDM_ACL Category=16
access-list 1 permit 10.10.10.0 0.0.0.255
access-list 100 permit ip host 255.255.255.255 any
access-list 100 permit ip 127.0.0.0 0.255.255.255 any
access-list 100 permit tcp any any eq domain
access-list 100 permit udp any any eq domain
access-list 100 permit tcp any any eq 22
access-list 100 permit esp any any
access-list 100 permit udp any any eq isakmp
access-list 100 permit udp any any eq non500-isakmp
access-list 100 permit tcp any any eq 10000
access-list 100 permit tcp any any eq 1723
access-list 100 permit tcp any any eq 1701
access-list 100 permit udp any any eq 1701
access-list 100 permit gre any any
access-list 100 permit tcp any any established
access-list 100 permit icmp any any
access-list 100 permit tcp any any eq ftp
access-list 100 permit tcp any any eq ftp-data
access-list 100 permit tcp any any eq www
access-list 100 deny tcp any any range 0 65535 log
access-list 100 deny udp any any range 0 65535 log
access-list 101 remark vpn Network
access-list 101 permit ip 10.98.5.0 0.0.0.255 any
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
access-list 102 remark LAN RADIUS
access-list 102 permit udp host 10.10.10.2 eq 1812 any
access-list 102 permit udp host 10.10.10.2 eq 1813 any
access-list 102 permit udp host 10.10.10.3 eq 1812 any
access-list 102 permit udp host 10.10.10.3 eq 1813 any
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
access-list 111 deny ip 10.10.10.0 0.0.0.255 10.98.5.0 0.0.0.255 log
access-list 111 permit tcp 10.10.10.0 0.0.0.255 any eq ftp
access-list 111 permit tcp 10.10.10.0 0.0.0.255 any eq ftp-data
access-list 111 permit tcp 10.10.10.0 0.0.0.255 any eq www
access-list 111 permit udp 10.10.10.0 0.0.0.255 any eq domain
access-list 111 permit udp 10.10.10.0 0.0.0.255 any eq 443
access-list 111 permit icmp any any echo
no cdp run
!
!
radius-server host 10.10.10.2 auth-port 1812 acct-port 1813 timeout 5 key 7 05080F1C22435B0F0916464058
radius-server host 10.10.10.3 auth-port 1812 acct-port 1813 timeout 5 key 7 13061E010803112C3B37796166
radius-server key 7 094F471A1A0A02141B1F557878
!
>[оверквотинг удален]
>access-list 111 permit icmp any any echo
>no cdp run
>!
>!
>radius-server host 10.10.10.2 auth-port 1812 acct-port 1813 timeout 5 key 7 05080F1C22435B0F0916464058
>
>radius-server host 10.10.10.3 auth-port 1812 acct-port 1813 timeout 5 key 7 13061E010803112C3B37796166
>
>radius-server key 7 094F471A1A0A02141B1F557878
>!списки доступа вроде не мешают прохождению пакетов из центра к удаленным клиентам.Также в динамической карте имеется команда reverse-route,которая позволяет добавить обратный маршрут до клиента.Что показывает sh ip route,есть ли там обратный маршрут до клиента или нет?
>
>списки доступа вроде не мешают прохождению пакетов из центра к удаленным клиентам.Также
>в динамической карте имеется команда reverse-route,которая позволяет добавить обратный маршрут до
>клиента.Что показывает sh ip route,есть ли там обратный маршрут до клиента
>или нет?sh ip route покказывает с учетом организованного одного vpn соединения следующее
Gateway of last resort is 83.229.132.185 to network 0.0.0.0
84.0.0.0/30 is subnetted, 1 subnets
C 84.230.133.184 is directly connected, FastEthernet0/1
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 10.10.10.0/24 is directly connected, FastEthernet0/0
S 10.98.5.5/32 [1/0] via 198.32.227.162
S* 0.0.0.0/0 [1/0] via 84.230.133.185
is directly connected, FastEthernet0/1
( реальные ip адреса изменены на примерные )Может быть необходимо субинтерфейс определить для сети VPN соединений или
virtual-template интерфейс ???