Cisco VPN server как побороть отключение интеренета?

Question

[alexdob]

Добрый день, уважаемое сообщество.

По манам в сети настроил VPN сервер. но возникла проблема: после подключения VPN пользователя у него отваливается интернет, но внутр сети на cisco доступны.
Конфиг

vpdn enable
!
vpdn-group 1
 ! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
 l2tp tunnel timeout no-session 15
!
!
interface GigabitEthernet0/0
 description WAN
 ip address xxx.xxx.xx.xxx 255.255.240.0
 ip access-group 102 in
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 description LAN
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface Virtual-Template1
 description PPPTP_INT
 mtu 1300
 ip unnumbered GigabitEthernet0/0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip virtual-reassembly in
 ip verify unicast reverse-path
 peer default ip address dhcp-pool LAN
 no keepalive
 ppp encrypt mppe 128
 ppp authentication ms-chap-v2
 ppp ipcp dns 192.168.1.1 192.168.1.1
!

в 102 acces-list указаны правила DNAT

Прошу вашей помощи в решении проблемы.

Comments

[alexdob]

смущает строка no ip proxy-arp, но не уверен, что проблема из-за этого.

Answer 1

[Ринат Гарипов]

alexdob во-первых раз вы выдаете адреса из LAN сегмента, то в interface Virtual-Template1 нужно указывать ip unnumbered GigabitEthernet0/1 т.е. LAN интерфейс.
Во-вторых - проблема может быть с настройками pptp клиента - под Windows при создании vpn опция "использовать основной шлюз в удаленной сети" по умолчанию включена. Надо выключить в настройках vpn подключения. Тогда вы увидите LAN подсеть и сможете пользоваться Интернет одновременно.

Comments

[alexdob]

Спасибо за замечание насчет интерфейса в конфиге. Насчет галки шлюза - да, Вы правы. Но рассказать всем пользователям ВПН (как правило бухгалтера, желающие из дома поработать) где и какие галки ставить весьма затруднительно. Думал есть какое-то иное решение, не требующее вмешательства конечного пользователя. На данный момент остановился на Вашем варианте (ВПН подключение для пользователя создается с помощью заранее заготовленных настроек CMAK) + в настройках DHCP указаны опции 249 и 121
пока, вроде, полет нормальный.. еще раз спасибо Вам за подсказку.

Answer 2

[throughtheether]

после подключения VPN пользователя у него отваливается интернет, но внутр сети на cisco доступны.

Проверьте таблицу маршрутизации клиента до и после подключения VPN. Если изменяется маршрут по умолчанию (0.0.0.0 0.0.0.0), то поддерживаю совет, который дал вам Ринат Гарипов.