Задать вопрос
Corwin_ru
@Corwin_ru

Одновременная работа easyvpn и nat на клиентском раутере?

Синопсис:

Cisco 891 router:

Cisco IOS Software, C890 Software (C890-UNIVERSALK9-M), Version 15.0(1)M3, RELEASE SOFTWARE (fc2)


Настраиваю на нем соединение через easyvpn с основным раутером в ЦО (2911/K9 with Cisco IOS Software, C2900 Software (C2900-UNIVERSALK9-M), Version 15.0(1)M3, RELEASE SOFTWARE (fc2))


Куски конфига 891-го которые относятся к проблеме:
==============<br/>
<code>crypto ipsec client ezvpn EzVPN_to_C1<br/>
 connect auto<br/>
 group FILIALS key My_Secret_Key<br/>
 mode network-plus<br/>
 peer 212.xxx.xxx.xxx default<br/>
 peer 212.xxx.xxx.xxx<br/>
 acl VPN_ACL<br/>
 virtual-interface 1<br/>
 username My_Client password My_Client<br/>
 xauth userid mode local<br/>
!<br/>
interface Loopback0<br/>
 ip address 10.10.10.10 255.255.255.255<br/>
!<br/>
!<br/>
interface Virtual-Template1 type tunnel<br/>
 ip unnumbered Loopback0<br/>
 ip tcp adjust-mss 1440<br/>
 !<br/>
!<br/>
interface GigabitEthernet0<br/>
 description ****** TO LOCAL NET *****<br/>
 ip address 192.168.85.254 255.255.255.0<br/>
 ip nat inside<br/>
 duplex auto<br/>
 speed auto<br/>
 crypto ipsec client ezvpn EzVPN_to_C1 inside<br/>
<br/>
!<br/>
!<br/>
interface Vlan1<br/>
 description ***** Primary Internet Channel ****<br/>
 ip address 172.20.100.1 255.255.255.252<br/>
 ip nat outside<br/>
 ip tcp adjust-mss 1452<br/>
 crypto ipsec client ezvpn EzVPN_to_C1<br/>
<br/>
ip nat inside source route-map NAT1 interface Vlan1 overload<br/>
ip route 0.0.0.0 0.0.0.0 172.20.100.2<br/>
ip access-list extended VPN_ACL<br/>
 permit ip 192.168.85.0 0.0.0.255 192.168.96.0 0.0.7.255<br/>
access-list 154 deny ip 192.168.85.0 0.0.0.255 192.168.96.0 0.0.7.255<br/>
access-list 154 permit ip any any<br/>
route-map NAT1 permit 10<br/>
 match ip address 154<br/>
 match interface Vlan1</code><br/>
===========================<br/>



gi0 — смотрит в клиентскую сеть 192.168.85.0

Vlan1 — смотрит в интернет (точнее на yota-модем, но это в данном случае не важно)

212.xxx.xxx.xxx — ip адреса центрального офиса (к которому и происходит соединение через easyvpn)

192.168.96.0/21 — внутренняя сеть ЦО


Кусок конфига раутера центрального офиса (тот что относится к проблеме)
=========<br/>
crypto isakmp client configuration group FILIALS<br/>
 key My_Secret_Key<br/>
 pool Filials<br/>
 acl CENTRAL_OFFICE<br/>
 save-password<br/>
!<br/>
ip local pool Filials 192.168.100.105 192.168.100.130<br/>
ip access-list extended CENTRAL_OFFICE<br/>
 permit ip 192.168.96.0 0.0.7.255 any<br/>
=============<br/>



А теперь сама проблема:

1) VPN не поднят — нат на филиале прекрасно работает. С клиентской машинки, что подключена к 891му раутеру прекрасно пингую хосты в интернете


2) Поднимаю VPN — он тоже прекрасно работает — вижу (пингую) внутреннюю сеть центрального офиса


3) НО: При поднятом vpn перестает работать nat на 891м раутере. То есть с клиентской машинки я могу пинговать сеть ЦО, но пинги в интернет (через nat на 891м раутере) не идут.


Вопрос: Кроме выбора профессии, что я сделал не так?


PS: Настроил nat на раутере в ЦО, чтобы филиалы подключенные через ezvpn ходили в интернет хоть так. Но это некрасиво. Например, к Yota-модему на филиале в таком случае нет доступа.
  • Вопрос задан
  • 3688 просмотров
Подписаться 3 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 1
Corwin_ru
@Corwin_ru Автор вопроса
А ларчик просто открывался:
надо прописать acl описывающий nat в настройках easyvpn клиента

crypto ipsec client ezvpn EzVPN_to_C1
connect auto
group FILIALS key My_Secret_Key
mode network-plus
peer 212.xxx.xxx.xxx default
peer 212.xxx.xxx.xxx
acl VPN_ACL
nat allow
nat acl 154

virtual-interface 1
username My_Client password My_Client
xauth userid mode local
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы