ezvpn и нат на cisco 2911

Nessero · October 23, 2020

Всем доброго времени суток коллеги !

Настроил на 2911 2 ezvpn подключения. Первая фаза отрабатывает хорошо у обоих, впн поднимается. Но во втором случае нет доступа внутрь сети. Конфиг во вложении. По моим предположениям проблема в нате портов внутрь с фильтрацией через acl. Потому что при permit ip src dst работает, а при попытке фильтровать по портам уже нет. Прошу помочь понять что я не так настроил. Полный конфиг впна во вложении.

ACL

```
ip access-list extended buh-admin-access
permit tcp host 192.168.170.5 10.10.13.8 0.0.0.7 eq 139 445 domain
permit udp host 192.168.170.5 10.10.13.8 0.0.0.7 eq domain
permit tcp host 192.168.170.6 10.10.13.8 0.0.0.7 eq 139 445 1433 3389
permit tcp host 192.168.170.6 10.10.13.8 0.0.0.7 range 1540 1591
permit tcp host 192.168.170.11 10.10.13.8 0.0.0.7 eq domain 135 137 138 139 445 389 636 3268
permit tcp host 192.168.170.11 10.10.13.8 0.0.0.7 eq 3269 88 1512 42
permit udp host 192.168.170.11 10.10.13.8 0.0.0.7 eq 135 netbios-ns netbios-dgm 445 389 88 domain 1512 nameserver
```

VPN.txt

fork · October 24, 2020

ТС этот форум ориентирован преимущественно на операторские фичи чем на enterprise,
рекомендую ваш вопрос задать на http://anticisco.ru/forum/

быстрей получите ответ

jffulcrum · October 24, 2020

22 часа назад, Nessero сказал:

Потому что при permit ip src dst работает, а при попытке фильтровать по портам уже нет.

Если payload шифрованный, как в него циска посмотрит,что там за протокол и порт? Смотрите диаграммы прохождения пакетов.

Nessero · October 24, 2020

1 hour ago, fork said:

ТС этот форум ориентирован преимущественно на операторские фичи чем на enterprise,
рекомендую ваш вопрос задать на http://anticisco.ru/forum/

быстрей получите ответ

Спасибо за совет. Закинул и туда тоже.

Sign In

ezvpn и нат на cisco 2911

Recommended Posts

Nessero

fork

jffulcrum

Nessero

Join the conversation