Yaten Posted August 9, 2006 Posted August 9, 2006 Суть собсна вот в чем: имеется Cisco 3620, с двумя Ethernet модулями. На нем поднят VPN сервер с авторизацией по радиусу - эт все работает. eth0/0 смотрит в локалку и на нем же висит VPN , ip 172.16.0.2 eth1/0 смотрит на сервер (который трафик считает, можно было по другому сделать, но пока на этом остановимся) с адресом 192.168.2.1, а у интерфейса Eth1/0 адрес 192.168.2.2 Цель - когда клиент конектится по VPN у него основным шлюзом становится 172.17.0.2 (вирт. интерфейс сидящий на eth0/0) и надо его перебросить на шлюз 192.168.2.1 т.е. чтоб у интерфейса eth1/0 был шлюз 192.168.2.1 Вопрос: Как шлюз прописать? Может я очень коряво выразился, но уж как есть... если что объясню подробней... а может я чего вобще не правильно мыслю? перерыл кучу справки по Cisco - не нашел где шлюз прописать. Маршруты может какие ещё прописывать надо? (раньше маршрутизаторы Cisco не настраивал) Спасибо! ) Вставить ник Quote
catalist Posted August 9, 2006 Posted August 9, 2006 посмотрите сдесь: http://cisco.far.ru/2isp.html Вставить ник Quote
catalist Posted August 9, 2006 Posted August 9, 2006 или вот: http://www.opennet.ru/base/cisco/policy_route_map.txt.html Вставить ник Quote
Nailer Posted August 9, 2006 Posted August 9, 2006 Или вот здесь: www.cisco.com что-то мне подсказывает, что вам надо написать ip route 0.0.0.0 0.0.0.0 192.168.2.1 Вставить ник Quote
Yaten Posted August 10, 2006 Author Posted August 10, 2006 ага, именно! написать ip route 0.0.0.0 0.0.0.0 192.168.2.1 Но возникает другой момент! когда клиент подсоединяется по VPN, как ему выдать шлюз по умолчанию? и сделать его равным 172.17.0.2 А то он не знает куда обращаться... Вставить ник Quote
SergeiK Posted August 10, 2006 Posted August 10, 2006 Налицо непонимание сути процесса. Прописать шлюз кому? Клиенту? Зачем ему менять шлюз? Его пакет по существующему шлюзу попадет на роутер, дальше с пакетом разбирается роутер. Маршрут до клиента на роутере поднимется автоматически... Шлюз роутеру ставиться как уже написали ip route 0.0.0.0 Как сконфигурирован Virtual-template? Что там за адресация? В общем, как всегда правильно сформулированный вопрос - половина ответа. Вставить ник Quote
Yaten Posted August 10, 2006 Author Posted August 10, 2006 ага, я с этим уже разобрался... что у клиента ничего прописывать не надо. Вот чего тут. вместе с интерфейсами. interface Ethernet0/0 ip address 172.16.0.2 255.255.0.0 no ip route-cache half-duplex no cdp enable ! interface Ethernet1/0 ip address 192.168.2.3 255.255.255.0 no ip route-cache half-duplex no cdp enable ! interface Virtual-Template1 ip address 172.17.0.2 255.255.0.0 ip tcp header-compression ip mroute-cache no peer default ip address ppp authentication ms-chap-v2 ! interface Virtual-Template3 ip address 172.17.1.2 255.255.0.0 ! interface Virtual-Template4 ip address 192.168.2.2 255.255.255.0 А вот весь конфиг: router#sh running-config Building configuration... Current configuration : 2040 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname router ! boot-start-marker boot-end-marker ! enable secret ххх enable password ххх ! aaa new-model ! ! aaa authentication login default local aaa authentication ppp default group radius aaa authorization exec default local aaa authorization network default group radius aaa accounting network default start-stop group radius aaa session-id common ip subnet-zero no ip routing ! ! no ip cef ! ip vrf Ethernet1/0 ! ip audit po max-events 100 vpdn enable vpdn ip udp ignore checksum ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin protocol pppoe virtual-template 1 ! ! table-map 123 default copy ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface Ethernet0/0 ip address 172.16.0.2 255.255.0.0 no ip route-cache half-duplex no cdp enable ! interface Ethernet1/0 ip address 192.168.2.2 255.255.255.0 no ip route-cache half-duplex no cdp enable ! interface Virtual-Template1 ip address 172.17.0.2 255.255.0.0 ip tcp header-compression ip mroute-cache no peer default ip address ppp authentication ms-chap-v2 ! interface Virtual-Template3 ip address 172.17.1.2 255.255.0.0 ! interface Virtual-Template4 ip address 192.168.2.2 255.255.255.0 ! ip http server no ip http secure-server ip classless ip route 0.0.0.0 0.0.0.0 192.168.2.1 ! ! ip radius source-interface Ethernet0/0 access-list 105 dynamic test1 permit ip any any access-list 106 dynamic test2 permit ip any any access-list 106 permit ip host 172.16.0.1 any access-list 106 permit ip host 172.16.0.50 any access-list 106 permit ip any host 172.16.0.1 access-list 106 permit ip any host 172.16.0.50 ! radius-server host 172.16.0.1 auth-port 1812 acct-port 1813 radius-server host 10.0.0.1 auth-port 1812 acct-port 1813 radius-server host 172.16.0.2 auth-port 1812 acct-port 1813 radius-server key ххх ! ! ! ! ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 password ххх ! ! end То что там есть корявые и бессмысленные правила фаервола - эт внимания не обращай, ими ещё не занимался. Клиент пингует 192.168.2.2, 172.17.0.2 а вот 192.168.2.1 не пингует. Cisco пингует всех, в том числе и 192.168.2.1 Вот.) Т.е. клиент никого не видит на маршрутизатором. Вставить ник Quote
SergeiK Posted August 10, 2006 Posted August 10, 2006 O!!! no ip routing!!! ip routing набери и все будет красиво! Вставить ник Quote
SergeiK Posted August 10, 2006 Posted August 10, 2006 Хм... Не может быть. sh ip route пришли тогда. Вставить ник Quote
SergeiK Posted August 10, 2006 Posted August 10, 2006 Ой, блин, а это что за шняга и откуда взялась? ip vrf Ethernet1/0 Вставить ник Quote
Yaten Posted August 11, 2006 Author Posted August 11, 2006 Вот: router#sh ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is 192.168.2.1 to network 0.0.0.0 C 172.16.0.0/16 is directly connected, Ethernet0/0 C 192.168.2.0/24 is directly connected, Ethernet1/0 S* 0.0.0.0/0 [1/0] via 192.168.2.1 А вот ip vrf Ethernet1/0 эт помоему маршрутизация VPN... правда доков не нашел на эту тему. а при попытке отключить вот что выходит: router(config)#no ip vrf Ethernet1/0 % IP addresses from all interfaces in VRF Ethernet1/0 have been removed ( Вставить ник Quote
SergeiK Posted August 11, 2006 Posted August 11, 2006 Ну и sh run после этого на предмет изменений... Судя по всему смотрите вы sh conf, то есть конфиг сохраненный, а не рабочий. Да, после того, как заведется, не забудьте конфиг сохранить :). Вставить ник Quote
Yaten Posted August 15, 2006 Author Posted August 15, 2006 Вот текуший работающий конфиг: router#sh running-config Building configuration... Current configuration : 1964 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname router ! boot-start-marker boot-end-marker ! enable secret хх enable password хх ! aaa new-model ! ! aaa authentication login default local aaa authentication ppp default group radius aaa authorization exec default local aaa authorization network default group radius aaa accounting network default start-stop group radius aaa session-id common ip subnet-zero ! ! ip cef ! ip audit po max-events 100 vpdn enable vpdn ip udp ignore checksum ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin protocol pppoe virtual-template 1 ! ! table-map 123 default copy ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface Ethernet0/0 ip address 172.16.0.2 255.255.0.0 half-duplex no cdp enable ! interface Ethernet1/0 ip address 192.168.2.2 255.255.255.0 half-duplex no cdp enable ! interface Virtual-Template1 ip address 172.17.0.2 255.255.0.0 ip tcp header-compression ip mroute-cache no peer default ip address ppp authentication ms-chap-v2 ! interface Virtual-Template3 ip address 172.17.1.2 255.255.0.0 ! interface Virtual-Template4 ip address 192.168.2.2 255.255.255.0 ! ip http server no ip http secure-server ip classless ip route 0.0.0.0 0.0.0.0 192.168.2.1 ! ! ip radius source-interface Ethernet0/0 access-list 105 dynamic test1 permit ip any any access-list 106 dynamic test2 permit ip any any access-list 106 permit ip host 172.16.0.1 any access-list 106 permit ip host 172.16.0.50 any access-list 106 permit ip any host 172.16.0.1 access-list 106 permit ip any host 172.16.0.50 ! radius-server host 172.16.0.1 auth-port 1812 acct-port 1813 radius-server host 10.0.0.1 auth-port 1812 acct-port 1813 radius-server host 172.16.0.2 auth-port 1812 acct-port 1813 radius-server key хх ! ! ! ! ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 password хх ! ! end Только вот он не работает (((( всё по старому.... Даже если я не ставлю VPN, а просто шлюзом указываю 172.16.0.2 - все тоже самое наблюдается. Дальше 192.168.2.2 не пускает. А как отключить http сервер? Вставить ник Quote
SergeiK Posted August 15, 2006 Posted August 15, 2006 Хм. А вот такой еще ключевой вопрос: !92.168.2.1 что-то знает про 172.16.0.2? sh ip route c 192.168.2.1 можно увидеть? Или может надо NAT оформить? Вставить ник Quote
Yaten Posted August 15, 2006 Author Posted August 15, 2006 на 192.168.2.1 уже нат работает, я хотел VPN клиентов туда отправить. эт комп, поэтому sh ip route там не получится. комп пингует циску, а именно 172.16.0.2 а вот 172.17.0.2 (это Virtual-Template1) не видит... так же пингует нормально и 192.168.2.2 (тоже циска) Вставить ник Quote
SergeiK Posted August 15, 2006 Posted August 15, 2006 Понятно. Сложная структура... Ну да не важно. А про 172.17 сеть ком знает. Трейс куда с компа идет на эту сеть? На 192.168.2.2? Да, какой адрес получает клиент по PPP? По хорошему надо бы сделать POOL и выдавать адреса клиентам из пула, или выдавать IP адреса радиусом. Вставить ник Quote
SergeiK Posted August 15, 2006 Posted August 15, 2006 И, кстати, чтоб не было лишних засад в виде штормов нежданных, динамической маршрутизации-то нетути у тебя, проще всего, суммарно, сделать так: int loopback1 ip address 172.17.0.2 255.255.255.255 int virtual-temlate1 ip unnumbered lo1 peer default ip address pool VPDN ip local pool VPDN 172.17.0.3 172.17.0.254 Вставить ник Quote
Yaten Posted August 16, 2006 Author Posted August 16, 2006 КУЛ!!! настроил!!! у второй фиговины (где НАТ) прописал маршрут 172.17.0.0 255.255.0.0 192.168.2.2 и заработал!!! а вот это что делает? int loopback1 ip address 172.17.0.2 255.255.255.255 int virtual-temlate1 ip unnumbered lo1 peer default ip address pool VPDN ip local pool VPDN 172.17.0.3 172.17.0.254 А ip адреса раздаю радиусом. Спасибо!! Вставить ник Quote
SergeiK Posted August 16, 2006 Posted August 16, 2006 Если у тебя нет cессий, то cisco будет отдавать 172.17 обратно по дефолту. Получишь петлю маршрутизации. А если 172.17.0.0/24 на loopback, то маршрут этот есть всегда. И если радиус не отдаст адрес, то адрес выдастся из пула. Пул можно, конечно сократить.... Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.