ru.cisco

 
 - RU.CISCO ---------------------------------------------------------------------
 From : Ѓгвл«ЄЁ­ €.                          2:5020/400     09 Apr 2003  18:35:22
 To : Ѓгвл«ЄЁ­ €.
 Subject : Re: PIX & VPN - проблема конфигурирования
 -------------------------------------------------------------------------------- 
 

 Ответ от Roman Nakhmanson [rnakhmanson@vigousa.com] - все правильно!!! Какой
 же я дурень, сам не допер...
 
 Privet
 
 > Есть два PIX-506E , за которыми спрятаны сетки 192.168.1.х и 192.168.4.х.
 
 > Hужно наладить связь сеток через интернет. Берем доку и конфигурируем по
 
 > примеру:
 
 > access-list 80 permit ip 192.168.4.0 255.255.255.0 192.168.1.0
 
 > 255.255.255.0 - описываем исходящий трафик из одной на другую
 
 > nat (inside) 0 access-list 80 - запрещаем преобразование локальных адресов
 
 данного
 
 > трафика
 
 > isakmp policy ....
 
 > isakmp key .... - задаем ключ шифрования
 
 > crypto map ... match address 80
 
 > crypto map ... set peer x.x.x.x
 
 > Аналогично - на другой стороне. Все работает, радуемся жизни. Теперь нужно
 
 > обеспечить вход клиентов по VPN (PPTP, т.к. клиенты - Windows 9x). Пусть
 
 > клиенты у нас будут в подсети 192.168.5.х (почему-то во всех примерах для
 
 > клиентов выделяется отдельная подсеть, хотя, думаю, это не принципиально).
 
 > Опять берем доку, настраиваем все по ней. Hужно также запретить трансляцию
 
 > адресов, поэтому добавляем
 
 > access-list 80 permit ip 192.168.4.0 255.255.255.0 192.168.5.0
 
 255.255.255.0
 
 vozmi drugoy nomer access-list dlya pptp (naprimer 110)
 
 > Далее - всякие настройки Радиуса и клиентов.
 
 > Что происходит на практике: клиент нормально подсоединяется, получает
 
 > параметры конфигурации TCP/IP от пикса, пикс строит туннель - все вроде бы
 
 > хорошо. А трафик между клиентом и сетью (или пиксом) не идет.
 
 >
 
 > Hасколько я понимаю, проблема в том, что трафик от клиента попадает под
 
 > crypto map, прицепленный к access-list 80. И что теперь делать? Ведь
 
 нельзя
 
 > написать два access-list-а, чтобы потом по каждому из них дать nat 0?
 
 > Точнее, два ACL написать не проблема - проблема отключить по ним NAT. nat
 
 0
 
 > access-list XX можно выдавать только один раз... По идее, та же проблема
 
 > должна возникнуть в случае, если я попытаюсь подключить к этой схеме
 
 третью
 
 > локальную сеть... Похоже, я чего-то круто недопонимаю?
 
 delaesh
 
 access-list 101 - dlya site-to-site vpn tunnel 1
 
 access-list 102 - dlya site-to-site vpn tunnel 2
 
 ...
 
 access-list 110 - dlya pptp vpn users
 
 access-list 111 - v kotorom est zapisi ot vseh prediduschih access-list
 101-110
 
 nat (inside) 0 access-list 111
 Nadeus pomozhet
 
 P.S. esli pomoglo zapostay pozhaluysta v news (esli ne slozhno) ;)
 
 Roman
 --- ifmail v.2.15dev4
  * Origin: MTU-Intel ISP (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор