Здравствуйте!
Раньше никогда не настраивал vpn.
Была сеть 10.10.10.0/24.Теперь появились др. подсети с маской /28 побитой из 10.10.11.0
Настроил DNS,mail,icq, все работает, но.... их не видно в M$ "Сетевом окружении"
По поиску (по имени) в сет. окр. находятся.
Решил поднять vpn-канал - клиент (стандартный M$ ppptp WinXP) и PIX506[Version 6.3(5)] чтобы раздать IP из "своей" подсети и...
Объясните бестолковому. Зачем при присоединении к циско vpn-клиентам выдается
pool _не_из_внутренней сети!!!
во всех(?) примерах cisco.com схема (утрированно) такая
---inside(10.0.0.1)CISCO(172.17.0.1)---outside
|
|ip local pool vpnpool 192.168.1.1-192.168.1.254
Причем, ни DMZ ничего др. не прописано, не нарисовано и даже нет намека....
Когда vpn-клиент подкл. к cisco из сети 172.17.0.х и получит из пула адресс 192.168.1.1, что этот клиент может получить в сети 10.0.0.х!?!?!?!
Как правило, сервисы вн. сети принимают пакеты от _своей_подсети....
Нужно, чтобы vpn-клиент получал IP не из пула циско, а из radius (прочитал, что cisco pool затирает radius-pool)и из сети 10.10.10.0/24
У меня radius уже этим занимается с cisco 2621MX и 8-портовым аналоговым модулем. И все прекрасно.
А vpdn group не хочет работать без пула..Почему??? (Кстати "vpdn" это кто-то из цискарей ошибся и записал в IOS вместо vpnd vpdn :))
Ну и с натом до конца понимание не пришло :(
типа:
access-list 101 permit ip 10.0.0.0 255.255.255.0 192.168.1.0 255.255.255.0
ip local pool vpnpool 192.168.1.1-192.168.1.254
nat (inside) 0 access-list 101делал так
---inside(10.0.0.1)CISCO(172.17.0.1)---outside
|
|ip local pool vpnpool 10.10.10.200-10.10.10.240
access-list nonat permit ip 10.0.0.0 255.255.255.0 10.10.0.0 255.255.255.0 !тут чушь полная :(
ip local pool vpnpool 10.10.10.200-10.10.10.240
nat (inside) 0 access-list nonat
надо натить из пула 10.10.10.200-10.10.10.240 из inside to outside ???
Недавно только начал читать про vpn.Уже мозг закипает и "каша" в голове.
Честно говоря, мне и шифровать то ничего не надо так-как сеть корпоративная и защищена сама по себе....
Просто подумал, если клиенты будут из подсети 10.10.10.0/24, то будут видется в M$ "Сет. окруж"
Никто с такой простой задачей не сталкивался? На cisco.com примеры какие то ... секурные(?)
Прилагаю куски, IMHO, значимых знач.(в ACL все убрал[разрешил] чтобы на них не грешить)
===============cut============================
acess-list inside_access_in permit ip any any
access-list inside_outbound_nat0_acl permit ip any any
access-list outside_inbound_nat0_acl permit ip any any
access-list nonat permit ip 10.10.10.0 255.255.255.0 10.10.10.0 255.255.255.0
ip address outside 10.10.200.114 255.255.255.252
ip address inside 10.10.10.17 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool VPN-POOL 10.10.10.200-10.10.10.230
nat (outside) 0 access-list outside_inbound_nat0_acl outside
nat (inside) 0 access-list inside_outbound_nat0_acl
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 10.10.200.113 1
vpdn group PPTP-VPDN-GROUP accept dialin pptp
vpdn group PPTP-VPDN-GROUP ppp authentication chap
vpdn group PPTP-VPDN-GROUP ppp authentication mschap
vpdn group PPTP-VPDN-GROUP ppp encryption mppe auto
vpdn group PPTP-VPDN-GROUP client configuration address local VPN-POOL
vpdn group PPTP-VPDN-GROUP client configuration dns IN_NS
vpdn group PPTP-VPDN-GROUP client configuration wins IN_NS
vpdn group PPTP-VPDN-GROUP client authentication aaa RADIUS
vpdn group PPTP-VPDN-GROUP client accounting RADIUS
vpdn group PPTP-VPDN-GROUP pptp echo 60
vpdn enable outside
vpdn enable inside ! для тестирования изнутри
===============end cut===================
Тестирую изнутри.
первое - адрес из пула берется но до freeradius не доходит :(
%PIX-6-603102: PPP virtual interface 1 - user: test aaa authentication started
%PIX-6-109002: Auth from 0.0.0.0/0 to 10.10.10.200/0 failed (server 10.10.10.4 failed) on interface outside ! 10.10.10.4 - freeradius
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ не понимаю, что происходит :(^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
%PIX-6-603103: PPP virtual interface 1 - user: test aaa authentication failed
%PIX-6-603104: PPTP Tunnel created, tunnel_id is 4, remote_peer_ip is 10.10.10.13, ppp_virtual_interface_id is 1, client_dynamic_ip is 0.0.0.0, username is test, MPPE_key_strength is None
%PIX-6-603105: PPTP Tunnel deleted, tunnel_id = 4, remote_peer_ip = 10.10.10.13
Понятно, что надо курить мануалы, man, how to etc на предмет nat acccess-list , просто уже я не то чтобы в отчаянии....
========================================
sh access-l
access-list outside_access_in line 2 permit ip any any (hitcnt=2229)
access-list inside_access_in; 1 elements
access-list inside_access_in line 1 permit ip any any (hitcnt=14934)
access-list inside_outbound_nat0_acl; 1 elements
access-list inside_outbound_nat0_acl line 1 permit ip any any (hitcnt=17331)
access-list outside_inbound_nat0_acl; 1 elements
access-list outside_inbound_nat0_acl line 1 permit ip any any (hitcnt=17206)
access-list nonat; 1 elements
access-list nonat line 1 permit ip 10.10.10.0 255.255.255.0 10.10.10.0 255.255.255.0
pixa# sh route
outside 0.0.0.0 0.0.0.0 10.10.200.113 1 OTHER static
inside 10.10.10.0 255.255.255.0 10.10.10.17 1 CONNECT static
outside 10.10.200.112 255.255.255.252 10.10.200.114 1 CONNECT static
С nat (inside) 0 access-list nonat ругался. Убрал....
pixa# sh nat
nat (outside) 0 access-list outside_inbound_nat0_acl outside
nat (inside) 0 access-list inside_outbound_nat0_acl
ps Мне раньше ничего натить и не надо было...Общая сетка из 10.10.0.0/16
pps Немного сумбурно получилось...