https://opennet.dev/openforum/vsluhforumID6/19520.html Здравствуйте уважаемые Цисковеды! Возникла проблема объединения филиалов с центральным офисом компании. Есть 2 Cisco 2811, одна является PPTP сервером для VPN канала, вторая клиентом. Канал поднят и работает, но загвоздка в NAT-е как я понимаю. Дело в том, что при отсутствии NAT на клиенте имеем свободный доступ на Host-ы на внутренней сети PPTP клиента, с них же на внутреннею сеть компании доступа нет. Как только я на циске клиенте поднимаю NAT - ситуация меняется с точностью до наоборот, компы за циской клиентом видят сеть компании, а остальная компания их нет.<br> Поскажите пожалуйста как можно реализовать именно 2-х стороннюю видимость сетей, что именно я сконфигурировал не так ?! Сразу хочу сказать, что Циску вижу всего пару недель, так что просьба подробнее разяснить...<br> Соответственно сами конфиги:<br><br>PPTP - Server<br><br><br>Building configuration...<br><br>Current configuration : 4621 bytes<br>!<br>version 12.4<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>service password https://opennet.dev/openforum/vsluhforumID6/19520.html#16 Wed, 16 Sep 2009 07:16:10 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; ppp pap refuse <br>&gt;&gt;&gt;! <br>&gt;&gt;&gt;ip classless <br>&gt;&gt;&gt;ip route 0.0.0.0 0.0.0.0 Dialer0 <br>&gt;&gt;&gt;ip route 10.100.16.0 255.255.252.0 FastEthernet0/0 <br>&gt;<br>&gt;Про последнюю строчку - согласен, но она не мешает.... <br>&gt;А вот предпоследняя нужна, как же я пакеты на внутреннюю сеть отправлять <br>&gt;буду ?! <br>&gt;В никуда что ли....они идут именно в VPN канал. <br><br> я имел ввиду ip route 10.100.16.0 255.255.252.0 FastEthernet0/0 <br><br>&gt;[оверквотинг удален]<br>&gt;&gt;&gt;ntp clock-period 17179900 <br>&gt;&gt;&gt;ntp server 10.100.0.5 <br>&gt;&gt;&gt;! <br>&gt;&gt;&gt;end <br>&gt;<br>&gt;И с этим не согласен, управление по SSH роутером то мне нужно, <br>&gt;о нему как то проще <br>&gt;с удалёнкой работать. <br>&gt;<br>&gt;P. S. Конфиги рабочие 100% всё проверено и функционирует. <br><br> https://opennet.dev/openforum/vsluhforumID6/19520.html#15 Wed, 16 Sep 2009 05:50:27 GMT <br>&gt;[оверквотинг удален]<br>&gt;&gt; ppp chap hostname vpnuser1 <br>&gt;&gt; ppp chap password 7 **************** - пароль для VPN (bp него <br>&gt;&gt;назначается IP) <br>&gt;&gt; ppp ms-chap refuse <br>&gt;&gt; ppp ms-chap-v2 refuse <br>&gt;&gt; ppp pap refuse <br>&gt;&gt;! <br>&gt;&gt;ip classless <br>&gt;&gt;ip route 0.0.0.0 0.0.0.0 Dialer0 <br>&gt;&gt;ip route 10.100.16.0 255.255.252.0 FastEthernet0/0 <br><br>Про последнюю строчку - согласен, но она не мешает....<br>А вот предпоследняя нужна, как же я пакеты на внутреннюю сеть отправлять буду ?! <br>В никуда что ли....они идут именно в VPN канал.<br><br>&gt;[оверквотинг удален]<br>&gt;&gt; access-class 23 in <br>&gt;&gt; privilege level 15 <br>&gt;&gt; login local <br>&gt;&gt; transport input telnet ssh <br>&gt;&gt;! <br>&gt;&gt;scheduler allocate 20000 1000 <br>&gt;&gt;ntp clock-period 17179900 <br>&gt;&gt;ntp server 10.100.0.5 <br>&gt;&gt;! <br>&gt;&gt;end <br><br>И с этим не согласен, управление по SSH роутером то мне нужно, о нему как то проще <br>с удалёнкой работать.<br><br>P. S. Конфиги рабочие 100% всё проверено и функционирует.<br> https://opennet.dev/openforum/vsluhforumID6/19520.html#14 Wed, 16 Sep 2009 05:39:45 GMT &gt;[оверквотинг удален]<br>&gt;ip local pool test 192.168.0.230 192.168.0.250 <br>&gt;ip classless <br>&gt;ip route 0.0.0.0 0.0.0.0 xxx.xxx.xx6.201 - роутинг на шлюз провайдера по умолчанию <br>&gt;<br>&gt;ip route 10.10.0.0 255.255.0.0 10.100.0.1 <br>&gt;ip route 10.100.4.0 255.255.252.0 10.100.0.1 <br>&gt;ip route 10.100.8.0 255.255.252.0 10.100.0.1 <br>&gt;ip route 10.100.12.0 255.255.252.0 10.100.0.1 <br>&gt;ip route 10.100.16.0 255.255.252.0 192.168.0.231 <br>&gt;ip route 10.100.20.0 255.255.252.0 192.168.0.232 <br><br> последние 2 строчки не нужны<br>&gt;[оверквотинг удален]<br>&gt; ppp chap hostname vpnuser1 <br>&gt; ppp chap password 7 **************** - пароль для VPN (bp него <br>&gt;назначается IP) <br>&gt; ppp ms-chap refuse <br>&gt; ppp ms-chap-v2 refuse <br>&gt; ppp pap refuse <br>&gt;! <br>&gt;ip classless <br>&gt;ip route 0.0.0.0 0.0.0.0 Dialer0 <br>&gt;ip route 10.100.16.0 255.255.252.0 FastEthernet0/0 <br><br> это не нужно<br>&gt;[оверквотинг удален]<br>&gt; access-class 23 in <br>&gt; privilege level 15 <br>&gt; login local <br>&gt; transport input telnet ssh <br>&gt;! <br>&gt;scheduler allocate 20000 1000 <br>&gt;ntp clock-period 1717990 https://opennet.dev/openforum/vsluhforumID6/19520.html#13 Wed, 02 Sep 2009 07:37:03 GMT <br>&gt;А что народ в Internet не ходит ? <br><br> Народ в инет ходит через проксю центрального офиса, так надёжнее для контроля.<br><br><br> https://opennet.dev/openforum/vsluhforumID6/19520.html#12 Wed, 02 Sep 2009 07:14:19 GMT &gt;[оверквотинг удален]<br>&gt; access-class 23 in <br>&gt; privilege level 15 <br>&gt; login local <br>&gt; transport input telnet ssh <br>&gt;! <br>&gt;scheduler allocate 20000 1000 <br>&gt;ntp clock-period 17179900 <br>&gt;ntp server 10.100.0.5 <br>&gt;! <br>&gt;end <br><br>А что народ в Internet не ходит ?<br> https://opennet.dev/openforum/vsluhforumID6/19520.html#11 Tue, 01 Sep 2009 07:06:10 GMT Как и обещал - выкладываю рабочие конфиги цисок клиентов и сервера, для соединения представительств через VPN:<br><br>Конфиг Cisco VPN сервер *****************************************************************<br><br>Building configuration...<br><br>Current configuration : 5576 bytes<br>!<br>version 12.4<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>service password-encryption<br>!<br>hostname Cisco<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>logging buffered 51200 warnings<br>!<br>aaa new-model<br>!<br>!<br>aaa authentication ppp auth-list local<br>!<br>aaa attribute list pptp-list-user<br> attribute type addr 192.168.0.230 service ppp protocol ip mandatory<br>!<br>aaa attribute list pptp-list-user1<br> attribute type addr 192.168.0.231 service ppp protocol ip mandatory<br>!<br>aaa attribute list pptp-list-user2<br> attribute type addr 192.168.0.232 service ppp protocol ip mandatory<br>!<br>aaa session-id common<br>!<br>resource policy<br>!<br>clock timezone Moscow 3<br>clock summer-time Moscow date Mar 30 2003 2:00 Oct 26 2003 3:00<br>ip https://opennet.dev/openforum/vsluhforumID6/19520.html#10 Wed, 26 Aug 2009 05:51:50 GMT &gt;[оверквотинг удален]<br>&gt;на VPN и использовать Loopback. <br>&gt;Компы начинают видеть друг-друга, когда на хостах локальной сети циски сервера прописываешь <br>&gt;роутинг до хостов циски клиента !!! <br>&gt;route add 10.100.16.0 (внутренняя сеть циски клиента)mask 255.255.252.0 10.100.2.254 (внутренний интерфейс циски <br>&gt;сервера). <br>&gt;Соответственно NAT на клиенте не нужен, остальное в конфигах остаётся без изменений <br>&gt;!!! <br>&gt;<br>&gt;Как домучаю совсем выложу гонфиги для организации VPN доступа к нескольким представительствам. <br>&gt;<br><br>Выкладывай.<br> https://opennet.dev/openforum/vsluhforumID6/19520.html#9 Tue, 25 Aug 2009 12:54:15 GMT Спасибо за помощь, нужно было просто на сервере прописать другой диапазон адресов на VPN и использовать Loopback.<br>Компы начинают видеть друг-друга, когда на хостах локальной сети циски сервера прописываешь роутинг до хостов циски клиента !!! <br>route add 10.100.16.0 (внутренняя сеть циски клиента)mask 255.255.252.0 10.100.2.254 (внутренний интерфейс циски сервера). <br>Соответственно NAT на клиенте не нужен, остальное в конфигах остаётся без изменений !!! <br><br>Как домучаю совсем выложу гонфиги для организации VPN доступа к нескольким представительствам.<br> https://opennet.dev/openforum/vsluhforumID6/19520.html#8 Tue, 25 Aug 2009 09:05:34 GMT <br>&gt;<br>&gt;Попробуйте пул из другой сети выделить. <br><br>А как это сделать реально, если просто изменить например на 192.168.0.230 192.168.0.250<br>то нет коннекта и маршрута нет до клиента....<br>