LINUX.ORG.RU
ФорумAdmin

cisco 881 nat, не работает gre


0

1

Вcем привет. В общем столкнулся с проблемой невозможноси поднятия vpn через cisco nat. Стоит 881 cisco, настроки простые. Есть внутренняя сеть 10.10.1.0/24 дальше идет нат через внешний IP. Все отлично работает, но вот приспичило на компьютере из сети 10.10.1.0 подключится по vpn к внешнему серверу... И оно не работает. Тоесть сервера видят друг друга, начинают поднимать gre и потом из внутренний сети как будто теряет внешний сервер.

Есть какое то ограничение на поднятие gre через нат ? Уже все что только можно перепробовал, но один фиг не хочет.

Вот конфиг:



!
! Last configuration change at 14:10:27 PCTime Thu Aug 11 2011
!
version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cisco-wifi
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 $1$sicv$ImN7XErqdg6UOXP3O5vO..
enable password vfrhjljv
!
no aaa new-model
memory-size iomem 10
clock timezone PCTime 3
ip source-route
!
!
ip dhcp excluded-address 10.10.1.1 10.10.1.9
!
ip dhcp pool xxxxxx
import all
network 10.10.1.0 255.255.255.0
dns-server 10.10.1.1
domain-name xxxx.ru
default-router 10.10.1.1
!
!
ip cef
ip domain list xxxx
ip domain timeout 5
ip domain name xxxx
ip name-server 192.168.0.5
ip name-server 192.168.0.248
no ipv6 cef
!
!
!
!
license udi pid CISCO881W-GN-E-K9 sn FCZ14499061
!
!
username xxxxxx secret 5 $1$PToj$JdY4SwhjL7qax//m0LLpB/
!
!
ip ftp username cisco
ip ftp password cisco123
!
!
!
!
interface FastEthernet0
shutdown
!
interface FastEthernet1
shutdown
!
interface FastEthernet2
shutdown
!
interface FastEthernet3
shutdown
!
interface FastEthernet4
description $FW_OUTSIDE$
ip address 192.168.3.240 255.255.240.0
ip access-group 101 out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface wlan-ap0
description Service module interface to manage the embedded AP
ip unnumbered Vlan1
ip nat inside
ip virtual-reassembly
arp timeout 0
!
interface Wlan-GigabitEthernet0
description Internal switch interface connecting to the embedded AP
switchport mode trunk
!
interface Vlan1
description $FW_INSIDE$
ip address 10.10.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip forward-protocol nd
ip http server
no ip http secure-server
!
ip dns server
ip nat inside source list 20 interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 192.168.0.248
!
access-list 20 remark INSIDE_IF=Vlan1
access-list 20 remark CCP_ACL Category=2
access-list 20 permit 10.10.1.0 0.0.0.255
access-list 101 remark block if no need
access-list 101 remark CCP_ACL Category=1
access-list 101 permit gre any any
access-list 101 permit ip any host 192.168.2.220 192.168.2.240
access-list 101 permit ip any host 192.168.0.5
access-list 101 permit ip any host 192.168.2.220
access-list 101 permit ip any host 192.168.1.194
access-list 101 deny ip any 192.168.0.0 0.0.3.255
access-list 101 permit ip any any

!
!
!
!
snmp-server community public RO
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
line vty 0 4
password xxxxxx
login
transport input all
!
end


Ответ на: комментарий от PUZO

Я пару дней назад только начал готовлюсь к CCNA, так что особо не помогу, но лучше всё таки глянуть сниффером на обеих сторонах (отзеркалить порт).

anton_jugatsu ★★★★ ()
Ответ на: комментарий от anton_jugatsu

Да в том то и дело что смотрел. Все хорошо. Начинает создаваться тоннель, а потом просто тормозится и все. Я вообще начинаю думать что проблема в какой нибудь лицензии....

PUZO ()

Fixup может помочь, но проблему нескольких впнов он мне так и не позволил решить.

spunky ★★ ()
Ответ на: комментарий от PUZO

Fixup protocol pptp 1723. Хотя сейчас мне уже кажется, что эта команда всяких пиксов и фвсмов, на маршрутизаторах может отсутствовать. И как бы не понадобилось статикой трансляцию наружу делать.

spunky ★★ ()
Ответ на: комментарий от PUZO

Жаль, но не смертельно. С какой ошибкой ты обламываешься при установлении соединения? Есть ли возможность попробовать pptp в обход nat-а?

spunky ★★ ()
Ответ на: комментарий от PUZO

Немного локализовал проблему. Не работает pptp только через wi-fi, если подсоединить провод то все хорошо. Что может быть ? MTU ? Но где ?

PUZO ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.