PTT數位生活區 / Network

[問答] CISCO VPN local ip pool

看板Network作者 (KIHo)時間10年前 (2014/12/12 02:13), 10年前編輯推噓2(208)
留言10則, 2人參與, 最新討論串1/1
大家好,想請問目前在CISCO ROUTER上架設翻牆用的VPN 但是連入到VPN後什麼事情都不能做...想問問板上是否有人知道解法呢? 所使用的是EASYVPN 在Fa0/1上接RJ45到小烏龜 建立Dialer1並使用PPPoE取得外部IP,然後就把VPN建立在Dialer1上 但是使用Cisco VPN Client成功連入後,只能ping到Dialer1的外部IP 其他網站或者介面一概無法Ping到 原先以為是從Dialer1進來的連線不能再從Dialer1再連到外部網路 所以再將Fa0/0也接上外部網路後,試著讓流量從Fa0/0出入,不過也失敗了 最後才發現連入EasyVPN,從local ip pool取得的IP似乎有問題 這些IP無法利用NAT/PAT再轉成Dialer1或Fa0/0的外部IP來上網 請問有沒有別的方式能夠讓從local ip pool取得IP的VPN Client端 還能夠利用PAT到外部IP來連到外部網路呢? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.230.207.159 ※ 文章網址: http://www.ptt.cc/bbs/Network/M.1418321581.A.F84.html ※ 編輯: god50710 (61.230.207.159), 12/12/2014 02:14:08
12/12 09:37, , 1F
在router上設定NAT/PAT 把local pool IP轉成dialer IP
12/12 09:37, 1F
local ip pool 192.168.11.120~130 access-list 110 permit 192.168.11.120 0.0.0.0 any ~做到130 然後在Dialer1上了下列指令 ip nat outside ip nat inside source list 110 interface Dialer1 overload 測試用Client端連入後取得192.168.11.120 IP 但是輸入show ip nat translations 毫無反應 是空的... 同樣的VPN Client也無法正常上網 不知道我的設定是不是有誤呢? ※ 編輯: god50710 (140.112.3.62), 12/12/2014 17:17:43 ※ 編輯: god50710 (140.112.3.62), 12/12/2014 17:39:11
12/12 19:46, , 2F
NAT設定錯誤,inside跟outside不可能是同一個介面
12/12 19:46, 2F
12/12 19:47, , 3F
VPN連線的情況特殊,不能算是從dialer進入的,要用route
12/12 19:47, 3F
12/12 19:47, , 4F
map去指定NAT的範圍而非指定介面
12/12 19:47, 4F
12/12 19:59, , 5F
http://tinyurl.com/lr7dxx2 設定範例參考
12/12 19:59, 5F
12/12 20:00, , 6F
另外,如果覺得cisco router做跳板太難做,請用電腦灌
12/12 20:00, 6F
12/12 20:01, , 7F
VPN軟體(openvpn、softethervpn、pptp等)會比較簡單
12/12 20:01, 7F
因為openvpn、softethervpn、pptp分別已經先架過了但...雖連上卻非常不穩定... 所以才試著用CISCO ROUTER做 包含參考其他範例後,發現在acl內都會先deny要抵達的目標網域→Client取得的IP網域 然後再permit一次要抵達的目標網域之後,讓route-map規則match這個acl.. 於是就試著依樣畫葫蘆了 試過利用route-map轉出去但...文風不動...在(config#)試過下列的指令 access-list 110 deny ip 外部IP 0.0.0.0 192.168.11.0 0.0.0.255 access-list 110 permit ip 外部IP 0.0.0.0 all route-map vpn permit 10 match ip address 110 ip nat source route-map vpn interface dialer1 overload 然後Client端連上VPN後,除了其他介面上的IP(fa0/0、0/1、dialer1)以外都ping不到... 試過包含static nat方式 目前仍沒有辦法讓從dialer1上連接進來的VPN Client端再利用PAT從dialer1出去外網.. 有fa0/0跟fa0/1介面,如果不下nat overload的話,Client端都可以ping到這些介面的IP 但如果想讓這兩個介面從Dialer1連出去,一做NAT就會讓Clinet端Ping不到這些介面 感覺上最直覺的方式應該是... access-list 11 permit 192.168.11.0 0.0.0.255 ip nat source list 11 interface dialer1 overload 然後192.168.11.120~130就可以用PAT從dialer1再出去啦~(結果:不可行) ※ 編輯: god50710 (61.230.207.159), 12/13/2014 05:47:36
12/13 10:28, , 8F
有一個問題就是你把 ip nat inside 放在哪個介面?
12/13 10:28, 8F
12/13 10:29, , 9F
不如提供一下設定檔來看看比較好找問題
12/13 10:29, 9F
12/13 16:24, , 10F
你查查是不是沒有設定NAT exemption
12/13 16:24, 10F
更多 god50710 的文章
文章代碼(AID): #1KYTwj-4 (Network)
Network 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 god50710 的文章
文章代碼(AID): #1KYTwj-4 (Network)