Salve a tutti, stò configurando una vpn tra un cisco 1841 e cisco vpn client 4.8, sul 1841 ho creato il tunnel e funziona benissimo unico problema che per alcuni inidirizzi privati è attivo un "ip nat inside source static priv pubb" in questo caso quando pingo il privato poi mi risponde il pubblico.
Sono sicuro che sia un problema di no nat.... è per eliminarlo ho fatto le seguenti cose:
-- attivato access list nella crypto group che fà "permit ip lan locale lan pool" questo dovrebbe essere il famoso split tunnel....
-- attivato route-map che fà mach di una access list che prima "deny ip lan locale lan pool" e poi "permit ip lan locale verso tutti"
-- inserito route-map in "ip nat inside source route-map nonat pool nomepool"
-- creato pool con i pubblici usati prima nel "ip nat inside source static"
Ma non funziona.... mi risponde sempre l'ip pubblico se invece pingo un ip privato che non ha il ip nat inside source static funziona benissimo.
Grazie mille
problemi con split tunnel
Moderatore: Federico.Lagni
-
- Cisco fan
- Messaggi: 62
- Iscritto il: gio 11 mag , 2006 1:47 pm
- Località: Forlì
se posti la conf ci diamo un'occhiata
Ciao
Ciao
-
- Cisco fan
- Messaggi: 48
- Iscritto il: gio 09 nov , 2006 1:08 am
Ecco quì la conf... gli ip con le XXX sono quelli pubblici....
nel "ip nat inside source route-map......." ho provato anche a mettere "interface fa0/0 overload" ma è uguale....
Grazie mille
Codice: Seleziona tutto
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
enable secret 5 ..........................
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
aaa session-id common
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
!
!
!
!
!
!
username utente password 7 ....................
!
!
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group remote-users
key ...........
pool vpn-pool
acl 101
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
!
!
interface FastEthernet0/0
description interface public to wan
ip address XXX.X.XXX.32 255.255.248.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map clientmap
!
interface FastEthernet0/1
description interface private to network
ip address 192.168.1.32 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
ip local pool vpn-pool 192.168.2.1 192.168.2.100
ip classless
ip route 0.0.0.0 0.0.0.0 XXX.X.XXX.254
!
no ip http server
no ip http secure-server
ip nat pool public-ip XXX.X.XXX.1 XXX.X.XXX.32 netmask 255.255.248.0
ip nat inside source route-map nonat pool public-ip
ip nat inside source static 192.168.1.30 XXX.X.XXX.1
ip nat inside source static 192.168.1.31 XXX.X.XXX.2
ip nat inside source static 192.168.1.1 XXX.X.XXX.3
ip nat inside source static 192.168.1.6 XXX.X.XXX.4
ip nat inside source static 192.168.1.2 XXX.X.XXX.5
!
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 102 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
route-map nonat permit 10
match ip address 102
!
!
!
control-plane
!
!
line con 0
password 7 ........................
line aux 0
password 7 ........................
line vty 0 4
password 7 ........................
!
end
Grazie mille
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Prova con:
ip route 192.168.2.0 255.255.255.0 INT_PUB
ip route 192.168.2.0 255.255.255.0 INT_PUB
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Prova a togliere le regole per la route-map
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Come IOS usa la 12.4.10a
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
- Cisco fan
- Messaggi: 48
- Iscritto il: gio 09 nov , 2006 1:08 am
Ora stò usando questa:
..... cosa ne pensi ??
se la trovo prova con quella che mi hai detto.... grazie
Codice: Seleziona tutto
flash:c1841-advsecurityk9-mz.124-3c.bin
se la trovo prova con quella che mi hai detto.... grazie