problemi con split tunnel

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
amatteo78
Cisco fan
Messaggi: 48
Iscritto il: gio 09 nov , 2006 1:08 am

Salve a tutti, stò configurando una vpn tra un cisco 1841 e cisco vpn client 4.8, sul 1841 ho creato il tunnel e funziona benissimo unico problema che per alcuni inidirizzi privati è attivo un "ip nat inside source static priv pubb" in questo caso quando pingo il privato poi mi risponde il pubblico.
Sono sicuro che sia un problema di no nat.... è per eliminarlo ho fatto le seguenti cose:
-- attivato access list nella crypto group che fà "permit ip lan locale lan pool" questo dovrebbe essere il famoso split tunnel....
-- attivato route-map che fà mach di una access list che prima "deny ip lan locale lan pool" e poi "permit ip lan locale verso tutti"
-- inserito route-map in "ip nat inside source route-map nonat pool nomepool"
-- creato pool con i pubblici usati prima nel "ip nat inside source static"
Ma non funziona.... mi risponde sempre l'ip pubblico se invece pingo un ip privato che non ha il ip nat inside source static funziona benissimo.

Grazie mille
Top
emanuele.ciani
Cisco fan
Messaggi: 62
Iscritto il: gio 11 mag , 2006 1:47 pm
Località: Forlì

se posti la conf ci diamo un'occhiata

Ciao
Top
amatteo78
Cisco fan
Messaggi: 48
Iscritto il: gio 09 nov , 2006 1:08 am

Ecco quì la conf... gli ip con le XXX sono quelli pubblici....

Codice: Seleziona tutto

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
enable secret 5 ..........................
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local 
!
aaa session-id common
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
!
!
!
!
!
!
username utente password 7 ....................
!
! 
!
crypto isakmp policy 3
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp client configuration group remote-users
 key ...........
 pool vpn-pool
 acl 101
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac 
!
crypto dynamic-map dynmap 10
 set transform-set myset 
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap 
!
!
!
interface FastEthernet0/0
 description interface public to wan
 ip address XXX.X.XXX.32 255.255.248.0
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 crypto map clientmap
!
interface FastEthernet0/1
 description interface private to network
 ip address 192.168.1.32 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
!
ip local pool vpn-pool 192.168.2.1 192.168.2.100
ip classless
ip route 0.0.0.0 0.0.0.0 XXX.X.XXX.254
!
no ip http server
no ip http secure-server
ip nat pool public-ip XXX.X.XXX.1 XXX.X.XXX.32 netmask 255.255.248.0
ip nat inside source route-map nonat pool public-ip
ip nat inside source static 192.168.1.30 XXX.X.XXX.1
ip nat inside source static 192.168.1.31 XXX.X.XXX.2
ip nat inside source static 192.168.1.1 XXX.X.XXX.3
ip nat inside source static 192.168.1.6 XXX.X.XXX.4
ip nat inside source static 192.168.1.2 XXX.X.XXX.5
!
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 102 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
route-map nonat permit 10
 match ip address 102
!
!
!
control-plane
!
!
line con 0
 password 7 ........................
line aux 0
 password 7 ........................
line vty 0 4
 password 7 ........................
!
end
nel "ip nat inside source route-map......." ho provato anche a mettere "interface fa0/0 overload" ma è uguale....

Grazie mille
Top
amatteo78
Cisco fan
Messaggi: 48
Iscritto il: gio 09 nov , 2006 1:08 am

Ho provato ancora mille modi diversi ma quando pingo un privato mi risponde sempre con il pubblico anche se ho applicato la acl che dovrebbe dire di non fare nat....
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Prova con:

ip route 192.168.2.0 255.255.255.0 INT_PUB
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
amatteo78
Cisco fan
Messaggi: 48
Iscritto il: gio 09 nov , 2006 1:08 am

Inserento la rotta statica se provo a pingare un privato mi risponde sempre il pubblico abbinato e in più è peggiorato in quanto risponde un ping si e uno no.....
Top
amatteo78
Cisco fan
Messaggi: 48
Iscritto il: gio 09 nov , 2006 1:08 am

Nessuno ha idea su come fare.... ???
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Prova a togliere le regole per la route-map
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
amatteo78
Cisco fan
Messaggi: 48
Iscritto il: gio 09 nov , 2006 1:08 am

ho provato ma nulla.... ma voi avete una conf che vi funziona tipo la mia ?? e che ver. di ios usate ??

Grazie
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Come IOS usa la 12.4.10a
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
amatteo78
Cisco fan
Messaggi: 48
Iscritto il: gio 09 nov , 2006 1:08 am

Ora stò usando questa:

Codice: Seleziona tutto

flash:c1841-advsecurityk9-mz.124-3c.bin
..... cosa ne pensi ??

se la trovo prova con quella che mi hai detto.... grazie
Top
Rispondi

Torna a “VPN”