CiscoForums.it

Cisco Users Group
https://ciscoforums.it/

problemi con split tunnel

https://ciscoforums.it/viewtopic.php?f=16&t=3558

Pagina 1 di 1

problemi con split tunnel

Inviato: gio 09 nov , 2006 1:25 am
da amatteo78
Salve a tutti, stò configurando una vpn tra un cisco 1841 e cisco vpn client 4.8, sul 1841 ho creato il tunnel e funziona benissimo unico problema che per alcuni inidirizzi privati è attivo un "ip nat inside source static priv pubb" in questo caso quando pingo il privato poi mi risponde il pubblico.
Sono sicuro che sia un problema di no nat.... è per eliminarlo ho fatto le seguenti cose:
-- attivato access list nella crypto group che fà "permit ip lan locale lan pool" questo dovrebbe essere il famoso split tunnel....
-- attivato route-map che fà mach di una access list che prima "deny ip lan locale lan pool" e poi "permit ip lan locale verso tutti"
-- inserito route-map in "ip nat inside source route-map nonat pool nomepool"
-- creato pool con i pubblici usati prima nel "ip nat inside source static"
Ma non funziona.... mi risponde sempre l'ip pubblico se invece pingo un ip privato che non ha il ip nat inside source static funziona benissimo.

Grazie mille

Inviato: gio 09 nov , 2006 10:34 am
da emanuele.ciani
se posti la conf ci diamo un'occhiata

Ciao

Inviato: sab 11 nov , 2006 2:13 pm
da amatteo78
Ecco quì la conf... gli ip con le XXX sono quelli pubblici....

Codice: Seleziona tutto

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
enable secret 5 ..........................
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local 
!
aaa session-id common
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
!
!
!
!
!
!
username utente password 7 ....................
!
! 
!
crypto isakmp policy 3
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp client configuration group remote-users
 key ...........
 pool vpn-pool
 acl 101
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac 
!
crypto dynamic-map dynmap 10
 set transform-set myset 
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap 
!
!
!
interface FastEthernet0/0
 description interface public to wan
 ip address XXX.X.XXX.32 255.255.248.0
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 crypto map clientmap
!
interface FastEthernet0/1
 description interface private to network
 ip address 192.168.1.32 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
!
ip local pool vpn-pool 192.168.2.1 192.168.2.100
ip classless
ip route 0.0.0.0 0.0.0.0 XXX.X.XXX.254
!
no ip http server
no ip http secure-server
ip nat pool public-ip XXX.X.XXX.1 XXX.X.XXX.32 netmask 255.255.248.0
ip nat inside source route-map nonat pool public-ip
ip nat inside source static 192.168.1.30 XXX.X.XXX.1
ip nat inside source static 192.168.1.31 XXX.X.XXX.2
ip nat inside source static 192.168.1.1 XXX.X.XXX.3
ip nat inside source static 192.168.1.6 XXX.X.XXX.4
ip nat inside source static 192.168.1.2 XXX.X.XXX.5
!
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 102 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
route-map nonat permit 10
 match ip address 102
!
!
!
control-plane
!
!
line con 0
 password 7 ........................
line aux 0
 password 7 ........................
line vty 0 4
 password 7 ........................
!
end
nel "ip nat inside source route-map......." ho provato anche a mettere "interface fa0/0 overload" ma è uguale....

Grazie mille

Inviato: dom 12 nov , 2006 9:32 pm
da amatteo78
Ho provato ancora mille modi diversi ma quando pingo un privato mi risponde sempre con il pubblico anche se ho applicato la acl che dovrebbe dire di non fare nat....

Inviato: lun 13 nov , 2006 3:47 pm
da Wizard
Prova con:

ip route 192.168.2.0 255.255.255.0 INT_PUB

Inviato: lun 13 nov , 2006 6:59 pm
da amatteo78
Inserento la rotta statica se provo a pingare un privato mi risponde sempre il pubblico abbinato e in più è peggiorato in quanto risponde un ping si e uno no.....

Inviato: mer 15 nov , 2006 7:31 pm
da amatteo78
Nessuno ha idea su come fare.... ???

Inviato: ven 17 nov , 2006 6:36 pm
da Wizard
Prova a togliere le regole per la route-map

Inviato: sab 18 nov , 2006 9:25 am
da amatteo78
ho provato ma nulla.... ma voi avete una conf che vi funziona tipo la mia ?? e che ver. di ios usate ??

Grazie

Inviato: dom 19 nov , 2006 5:50 pm
da Wizard
Come IOS usa la 12.4.10a

Inviato: dom 19 nov , 2006 6:47 pm
da amatteo78
Ora stò usando questa:

Codice: Seleziona tutto

flash:c1841-advsecurityk9-mz.124-3c.bin
..... cosa ne pensi ??

se la trovo prova con quella che mi hai detto.... grazie
Tutti gli orari sono UTC+01:00
Pagina 1 di 1

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Store.it