PDA

Επιστροφή στο Forum : Access list problem..



eXpLoDeR
09-05-10, 12:44
Καλησπέρα σε όλους, αντιμετωπίζω το εξης σοβαρο πρόβλημα σε έναν 1841 με 2 adsl επάνω έχω βάλει 2 servers να βγαίνουν απο την μία adsl και όλα τα άλλα τερματικά απο την 2η adsl, το πρόβλημα που αντιμετωπίζω είναι το εξης.. έχω κάνει 1 vpn με εναν άλλον 1841 και το vpn παίζει μια χαρά βλέπω τα πάντα στο δύκτιο......εκτός απο τους 2 servers τους οποίους και φυσικά χρειάζομαι οπωσδήποτε! :)
παραθέτω το configuration για βοήθεια, ξέρω οτι το πρόβλημα είναι στην access list 110 και έχω δοκιμάσει διάφορα, το μόνο που κατάφερα με όλες μου τις δοκιμές είναι να βλέπω τους servers μεσω του vpn αλλα να μήν έχουν internet :oops:
καθε βοήθεια δεκτή :oneup:



no service pad
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname blah
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging userinfo
logging buffered 8192
!
no aaa new-model
dot11 syslog
no ip source-route
!
!
!
!
ip cef
ip name-server 195.170.2.2
ip name-server 195.170.0.1
multilink bundle-name authenticated
!
vpdn enable
!
vpdn-group 1
! Default L2TP VPDN group
! Default PPTP VPDN group
accept-dialin
protocol any
virtual-template 1
!
!
username exploder privilege 15 password blah
archive
log config
logging enable
hidekeys
!
!
!
!
!
interface Tunnel0
description MULTI-POINT GRE TUNNEL
bandwidth 12000
ip address 172.16.0.1 255.255.255.0
no ip redirects
ip mtu 1400
ip nhrp authentication dmvpn
ip nhrp map multicast dynamic
ip nhrp network-id 99
ip nhrp holdtime 300
no ip split-horizon eigrp 1
no ip mroute-cache
delay 1000
tunnel source Dialer0
tunnel mode gre multipoint
tunnel key blah
!
interface FastEthernet0/0
ip address 192.168.10.254 255.255.255.0
ip nbar protocol-discovery
ip flow ingress
ip nat inside
ip virtual-reassembly
ip route-cache policy
ip policy route-map adsl
duplex auto
speed auto
arp timeout 3600
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface ATM0/0/0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0/0/0.1 point-to-point
description DSL_ @otenet.gr
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface ATM0/1/0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0/1/0.1 point-to-point
description DSL_ @otenet.gr
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 2
!
!
interface Virtual-Template1
ip unnumbered FastEthernet0/0
peer default ip address pool vpdn
no keepalive
ppp authentication ms-chap-v2
!
interface Dialer0
ip address negotiated
ip flow ingress
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip route-cache policy
dialer pool 1
dialer-group 1
ppp pap sent-username blah@otenet.gr password blah
!
interface Dialer1
ip address negotiated
ip flow ingress
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 2
dialer-group 2
ppp pap sent-username blah@otenet.gr password blah
!
router eigrp 1
network 172.16.0.0 0.0.0.255
network 192.168.10.0
no auto-summary
!
ip local pool vpdn 192.168.10.210 192.168.10.215
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer1
!
no ip http server
ip http authentication local
ip http secure-server
!
ip nat inside source static tcp 192.168.10.250 80 interface Dialer0 80
ip nat inside source static tcp 192.168.10.250 443 interface Dialer0 443
ip nat inside source static tcp 192.168.10.188 21 interface Dialer1 21
ip nat inside source list 2 interface Dialer1 overload
ip nat inside source static tcp 192.168.10.150 1723 interface Dialer0 1723
ip nat inside source route-map adsl interface Dialer0 overload
!
logging trap debugging
logging facility local4
logging 192.168.10.150
access-list 1 permit 192.168.10.250
access-list 1 permit 192.168.10.150
access-list 2 deny 192.168.10.250
access-list 2 deny 192.168.10.150
access-list 2 permit 192.168.10.0 0.0.0.255
access-list 110 permit ip host 192.168.10.150 any
access-list 110 permit ip host 192.168.10.250 any
access-list 111 permit ip host 192.168.10.150 0.0.0.0 255.255.255.0
dialer-list 1 protocol ip permit
dialer-list 2 protocol ip permit
route-map adsl permit 10
match ip address 110 111
set interface Dialer0
set default interface FastEthernet0/0
!
!
!
!
control-plane
!
!
line con 0
login local
line aux 0
line vty 0 4
session-timeout 10
timeout login response 300
login local
!
scheduler allocate 20000 1000
end

bonzo
10-05-10, 09:31
Πρόσθεσε το: ip route 0.0.0.0 0.0.0.0 dialer0

eXpLoDeR
10-05-10, 09:56
bonzo: θα το δοκιμάσω, ΟΜΩΣ αυτή την στιγμή έτσι οπως έχω δώσει το configuration έχουν ιντερνετ οι servers λόγο του route map μου, απλα δέ τους βλέπω απο το άλλο άκρο του Vpn.

gatoulas
10-05-10, 14:50
Για αρχή...
Σβήσε την 111. Άχρηστη είναι.
Στην 110 κάνε deny το interesting traffic του VPDN

eXpLoDeR
10-05-10, 15:57
Ναι η 111 εμεινε απο τις δοκιμές, το vpn που δουλεύω και δε μπορω να δώ τον .150+.250 είναι μέσω του Tunnel0

gbil
11-05-10, 20:48
Το πρόβλημα σου μάλλον είναι ότι δεν εξαιρείς από το NAT το VPN δίκτυο, οπότε όταν κάποιος προσπαθεί να δει τους servers μέσω VPN ο router σου τους κάνει NAT.

Για βάλε ένα deny στην access list adsl (στην αρχή) ότι έχει να κάνει με την επικοινωνία των server αυτών με τις VPN IPs.

eXpLoDeR
12-05-10, 21:52
μου λές δηλαδή να βάλω στην αρχή της 110 κατι τέτοιο;
access-list 110 deny ip host 192.168.200.1 any (αυτό είναι το pc μου.)
Η μήπως να βάλω access-list 110 permit ip host 172.16.0.1+2 any που είναι το tunnel
θα το δοκιμάσω με την πρώτη ευκαιρία και θα ενημερώσω..

gatoulas
12-05-10, 23:55
Στην 110 κάνε deny το interesting traffic του VPN

:whistle:

eXpLoDeR
15-07-10, 00:00
παιδιά χρειάζομαι βοήθεια δοκίμασα τα πάντα έκανα και deny τις ip του tunnel αλλα τίποτα και έχω τρομερή πίεση χρόνου καμια ιδέα κανείς;;
Με τους πειραματισμούς εκανα και permit τις ιρ μπας και γίνει τίποτα αλλα....

Βάζω το ΤΡΕΧΩΝ running Config



version 15.0
no service pad
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname ....
!
boot-start-marker
boot system flash c1841-entservicesk9-mz.150-1.M.bin
boot-end-marker
!
logging userinfo
logging buffered 8192
!
no aaa new-model
dot11 syslog
no ip source-route
!
!
!
!
ip cef
ip name-server 195.170.2.2
ip name-server 195.170.0.1
no ipv6 cef
multilink bundle-name authenticated
!
vpdn enable
!
vpdn-group 1
! Default L2TP VPDN group
! Default PPTP VPDN group
accept-dialin
protocol any
virtual-template 1
l2tp tunnel timeout no-session 15
!
!
archive
log config
logging enable
hidekeys
username exploder privilege 15 password
username administrator privilege 5 password
!
!
!
!
!
!
interface Tunnel0
description MULTI-POINT GRE TUNNEL
bandwidth 12000
ip address 172.16.0.1 255.255.255.0
no ip redirects
ip mtu 1400
ip nhrp authentication dmvpn
ip nhrp map multicast dynamic
ip nhrp network-id 99
ip nhrp holdtime 300
no ip split-horizon eigrp 1
delay 1000
tunnel source Dialer0
tunnel mode gre multipoint
tunnel key 100000
!
interface Tunnel1
description MULTI-POINT GRE TUNNEL TO WAREHOUSE
ip address 172.16.1.1 255.255.255.0
ip mtu 512
ip tcp adjust-mss 1452
tunnel source
tunnel destination
tunnel key 12345678
!
interface FastEthernet0/0
ip address 192.168.10.254 255.255.255.0
ip flow ingress
ip nat inside
ip virtual-reassembly
ip route-cache policy
duplex auto
speed auto
arp timeout 3600
!
interface FastEthernet0/1
ip address 192.168.100.254 255.255.255.0
ip flow ingress
ip nat inside
ip virtual-reassembly
ip route-cache policy
duplex auto
speed auto
!
interface ATM0/0/0
no ip address
no atm ilmi-keepalive
!
interface ATM0/0/0.1 point-to-point
description DSL_ otenet.gr
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface ATM0/1/0
no ip address
no atm ilmi-keepalive
!
interface ATM0/1/0.1 point-to-point
description DSL_ otenet.gr
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 2
!
!
interface Virtual-Template1
ip unnumbered FastEthernet0/0
peer default ip address pool vpdn
no keepalive
ppp authentication ms-chap-v2
!
interface Dialer0
ip address negotiated
ip flow ingress
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip route-cache policy
dialer pool 1
dialer-group 1
ppp pap sent-username ..... password....
!
interface Dialer1
ip address negotiated
ip flow ingress
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 2
dialer-group 2
ppp pap sent-username .... password ....
!
!
router eigrp 1
network 172.16.0.0 0.0.0.255
network 172.16.1.0 0.0.0.255
network 192.168.10.0
!
ip local pool vpdn 192.168.10.210 192.168.10.215
ip forward-protocol nd
no ip http server
ip http authentication local
ip http secure-server
!
!
ip nat inside source static tcp 192.168.10.250 80 interface Dialer0 80
ip nat inside source static tcp 192.168.10.250 443 interface Dialer0 443
ip nat inside source static tcp 192.168.10.188 21 interface Dialer1 21
ip nat inside source static tcp 192.168.10.150 3389 interface Dialer0 3389
ip nat inside source static tcp 192.168.10.150 8091 interface Dialer0 8091
ip nat inside source static tcp 192.168.10.150 1723 interface Dialer1 1723
ip nat inside source list 2 interface Dialer1 overload
ip nat inside source route-map adsl interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 192.168.20.0 255.255.255.0 Tunnel1
!
logging trap debugging
logging facility local4
logging 192.168.10.222
access-list 2 deny 192.168.10.250
access-list 2 deny 192.168.10.150
access-list 2 permit 192.168.10.0 0.0.0.255
access-list 2 permit 192.168.100.0 0.0.0.255
access-list 110 permit ip 192.168.20.0 0.0.0.255 any
access-list 110 permit ip host 192.168.10.150 any
access-list 110 permit ip host 192.168.10.250 any
access-list 110 permit ip 172.16.1.0 0.0.0.255 any
access-list 110 permit ip 172.16.2.0 0.0.0.255 any
dialer-list 1 protocol ip permit
dialer-list 2 protocol ip permit
!
route-map adsl permit 10
match ip address 110
set interface Dialer0
set default interface FastEthernet0/0
!
!
!
control-plane
!
!
line con 0
login local
line aux 0
line vty 0 4
session-timeout 10
timeout login response 300
login local
!
scheduler allocate 20000 1000
end


show access-list


Standard IP access list 1
10 permit 192.168.10.250
20 permit 172.16.0.2
30 permit 172.16.0.3
40 permit 192.168.10.150
Standard IP access list 2
10 deny 192.168.10.250 (103 matches)
20 deny 192.168.10.150 (113 matches)
30 permit 192.168.10.0, wildcard bits 0.0.0.255 (3249 matches)
40 permit 192.168.100.0, wildcard bits 0.0.0.255 (265 matches)
Extended IP access list 110
10 permit ip 192.168.20.0 0.0.0.255 any
20 permit ip host 192.168.10.150 any (113 matches)
30 permit ip host 192.168.10.250 any (103 matches)
40 permit ip 172.16.1.0 0.0.0.255 any
50 permit ip 172.16.2.0 0.0.0.255 any

Να σημειωθεί οτι έπαιζε για 1 μήνα μόνο του έτσι όπως το είχα ποστάρει την τελευταία φορα, αλλα προχτές ξανα έχαασε τους σερβερς το απέναντι άκρο.
Έβαλα και 15ρι IOS στο μηχάνημα μπας και δεί φώς αλλα τζίφος!

taxiarxos
16-07-10, 13:02
Μήπως θα πρέπει να μας πεις κ οι servers σου σε ποιό δίκτυο ανοίκουν μπας κ βγάλουμε καμιά άκρη; :)

Να υποθέσω ότι είναι το 192.168.10.Χ/24 το οποίο κάνεις port forward;

Επίσης αποφάσισε από ποιά DSL θα βγαίνουν ποιά δίκτυα...!!!

Στην Acl 2 βάζεις :

access-list 2 deny 192.168.10.250
access-list 2 deny 192.168.10.150
access-list 2 permit 192.168.10.0 0.0.0.255
access-list 2 permit 192.168.100.0 0.0.0.255

Στην Acl 110 βάζεις :

access-list 110 permit ip 192.168.20.0 0.0.0.255 any
access-list 110 permit ip host 192.168.10.150 any
access-list 110 permit ip host 192.168.10.250 any
access-list 110 permit ip 172.16.1.0 0.0.0.255 any
access-list 110 permit ip 172.16.2.0 0.0.0.255 any

Επιδή μάλλον μπερδεύτικες από το VPDN βάλτο σε ένα loopback int κ βάλε ένα νέο subnet να δείνει IPs για να μην μπερδέυεσαι.

Θα το ρίξω μια ματιά ακομή για λεπτομέριες κ μιλάμε.

Αν μπορείς στείλε μερικές πληροφορίες για τα δίκτυα σου κ τα IP των servers.

eXpLoDeR
20-07-10, 14:28
ΟΚ για να ξεκαθαρίσουμε λίγο τα πράγματα , πράγματι το δύκτιο μου είναι το 192.168.10.0/24 απο εκεί και πέρα έχω 2 adsl πανω στο router.

Θέλω απο τον Dialer 0 να βγαίνουν ΜΟΝΟ όσοι είναι στην access list 110 (192.168.10.150+192.168.10.250) γιαυτό και τους έχω DENY Στην access list 2
Με αυτή την λογική έχω όλο το άλλο Subnet allow στην access list 2

Έτσι παίζει σωστά το Outgoing traffic όμως το Tunnel 0+1 (απο την άλλη άκρη) δεν βλέπει όσα μηχανήματα είναι στην 110 παρα μόνο όσα είναι στην list 2 και αυτό είναι το κυριο πρόβλημα μου γιατι αυτοι οι 2 με ενδιαφέρουν μιας και είναι οι servers Μου .

Το VPDN μη σε μπαιρδεύει δε το δουλεύω το έχω εκει για backup λύση σε περίπτωση που πέσει το tunnel 0+1 να μπορώ να κάνω dialup και να δουλέυει το Vpn.

taxiarxos
21-07-10, 01:40
1τον το ACL 2 είναι λάθος γιατί τα rules τα διαβάζει η Acl top down, 2ρον έχεις μια ρούτα που λές "ip route 0.0.0.0 0.0.0.0 Dialer1" ο dial0 που είναι; 3τον πρέπει να βάλεις τα routes για τα tunnels. ip route "το απέναντι δίκτυο" int dial "αριθμ. ή public ip κ επίσης βγάλε το EIGRP γιατί τζάμπα επιβαρύνεις σε resurces το router σου καθώς επίσης αν δεν θέλεις PBR βγάλε κ το route-map.
Βάλε 2 static routes με το χέρι κ είσαι οκ. ip route 172.xxx.x.xx.xx int tunnel αριθμ. tunnel.

Παρόμοιο config πρέπει να έχει κ ο απέναντι router αλλά με ανάποδα τα ip.
Δοκίμασε αυτά κ το ξαναβλέπουμε. ;)

gatoulas
21-07-10, 10:40
To policy routing χρειάζεται για να δρομολογεί κάθε μηχανή σε άλλο dialer.
Το πρόβλημα είναι η χρήση των ACL.
Κάνε extended access-lists όπου θα δηλώνεις τον ΠΡΟΟΡΙΣΜΟ (όχι any)
Έτσι μόνο θα εκμεταλλευτείς το PBR το οποίο θα εφαρμόσεις στο inside interface ώστε να ελέγχεται και να δρομολογείται η κίνηση.

@ ADSLgr.com All rights reserved.