Καλημέρα σε όλη τη κοινότητα! Αντιμετωπίζω ένα πρόβλημα με δύο cisco 876 που έχω για σύνδεση με VPN μεταξύ δύο σημείων. Ας τα κάνω πιό λιανά...

1. Το ένα router στην Αθήνα (Athens HQ) έχει "αποστολή" να βγάζει στο internet ένα mail server και να αποτελεί τη βάση ενός VPΝ. Έχει static IP και Easy VPN Server. ΤΟ δίκτυο που εξυπηρετεί τοπικά είναι το 10.0.0.0 με mask 0.0.0.255

2. Το δεύτερο router είναι στη Θεσσαλονίκη (THS Branch) και έχει δυναμική IP. Μέχρι σήμερα ήταν σε σύνδεση με το (1) ως Easy VPN Remote. Το δίκτυο έχει διέυθυνση 10.10.10.0 με mask 0.0.0.255

3. Υπάρχουν αρκετοί κινούμενοι χρήστες που χρησιμοποιούν το VPN Client για σύνδεση στο (1) ώστε να έχουν πρόσβαση στο δίκτυο από όπου και αν είναι. Αυτοί συνδέονται με διευθύνσεις που τους δίνει το VPN Server από 10.0.0.120 έως 10.0.0.130.

Τώρα το πρόβλημα είναι, ότι ενώ οι χρήστες με VPN Client παίζουν κανονικά με πρόσβαση σε όλο το δίκτυο του 10.0.0.0, το router που είναι σε σύνδεση remote (10.10.10.0) δεν μπορεί να κάνει ping στο 1ο subnet (δηλαδή κάποιος χρήστης με διεύθυνση 10.10.10.Χ δεν μπορεί να κάνει στο 10.0.0.Χ), αλλά ούτε και το αντίστροφο (δηλαδή χρήστης με IP 10.10.10.X να κάνει ping στο 10.0.0.X). Έχω δοκιμάσει άπειρες αλλαγές στα access lists χωρίς κανένα αποτέλεσμα:mad::mad:

Παραθέτω και τα δύο config files όπως λειτουργούν σήμερα... Υποψιάζομαι πως για κάποιο λόγο κάποιο router κάτι κόβει. Αν μπορεί κανείς να βοηθήσει θα ήμουν υποχρεωμένος :worthy::worthy::worthy::respekt:

Αυτό δούλευε κ σταμάτησε να λειτουργεί ή τώρα το στήνεις;

Βασικά λειτουργούσε και λειτουργεί λειψά. Δηλαδή για ένα παράξενο λόγο -που δεν μπορώ να καταλάβω- αφήνει να περνάνε ping από το δίκτυο 10.10.10.0 στο 10.0.0.0 μόνο για τις διευθύνσεις 10.0.0.201 & 10.0.0.253. Επειδή πάνω σε αυτές τις διευθύνσεις πατάει το VoIP υποψιάζομαι ότι κάτι είχα πειράξει -που δεν θυμάμαι τι-! :down::down:

Αυτό που ψάχνω είναι να υπάρχει μια σχετική διαφάνεια. Δηλαδή το δίκτο 10.0.0.0 να μπορεί να δει όλους τους υπολογιστές στο 10.10.10.0 και το αντίστροφο!

Ευχαριστώ! ;);)

Με μια γρήγορη ματιά στα configs πρέπει να ξαναδείς τις access-lists σου γιατί επιτρέπεις την επικοινωνία σε ορισμένα ip.

ΟΚ το κοιτάω και επανέρχομαι!

Thanks!

Έχω σπάσει το κεφάλι μου...

Μήπως μπορείς να βοηθήσεις?

Δες τον router τις Θεσσαλονίκης έχει μέσα μια acl 105


access-list 105 deny icmp any any unreachable
access-list 105 deny ip 10.0.0.0 0.255.255.255 any
access-list 105 deny ip 172.16.0.0 0.15.255.255 any
access-list 105 deny ip 192.168.0.0 0.0.255.255 any
access-list 105 deny ip 127.0.0.0 0.255.255.255 any
access-list 105 deny ip host 255.255.255.255 any
access-list 105 deny ip host 0.0.0.0 any
access-list 105 permit ip host 10.0.0.201 any
access-list 105 permit udp host 10.0.0.201 any
access-list 105 permit icmp host 10.0.0.201 any
access-list 105 permit tcp host 10.0.0.201 any
access-list 105 permit tcp host 10.0.0.253 any
access-list 105 permit udp host 10.0.0.253 any
access-list 105 permit icmp host 10.0.0.253 any
access-list 105 permit ip host 10.0.0.253 any
access-list 105 permit ip host 10.0.0.2 any
access-list 105 permit ip any any log

Δες τι ακριβώς θέλεις να επιτρέπεις κ ποιές IPs κ συμάζεψέ το. :)

Για ένα ακαταόητο λόγο (τουλάχιστο προς εμένα) αφού διέγραψα όλες τις εγγραφές της 105 σχετικά με τις ip 10.0.0.201 & 10.0.0.253, συνεχίζω να κάνω ping από το δίκτυο 10.10.10.0 προς τος 10.0.0.253 αλλά πουθενά αλλού... ούτε στο 10.0.0.1!!!!

Έχω μπερδευτεί....

Μετά από 10' ξαφνικά άρχισε να κάνει ping στο 10.0.0.1, στο 10.0.0.201 και το 10.0.0.253 ...

Με tracert 10.0.0.100, έχω 2 hops, 1ο στο 10.10.10.1 και 2ο στο 94.65.ΧΧ.ΧΧ [dynamic ip] και μετά τέλος...
Με tracert 10.0.0.201, ή tracert 10.0.0.253 έχω 3 hops, 1o στο 10.10.10.1, 2ο στο 10.0.0.0.1 και 3ο στο 10.0.0.201/253

Από το δίκτυο της Αθήνας (10.0.0.0):
Tracert 10.10.10.1 παίρνω, 1ο hop 10.0.0.1, 2o hop 94.65.XX.XX [dynamic ip Θεσσαλονίκη], 3 hop 195.97.XX.XX [static της Αθήνας] και πάλι 4ο hop 94.65.XX.XX και συνεχίζει έτσι μεταξύ των δύο εξωτερικών ip.

Γενικά το πρόβλημα μου φαινομενικά είναι απλό. Θέλω με δύο 876 (ένα με static & ένα με dynamic) να έχω ένα κανάλι μεταξύ τους -όσο πιό μόνιμο μπορεί να είναι- και ένα κανάλι να μπορεί να παίζει με το VPN client όποτε και αν αυτό κληθεί.

Any ideas??