Sabur Posted October 18, 2020 Share Posted October 18, 2020 Доброго времени суток. Нашел пост, что можно изменить заворачивание всего трафика клиента в IPSec на стороне сервера. Соответственно, чтобы через VPN были доступны только определённые подсети. После проведения настроек на роутере, они были сохранены и отображались в running-config, но после включения VPN-сервер IPsec(Управление/Приложения) проведенные ранее настройки сбрасываются до тех которые были изначально. А именно до: access-list _WEBADMIN_IPSEC_VirtualIPServer permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 Проведенные настройки: (config)> no access-list _WEBADMIN_IPSEC_VirtualIPServer Network::Acl: "_WEBADMIN_IPSEC_VirtualIPServer" access list removed. (config)> access-list _WEBADMIN_IPSEC_VirtualIPServer permit ip 172.16.1.0 255.255.255.0 0.0.0.0 0.0.0.0 Network::Acl: Rule accepted. (config)> no crypto map VirtualIPServer virtual-ip nat IpSec::Manager: "VirtualIPServer": crypto map Virtual IP remote pool SNAT is disabled. Такой ситуации нет с VPN-сервер L2TP/IPsec и VPN-сервер PPTP. Можно просто указать на Android в настройках созданной VPN 172.16.1.0/24 и эта сеть доступа, а интернет смартфона идёт через Wi-Fi или 4G. Мне необходимо, чтобы также можно было сделать и IPsec Xauth PSK(VPN-сервер IPsec). Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 19, 2020 Share Posted October 19, 2020 Если вносите изменения в cli, то дальнейшее управление этим сервером (включение и выключение) нужно тоже делать из cli, тогда не сбросится. Web многие тонкости не знает. 1 Quote Link to comment Share on other sites More sharing options...
Sabur Posted October 19, 2020 Author Share Posted October 19, 2020 2 часа назад, Le ecureuil сказал: Если вносите изменения в cli, то дальнейшее управление этим сервером (включение и выключение) нужно тоже делать из cli, тогда не сбросится. Web многие тонкости не знает. Провёл следующие настройки.(config)> no access-list _WEBADMIN_IPSEC_VirtualIPServerNetwork::Acl: "_WEBADMIN_IPSEC_VirtualIPServer" access list removed.(config)> access-list _WEBADMIN_IPSEC_VirtualIPServer permit ip 172.16.1.0 255.255.255.0 0.0.0.0 0.0.0.0Network::Acl: Rule accepted. (config)> crypto map VirtualIPServer match-address _WEBADMIN_IPSEC_VirtualIPServer - Если не добавить в крипту match-address(он исчезает, когда выполняем команду no access-list и подключиться к IPSEC_VirtualIPServer не получиться). IpSec::Manager: "VirtualIPServer": crypto map match-address set to "_WEBADMIN_IPSEC_VirtualIPServer".(config)> no crypto map VirtualIPServer virtual-ip nat IpSec::Manager: "VirtualIPServer": crypto map Virtual IP remote pool SNAT is disabled. При любой вариации настройки(172.16.1.0/24 или 0.0.0.0/0, или пустое значение) поля "Маршруты пересылки" в настройках VPN на Android - локальная сеть роутера доступна. При такой настройке со смартфона выйти в Интернет уже не возможно ни через VPN(понятно, сами убрали nat), ни через 4G/Wi-Fi. Включил nat на сервере. Мне же необходимо добиться, чтобы клиент сам мог менять направление трафика для выхода в Интернет, путём прописывания маршрута пересылки в настройках VPN на Android, как это работает с VPN-сервер L2TP/IPsec и VPN-сервер PPTP. Почему-то всё равно весь трафик смартфона заворачиваться в VPN... Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.