Jump to content

IPsec Xauth PSK, access-list _WEBADMIN_IPSEC_VirtualIPServer


Recommended Posts

Доброго времени суток.

Нашел пост, что можно изменить заворачивание всего трафика клиента в IPSec на стороне сервера. Соответственно, чтобы через VPN были доступны только определённые подсети.

После проведения настроек на роутере, они были сохранены и отображались в running-config, но после включения VPN-сервер IPsec(Управление/Приложения) проведенные ранее настройки сбрасываются до тех которые были изначально.

А именно до:
access-list _WEBADMIN_IPSEC_VirtualIPServer
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

Проведенные настройки:
(config)> no access-list _WEBADMIN_IPSEC_VirtualIPServer
Network::Acl: "_WEBADMIN_IPSEC_VirtualIPServer" access list removed.
(config)> access-list _WEBADMIN_IPSEC_VirtualIPServer permit ip 172.16.1.0 255.255.255.0 0.0.0.0 0.0.0.0
Network::Acl: Rule accepted.
(config)> no crypto map VirtualIPServer virtual-ip nat 
IpSec::Manager: "VirtualIPServer": crypto map Virtual IP remote pool SNAT is disabled.

Такой ситуации нет с VPN-сервер L2TP/IPsec и VPN-сервер PPTP. Можно просто указать на Android в настройках созданной VPN 172.16.1.0/24 и эта сеть доступа, а интернет смартфона идёт через Wi-Fi или 4G.
Мне необходимо, чтобы также можно было сделать и IPsec Xauth PSK(VPN-сервер IPsec).

Link to comment
Share on other sites

Если вносите изменения в cli, то дальнейшее управление этим сервером (включение и выключение) нужно тоже делать из cli, тогда не сбросится.

Web многие тонкости не знает.

  • Thanks 1
Link to comment
Share on other sites

2 часа назад, Le ecureuil сказал:

Если вносите изменения в cli, то дальнейшее управление этим сервером (включение и выключение) нужно тоже делать из cli, тогда не сбросится.

Web многие тонкости не знает.

Провёл следующие настройки.
(config)> no access-list _WEBADMIN_IPSEC_VirtualIPServer
Network::Acl: "_WEBADMIN_IPSEC_VirtualIPServer" access list removed.
(config)> access-list _WEBADMIN_IPSEC_VirtualIPServer permit ip 172.16.1.0 255.255.255.0 0.0.0.0 0.0.0.0
Network::Acl: Rule accepted.
(config)> crypto map VirtualIPServer match-address _WEBADMIN_IPSEC_VirtualIPServer - Если не добавить в крипту match-address(он исчезает, когда выполняем команду no access-list и подключиться к IPSEC_VirtualIPServer не получиться).
IpSec::Manager: "VirtualIPServer": crypto map match-address set to "_WEBADMIN_IPSEC_VirtualIPServer".

(config)> no crypto map VirtualIPServer virtual-ip nat 
IpSec::Manager: "VirtualIPServer": crypto map Virtual IP remote pool SNAT is disabled.

При любой вариации настройки(172.16.1.0/24 или 0.0.0.0/0, или пустое значение) поля "Маршруты пересылки" в настройках VPN на Android - локальная сеть роутера доступна.
При такой настройке со смартфона выйти в Интернет уже не возможно ни через VPN(понятно, сами убрали nat), ни через 4G/Wi-Fi.

Включил nat на сервере. Мне же необходимо добиться, чтобы клиент сам мог менять направление трафика для выхода в Интернет, путём прописывания маршрута пересылки в настройках VPN на Android, как это работает с VPN-сервер L2TP/IPsec и VPN-сервер PPTP.
Почему-то всё равно весь трафик смартфона заворачиваться в VPN... 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...