rolandino

liegt vielleicht daran, dass er die ip nat inside Kommandos der Reihe nach abarbeitet und die 151 kommt als erstes. Korrekt müsste man in der 152 die Zeilen aus der 151 mit deny eintragen oder?

Gedacht ist es so: die statischen Sachen für die internen Server sowie aller Email-Verkehr von Arbeitsplatz-Rechnern (SMTP, POP, IMAP) soll über den Dialer1 laufen, Surfen, FTP und alles andere über den Dialer2. Das sollten die ACLs 151 und 152 sein. Geht das irgendwie eleganter?

Ich hab's wohl hingekriegt... Die IP-Adressen, die an die VPN-Clients vergeben werden, müssen aus den ACLs raus deny'ed werden, damit die VPN-Pakete in den Tunnel laufen. Genau hab ich's immer noch nicht geblickt aber so scheint alles zu funktionieren: ip nat inside source list 151 interface Dialer1 overload ip nat inside source list 152 interface Dialer2 overload ! logging trap debugging access-list 1 remark SDM_ACL Category=18 access-list 1 permit 192.168.35.0 0.0.0.255 access-list 100 remark SDM_ACL Category=128 access-list 100 permit ip host 255.255.255.255 any access-list 100 permit ip 127.0.0.0 0.255.255.255 any access-list 109 remark SDM_ACL Category=0 access-list 109 permit ip any host 192.168.35.40 access-list 110 remark SDM_ACL Category=0 access-list 110 permit ip any host 192.168.35.10 access-list 111 remark SDM_ACL Category=0 access-list 111 permit ip any host 192.168.35.10 access-list 115 remark SDM_ACL Category=0 access-list 115 permit ip any host 192.168.35.71 access-list 150 deny udp any any eq bootps access-list 150 deny ip host 192.168.35.90 any access-list 150 deny ip host 192.168.35.91 any access-list 150 deny ip host 192.168.35.92 any access-list 150 deny ip host 192.168.35.93 any access-list 150 deny ip host 192.168.35.94 any access-list 150 deny ip host 192.168.35.95 any access-list 150 deny ip host 192.168.35.96 any access-list 150 deny ip host 192.168.35.97 any access-list 150 deny ip host 192.168.35.98 any access-list 150 deny ip host 192.168.35.99 any access-list 150 deny ip any host 192.168.35.90 access-list 150 deny ip any host 192.168.35.91 access-list 150 deny ip any host 192.168.35.92 access-list 150 deny ip any host 192.168.35.93 access-list 150 deny ip any host 192.168.35.94 access-list 150 deny ip any host 192.168.35.95 access-list 150 deny ip any host 192.168.35.96 access-list 150 deny ip any host 192.168.35.97 access-list 150 deny ip any host 192.168.35.98 access-list 150 deny ip any host 192.168.35.99 access-list 150 permit ip any any access-list 151 permit tcp 192.168.35.0 0.0.0.255 any eq smtp access-list 151 permit tcp 192.168.35.0 0.0.0.255 any eq pop3 access-list 151 permit tcp 192.168.35.0 0.0.0.255 any eq 995 access-list 151 permit tcp 192.168.35.0 0.0.0.255 any eq 143 access-list 151 permit tcp 192.168.35.0 0.0.0.255 any eq 993 access-list 151 permit icmp 192.168.35.0 0.0.0.255 any access-list 152 permit tcp 192.168.35.0 0.0.0.255 any access-list 152 permit udp 192.168.35.0 0.0.0.255 any dialer-list 1 protocol ip permit no cdp run ! ! ! route-map Inside-route permit 10 match ip address 150 set interface Dialer2 !

FW deaktivieren hat nix gebracht. Man kann "nur" 4000 Zeichen posten, deswegen hatte die FW-Konfi keinen Platz mehr. Aber daran liegts anscheinend nicht... Es hat irgendwas mit den Routemaps zu tun, aber ich komm einfach nicht drauf. Sobald ich die Routemap aus dem Inside-LAN-Interface (Vlan1) raus nehme, geht's VPN, aber dann läuft halt alles über Dialer1. Ich hab was gelesen, dass die VPN-Pakete nicht genatted werden dürfen, werd aber nicht schlau draus, wie's genau funktioniert, wie die ACLs dazu aussehen müssen. Jemand ne Idee?

Die FW war vorher (bei nur einem ISP / Dialer) exakt gleich konfiguriert. Da lief das VPN einwandfrei. Ich hab den beiden Dialern die security out-zone zugeordnet. ist das richtig? Oder muss ich für jeden Dialer eine eigene zone anlegen??

Wenn ich die ACLs vertausche, kann ich sobald per VPN-Client verbunden, im LAN Hosts anpingen (was vorher nicht ging), aber mehr auch nicht....

Und wie bekomme ich den Traffic über Dialer1?

Nein, wenn ich die permit 30 entferne, geht das VPN trotzdem nicht. Ich muss noch hinzufügen: Ich kann mich mit dem VPN-Client verbinden, allerdings nichts im VPN-LAN anpingen oder sonst was. Wenn ich die ip policy route-map im Interface Vlan1 entferne, dann geht's, aber dann ist der Dialer2 nicht mehr im Spiel und alles läuft wieder über den Dialer1.

Hallo zusammen. Wir haben auf unserem 1802 seit kurzem zwei ISPs (zwei ADSLs) für Lastverteilung eingerichtet. Funktioniert auch soweit, nur das VPN bekommen wir nicht mehr zum laufen. Haben schon diverse Anleitungen gewälzt und an den route-maps rum geschraubt, aber kommen irgendwie nicht auf die richtige Lösung... Am Dialer1 hängen Mailserver, usw. und VPN soll darüber laufen. Dialer2 ist für www, ftp und den Rest. Hier die Config: ! no ip source-route ! ! ip cef no ip bootp server ip domain name triple-synergy.de no ipv6 cef ! multilink bundle-name authenticated ! ! username ...... ! ip tcp synwait-time 10 ! class-map type inspect match-all sdm-nat-smtp-2 .... ! ! policy-map type inspect sdm-permit-icmpreply ... ! interface Loopback0 ip address 1.1.1.1 255.255.255.0 ! interface FastEthernet0 no ip address no ip redirects no ip unreachables no ip proxy-arp ip flow ingress duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 2 ! interface ATM0 no ip address no ip redirects no ip unreachables no ip proxy-arp ip flow ingress no atm ilmi-keepalive pvc 1/32 pppoe-client dial-pool-number 1 ! dsl operating-mode auto ! interface Virtual-Template1 type tunnel ip unnumbered Dialer1 zone-member security ezvpn-zone tunnel mode ipsec ipv4 tunnel protection ipsec profile SDM_Profile1 ! interface Vlan1 ip address 192.168.35.1 255.255.255.0 ip flow ingress ip nat inside ip virtual-reassembly zone-member security in-zone ip tcp adjust-mss 1412 ip policy route-map Inside-route ! interface Dialer1 ip address negotiated no ip unreachables no ip proxy-arp ip mtu 1492 ip nat outside ip virtual-reassembly zone-member security out-zone encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap pap callin .... ! interface Dialer0 no ip address shutdown ! interface Dialer2 .... ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 Dialer1 ! ip http server ip http authentication local no ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ip dns server ip nat inside source static tcp 192.168.35.40 22 interface Dialer1 22 ip nat inside source static tcp 192.168.35.10 25 interface Dialer1 25 ip nat inside source list 151 interface Dialer1 overload ip nat inside source list 152 interface Dialer2 overload ! logging trap debugging access-list 1 remark SDM_ACL Category=18 access-list 1 permit 192.168.35.0 0.0.0.255 access-list 150 permit ip host 192.168.35.90 any access-list 150 permit ip host 192.168.35.91 any access-list 150 permit ip host 192.168.35.92 any access-list 150 permit ip host 192.168.35.93 any access-list 150 permit ip host 192.168.35.94 any access-list 150 permit ip host 192.168.35.95 any access-list 151 permit tcp 192.168.35.0 0.0.0.255 any eq smtp access-list 151 permit tcp 192.168.35.0 0.0.0.255 any eq pop3 access-list 151 permit tcp 192.168.35.0 0.0.0.255 any eq 995 access-list 151 permit tcp 192.168.35.0 0.0.0.255 any eq 143 access-list 151 permit tcp 192.168.35.0 0.0.0.255 any eq 993 access-list 151 permit icmp 192.168.35.0 0.0.0.255 any access-list 152 permit tcp 192.168.35.0 0.0.0.255 any access-list 152 permit udp 192.168.35.0 0.0.0.255 any dialer-list 1 protocol ip permit no cdp run ! route-map NoNat-Route permit 10 match ip address 150 set interface Loopback0 ! route-map Inside-route permit 20 match ip address 151 set interface Dialer1 ! route-map Inside-route permit 30 match ip address 152 set interface Dialer2 Hat jemand eine Idee? Danke schon mal... Rolandino