Cisco VPN mit zwei ISPs

[rolandino 10]

Ich hab's wohl hingekriegt...

 

Die IP-Adressen, die an die VPN-Clients vergeben werden, müssen aus den ACLs raus deny'ed werden, damit die VPN-Pakete in den Tunnel laufen.

 

Genau hab ich's immer noch nicht geblickt aber so scheint alles zu funktionieren:

 

ip nat inside source list 151 interface Dialer1 overload

ip nat inside source list 152 interface Dialer2 overload

!

 

logging trap debugging

access-list 1 remark SDM_ACL Category=18

access-list 1 permit 192.168.35.0 0.0.0.255

access-list 100 remark SDM_ACL Category=128

access-list 100 permit ip host 255.255.255.255 any

access-list 100 permit ip 127.0.0.0 0.255.255.255 any

access-list 109 remark SDM_ACL Category=0

access-list 109 permit ip any host 192.168.35.40

access-list 110 remark SDM_ACL Category=0

access-list 110 permit ip any host 192.168.35.10

access-list 111 remark SDM_ACL Category=0

access-list 111 permit ip any host 192.168.35.10

access-list 115 remark SDM_ACL Category=0

access-list 115 permit ip any host 192.168.35.71

access-list 150 deny udp any any eq bootps

access-list 150 deny ip host 192.168.35.90 any

access-list 150 deny ip host 192.168.35.91 any

access-list 150 deny ip host 192.168.35.92 any

access-list 150 deny ip host 192.168.35.93 any

access-list 150 deny ip host 192.168.35.94 any

access-list 150 deny ip host 192.168.35.95 any

access-list 150 deny ip host 192.168.35.96 any

access-list 150 deny ip host 192.168.35.97 any

access-list 150 deny ip host 192.168.35.98 any

access-list 150 deny ip host 192.168.35.99 any

access-list 150 deny ip any host 192.168.35.90

access-list 150 deny ip any host 192.168.35.91

access-list 150 deny ip any host 192.168.35.92

access-list 150 deny ip any host 192.168.35.93

access-list 150 deny ip any host 192.168.35.94

access-list 150 deny ip any host 192.168.35.95

access-list 150 deny ip any host 192.168.35.96

access-list 150 deny ip any host 192.168.35.97

access-list 150 deny ip any host 192.168.35.98

access-list 150 deny ip any host 192.168.35.99

access-list 150 permit ip any any

access-list 151 permit tcp 192.168.35.0 0.0.0.255 any eq smtp

access-list 151 permit tcp 192.168.35.0 0.0.0.255 any eq pop3

access-list 151 permit tcp 192.168.35.0 0.0.0.255 any eq 995

access-list 151 permit tcp 192.168.35.0 0.0.0.255 any eq 143

access-list 151 permit tcp 192.168.35.0 0.0.0.255 any eq 993

access-list 151 permit icmp 192.168.35.0 0.0.0.255 any

access-list 152 permit tcp 192.168.35.0 0.0.0.255 any

access-list 152 permit udp 192.168.35.0 0.0.0.255 any

dialer-list 1 protocol ip permit

no cdp run

 

!

!

!

route-map Inside-route permit 10

match ip address 150

set interface Dialer2

!

[Wordo 11]

Bei der Logik von ACL 151 und 152 machts bei mir auch nicht Klick.

 

Ist wohl eher Zufall das jetzt alles laeuft :)

[rolandino 10]

Gedacht ist es so:

die statischen Sachen für die internen Server sowie aller Email-Verkehr von Arbeitsplatz-Rechnern (SMTP, POP, IMAP) soll über den Dialer1 laufen, Surfen, FTP und alles andere über den Dialer2.

Das sollten die ACLs 151 und 152 sein. Geht das irgendwie eleganter?

[Wordo 11]

ACL151 matched komplett auf 152 (tcp), es ist also wie gesagt Zufall ...

[rolandino 10]

liegt vielleicht daran, dass er die ip nat inside Kommandos der Reihe nach abarbeitet und die 151 kommt als erstes.

Korrekt müsste man in der 152 die Zeilen aus der 151 mit deny eintragen oder?

[Wordo 11]

Ohne nachzudenken, ja :)