Easyvpn拨入进去后，ping不通，求助！

红色石头 · 发表于 2012-1-3 02:45:03

本帖最后由红色石头于 2012-1-3 02:53 编辑

拓扑图如下：

R1配置：
interface FastEthernet0/0
ip address 10.1.1.254 255.255.255.0
interface Serial1/0
ip address 201.1.1.2 255.255.255.252
ip route 210.38.120.0 255.255.255.0 201.1.1.1  //指向公网的地址段

R2的配置：
interface Loopback0
ip address 2.2.2.2 255.255.255.255
interface FastEthernet1/0
ip address 192.168.2.1 255.255.255.0
ip nat inside

interface Serial0/0
ip address 201.1.1.1 255.255.255.0
ip nat outside
crypto map dyvpn    //j接口映射
router ospf 110
log-adjacency-changes
network 2.2.2.2 0.0.0.0 area 0
network 192.168.2.0 0.0.0.255 area 1
default-information originate

//vpn配置
aaa new-model
aaa authorization network vpn-client-user local

2、定义用户的组策略
ip local pool VPNDHCP 192.168.200.100 192.168.200.150
crypto isakmp client configuration group vpn-client-user
key nhzy.com
pool VPNDHCP
dns 192.168.200.1
domain nhzy.com
3、配置IKE阶段1策略

crypto isakmp policy 10
authentication pre-share
encryption 3des
group 2
hash sha

4、配置动态加密映射

crypto ipsec transform-set th2811 esp-sha-hmac esp-3des
exit
crypto dynamic-map dyvpn 10
set transform-set th2811
reverse-route

5、配置静态加密映射

crypto map dyvpn isakmp authorization list vpn-client-user
crypto map dyvpn client configuration address respond
crypto map dyvpn 1 ipsec-isakmp dynamic dyvpn

ip route 0.0.0.0 0.0.0.0 201.1.1.2

ip nat inside source static 192.168.200.1 210.38.120.1    //内网一台pc机静态转换成公网地址

Coresw配置：

interface FastEthernet0/0
no switchport
ip address 192.168.2.2 255.255.255.0
!
interface FastEthernet0/1
switchport access vlan 200
spanning-tree portfast

！
interface Vlan200
ip address 192.168.200.254 255.255.255.0
!
router ospf 110
log-adjacency-changes
network 192.168.2.0 0.0.0.255 area 1
network 192.168.200.0 0.0.0.255 area 1
!

以上配置完毕，当外网client通过vpn client 拨入成功后，不能ping通内网段：如下图

外网已经获取和内部一样的网段，为何还是ping不同192.168.200.1呢？
请高手指教，或是我那里设置错了！谢谢！

该贴已经同步到红色石头的微博

zcx232 · 发表于 2012-1-3 22:19:59

红色石头 · 发表于 2012-1-4 01:18:02

只要在R2的dhcp地址池改为：
ip local pool VPNDHCP 192.168.2.100 192.168.2.150
就可以了，但这下来还有一个问题就是，你拨号进入之后，不能访问内网的共享资源？

求解！

location · 发表于 2012-2-22 15:49:28

来分析一下，外网Easyvpn到内网后，分配192.168.200.102这个IP，那么和内网是一个网段的了，内网的PC想要和192.168.200.102这个IP通信的话，网卡会认为它们是同一个子网的，而不会转发给网关，所以192.168.200.102 PING 过去的包不能返回。所以要分配给VPN客户不同的IP网段，如192.168.201.0网段的。在VPN客户拨入VPN后，在R2上会自动形成对192.168.201.0网段的路由。