为什么Easy VPN拨号成功后访问不到远端内网！！！

sjzcs520 · 发表于 2013-12-21 14:04:28

各位大侠们，小弟在现实环境中碰到Easy VPN的难题，还请大家伙帮忙分析分析是哪里的原因？在CISCO 2921路由器上做Easy VPN服务端，用cisco client客户端软件拨号成功后，只能访问到2921上的inside地址10.10.20.2，路由器下面的内部网络却无法访问，在网上搜索了一翻还是没解决掉，所有内部子网机器的网关都设在路由器下联的交换机1上面，简单的画了下实际网络拓扑图，如下：
真实环境拓扑.jpg

关于Easy VPN服务端的相关配置信息如下：
interface FastEthernet0/0/0
ip address 10.10.20.2 255.255.255.0
ip nat inside
interface GigabitEthernet0/0
ip address 113.106.X.X 255.255.255.0
ip nat outside
ip route 0.0.0.0 0.0.0.0 113.106.X.X
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration group ezvpn
key cisco
dns 202.96.128.86 202.96.128.166
pool ezvpnpool
acl 199
save-password
ip local pool ezvpnpool 172.16.0.1 172.16.0.250
username test password test
ip nat inside source list 102 interface GigabitEthernet0/0 overload
crypto ipsec transform-set mytrans esp-3des esp-sha-hmac
mode tunnel
!
!
!
crypto dynamic-map mydynamic 10
set transform-set mytrans
reverse-route
!
!
aaa authentication login ezvpnauthen local
aaa authorization network ezvpnauthor local
crypto map mymap client authentication list ezvpnauthen
crypto map mymap isakmp authorization list ezvpnauthor
crypto map mymap client configuration address respond
crypto map mymap 1 ipsec-isakmp dynamic mydynamic

int G0/0
crypto map mymap

access-list 102 deny ip 10.10.20.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 102 deny ip 192.168.10.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 102 deny ip 192.168.20.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 102 deny ip 192.168.30.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 102 permit ip 192.168.10.0 0.0.0.255 any
access-list 102 permit ip 192.168.20.0 0.0.0.255 any
access-list 102 permit ip 192.168.30.0 0.0.0.255 any
access-list 199 remark Tunnel Split
access-list 199 permit ip 10.10.20.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 199 permit ip 192.168.10.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 199 permit ip 192.168.20.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 199 permit ip 192.168.30.0 0.0.0.255 172.16.0.0 0.0.255.255

另附：2921路由器有多条ISP接入线路，但默认线路是走电信线路，从G0/0接口出去的，上述问题是否会受到策略路由设置的影响呢，这点我不太确定。

sjzcs520 · 发表于 2013-12-21 21:15:57

坐等求答阿

sjzcs520 · 发表于 2013-12-22 08:47:56

哪位大侠帮帮忙哦

Rockyw · 发表于 2013-12-22 09:55:06

确认配置没问题

卡西诺 · 发表于 2013-12-22 14:32:48

把nat去掉试试看

sjzcs520 · 发表于 2013-12-22 22:21:55

卡西诺发表于 2013-12-22 14:32
把nat去掉试试看

去掉NAT的话，我内部主机如何上网呀？

957869836 · 发表于 2013-12-23 10:13:23

大神门赶紧解决下我吸取下经验

ＳＯＭＩＮＧ · 发表于 2013-12-24 08:23:02

接入路由器与3层交换机之间缺少路由！

sjzcs520 · 发表于 2013-12-24 08:27:08

ＳＯＭＩＮＧ发表于 2013-12-24 08:23
接入路由器与3层交换机之间缺少路由！

三层交换机有条默认路由(ip route 0.0.0.0 0.0.0.0 10.10.20.2)到接入路由器的

ＳＯＭＩＮＧ · 发表于 2013-12-24 08:33:07

sjzcs520 发表于 2013-12-24 08:27
三层交换机有条默认路由(ip route 0.0.0.0 0.0.0.0 10.10.20.2)到接入路由器的

没看到接入路由器到三层的路由呀！

sjzcs520 · 发表于 2013-12-24 13:50:53

ＳＯＭＩＮＧ发表于 2013-12-24 08:33
没看到接入路由器到三层的路由呀！

感谢这位兄弟的大力支持，接入路由器有3条内部子网的回包路由指向交换机1的10.10.20.1，要不内部主机也不能正常对外提供服务呀，抱谦，是我忘记把静态路由部分贴出来了，接入路由器上的静态路由如下：
ip route 0.0.0.0 0.0.0.0 113.106.0.1
ip route 0.0.0.0 0.0.0.0 183.238.201.193 15
ip route 0.0.0.0 0.0.0.0 157.122.176.97 20
ip route 192.168.10.0 255.255.255.0 10.10.20.1
ip route 192.168.20.0 255.255.255.0 10.10.20.1
ip route 192.168.30.0 255.255.255.0 10.10.20.1

sjzcs520 · 发表于 2013-12-25 11:19:43

问题还是没有解决掉，有哪位大哥知道的请指导下小弟哦。

ＳＯＭＩＮＧ · 发表于 2013-12-27 09:48:06

以上配置是应该是没有问题了的，你看下没贴出来的吧！

xiamihot · 发表于 2014-1-3 12:07:04

是不是这几条ACL的问题

access-list 102 deny ip 10.10.20.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 102 deny ip 192.168.10.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 102 deny ip 192.168.20.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 102 deny ip 192.168.30.0 0.0.0.255 172.16.0.0 0.0.255.255

klinuxe · 发表于 2014-4-28 19:49:23

解决了吗，我也遇到了

账号		自动登录	找回密码
密码			论坛注册

[已解决] 为什么Easy VPN拨号成功后访问不到远端内网！！！

相关帖子

浏览过的版块

客服中心

投诉建议