大家好，想請問目前在CISCO ROUTER上架設翻牆用的VPN 但是連入到VPN後什麼事情都不能做...想問問板上是否有人知道解法呢? 所使用的是EASYVPN 在Fa0/1上接RJ45到小烏龜 建立Dialer1並使用PPPoE取得外部IP，然後就把VPN建立在Dialer1上 但是使用Cisco VPN Client成功連入後，只能ping到Dialer1的外部IP 其他網站或者介面一概無法Ping到 原先以為是從Dialer1進來的連線不能再從Dialer1再連到外部網路 所以再將Fa0/0也接上外部網路後，試著讓流量從Fa0/0出入，不過也失敗了 最後才發現連入EasyVPN，從local ip pool取得的IP似乎有問題 這些IP無法利用NAT/PAT再轉成Dialer1或Fa0/0的外部IP來上網 請問有沒有別的方式能夠讓從local ip pool取得IP的VPN Client端 還能夠利用PAT到外部IP來連到外部網路呢? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.230.207.159 ※ 文章網址: http://www.ptt.cc/bbs/Network/M.1418321581.A.F84.html ※ 編輯: god50710 (61.230.207.159), 12/12/2014 02:14:08 local ip pool 192.168.11.120~130 access-list 110 permit 192.168.11.120 0.0.0.0 any ~做到130 然後在Dialer1上了下列指令 ip nat outside ip nat inside source list 110 interface Dialer1 overload 測試用Client端連入後取得192.168.11.120 IP 但是輸入show ip nat translations 毫無反應 是空的... 同樣的VPN Client也無法正常上網 不知道我的設定是不是有誤呢? ※ 編輯: god50710 (140.112.3.62), 12/12/2014 17:17:43 ※ 編輯: god50710 (140.112.3.62), 12/12/2014 17:39:11 因為openvpn、softethervpn、pptp分別已經先架過了但...雖連上卻非常不穩定... 所以才試著用CISCO ROUTER做 包含參考其他範例後，發現在acl內都會先deny要抵達的目標網域→Client取得的IP網域 然後再permit一次要抵達的目標網域之後，讓route-map規則match這個acl.. 於是就試著依樣畫葫蘆了 試過利用route-map轉出去但...文風不動...在(config#)試過下列的指令 access-list 110 deny ip 外部IP 0.0.0.0 192.168.11.0 0.0.0.255 access-list 110 permit ip 外部IP 0.0.0.0 all route-map vpn permit 10 match ip address 110 ip nat source route-map vpn interface dialer1 overload 然後Client端連上VPN後，除了其他介面上的IP(fa0/0、0/1、dialer1)以外都ping不到... 試過包含static nat方式 目前仍沒有辦法讓從dialer1上連接進來的VPN Client端再利用PAT從dialer1出去外網.. 有fa0/0跟fa0/1介面，如果不下nat overload的話，Client端都可以ping到這些介面的IP 但如果想讓這兩個介面從Dialer1連出去，一做NAT就會讓Clinet端Ping不到這些介面 感覺上最直覺的方式應該是... access-list 11 permit 192.168.11.0 0.0.0.255 ip nat source list 11 interface dialer1 overload 然後192.168.11.120~130就可以用PAT從dialer1再出去啦~(結果:不可行) ※ 編輯: god50710 (61.230.207.159), 12/13/2014 05:47:36