forum.opennet.ru

Составление сообщения

Исходное сообщение

"Настройка NAT на Cisco 881 с IPSec Tunel"
Отправлено leonart, 19-Фев-10 12:05

Есть два маршрутизатора Cisco 881 с IPSec тунелем. Маршрутизаторы обеспечивают сеть между двумя подразделениями. Сеть должна функционировать в обе стороны.
Маршрутизатор А: Смотрит в сеть с адресом 172.23.37.251, внутренний адрес 10.10.1.1
Маршрутизатор Б: Смотрит в сеть с адресом 172.23.50.251, внутренний адрес 10.10.1.2
Стоит задача сделать так, чтоб все компьютера за маршрутизатором Б (сеть 172.23.50.0) ходили в сеть 172.23.37.0 с ее адресами, то есть преобразовывались с помощью NAT на маршрутизаторе А. Еще ньюанс, что из сети 172.23.37.0 нужно ходить на сети 172.20.20.0 и 172.23.28.0. В эти сети можно ходить только с 172.23.37.0, поэтому и нужно замаскировать сетку 172.23.50.0.
Приведенные ниже конфиги это реализуют. Но проблема в том, что NAT на маршрутизаторе А не дает возможности полноценно работать с машинами в сети Б. Они пингуются, но приложения не работают, к примеру telnet и т.д. Понятно почему, команда tracert на компьютер в сети 172.23.50.0 возвращает маршрут через маршрутизатор А и второй строкой адрес в сети А, из пула для NAT, т.е. из сети 172.23.37.0. Мне нужно чтобы в сторону маршрутизатора Б все адреса ходили без изменения. Не мугу пока придумать как. Может кто сталкивался?
Я так понимаю, что нужно настроить ip nat outside, чтобы корректно работать работать с сеткой 172.23.50.0. Но как???
Конфиги маршрутизаторов
Маршрутизатор А
version 12.4
!
hostname 70207
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging message-counter syslog
logging buffered 51200
logging console critical
enable secret 5 xxxxxxxxxxxx
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-895915712
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-895915712
revocation-check none
rsakeypair TP-self-signed-895915712
!
!
crypto pki certificate chain TP-self-signed-895915712
no ip source-route
!
ip cef
no ip bootp server
no ip domain lookup
!
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
lifetime 5000
crypto isakmp key 6 xxxxxxx address 10.10.1.2
!
!
crypto ipsec transform-set 3DES esp-3des esp-sha-hmac
!
crypto map 70207trio 10 ipsec-isakmp
set peer 10.10.1.2
set transform-set 3DES
match address 110
!
archive
log config
  hidekeys
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $FW_OUTSIDE$$ES_WAN$
ip address 10.10.1.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
duplex auto
speed auto
crypto map 70207trio
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 172.23.37.251 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip flow ingress
ip tcp adjust-mss 1400
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.10.1.2
ip route 172.20.0.0 255.255.0.0 172.23.37.1 permanent
ip route 172.23.28.0 255.255.255.0 172.23.37.1 permanent
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip nat pool natadr 172.23.37.240 172.23.37.249 netmask 255.255.255.0
ip nat inside source list 122 pool natadr overload
!
logging trap debugging
access-list 110 permit ip 172.23.37.0 0.0.0.255 172.23.50.0 0.0.0.255
access-list 122 deny   ip 172.23.50.0 0.0.0.255 172.23.37.0 0.0.0.255
access-list 122 permit ip 172.23.50.0 0.0.0.255 172.23.28.0 0.0.0.255
access-list 122 permit ip 172.23.50.0 0.0.0.255 172.20.0.0 0.0.255.255
no cdp run

Маршрутизатор Б
version 12.4
!
hostname trio70207
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging message-counter syslog
logging buffered 51200
logging console critical
enable secret 5 xxxxxxxxxxxxxxxxxxxxxx
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-7314201
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-7314201
revocation-check none
rsakeypair TP-self-signed-7314201
!
!
crypto pki certificate chain TP-self-signed-7314201
no ip source-route
!
!
ip cef
no ip bootp server
no ip domain lookup
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
lifetime 5000
crypto isakmp key 6 xxxxxxxxxxx address 10.10.1.1
!
!
crypto ipsec transform-set 3DES esp-3des esp-sha-hmac
!
crypto map 70207trio 10 ipsec-isakmp
set peer 10.10.1.1
set transform-set 3DES
match address 110
!
archive
log config
  hidekeys
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $FW_OUTSIDE$$ES_WAN$
ip address 10.10.1.2 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
duplex auto
speed auto
crypto map 70207trio
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 172.23.50.251 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip tcp adjust-mss 1400
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.10.1.1
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
logging trap debugging
access-list 110 permit ip 172.23.50.0 0.0.0.255 172.23.37.0 0.0.0.255
no cdp run

Исходное сообщение
"Настройка NAT на Cisco 881 с IPSec Tunel" Отправлено leonart, 19-Фев-10 12:05
Есть два маршрутизатора Cisco 881 с IPSec тунелем. Маршрутизаторы обеспечивают сеть между двумя подразделениями. Сеть должна функционировать в обе стороны. Маршрутизатор А: Смотрит в сеть с адресом 172.23.37.251, внутренний адрес 10.10.1.1 Маршрутизатор Б: Смотрит в сеть с адресом 172.23.50.251, внутренний адрес 10.10.1.2 Стоит задача сделать так, чтоб все компьютера за маршрутизатором Б (сеть 172.23.50.0) ходили в сеть 172.23.37.0 с ее адресами, то есть преобразовывались с помощью NAT на маршрутизаторе А. Еще ньюанс, что из сети 172.23.37.0 нужно ходить на сети 172.20.20.0 и 172.23.28.0. В эти сети можно ходить только с 172.23.37.0, поэтому и нужно замаскировать сетку 172.23.50.0. Приведенные ниже конфиги это реализуют. Но проблема в том, что NAT на маршрутизаторе А не дает возможности полноценно работать с машинами в сети Б. Они пингуются, но приложения не работают, к примеру telnet и т.д. Понятно почему, команда tracert на компьютер в сети 172.23.50.0 возвращает маршрут через маршрутизатор А и второй строкой адрес в сети А, из пула для NAT, т.е. из сети 172.23.37.0. Мне нужно чтобы в сторону маршрутизатора Б все адреса ходили без изменения. Не мугу пока придумать как. Может кто сталкивался? Я так понимаю, что нужно настроить ip nat outside, чтобы корректно работать работать с сеткой 172.23.50.0. Но как??? Конфиги маршрутизаторов Маршрутизатор А version 12.4 ! hostname 70207 ! boot-start-marker boot-end-marker ! security authentication failure rate 3 log security passwords min-length 6 logging message-counter syslog logging buffered 51200 logging console critical enable secret 5 xxxxxxxxxxxx ! no aaa new-model ! crypto pki trustpoint TP-self-signed-895915712 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-895915712 revocation-check none rsakeypair TP-self-signed-895915712 ! ! crypto pki certificate chain TP-self-signed-895915712 no ip source-route ! ip cef no ip bootp server no ip domain lookup ! no ipv6 cef ! multilink bundle-name authenticated ! ! ! crypto isakmp policy 1 encr 3des hash md5 authentication pre-share lifetime 5000 crypto isakmp key 6 xxxxxxx address 10.10.1.2 ! ! crypto ipsec transform-set 3DES esp-3des esp-sha-hmac ! crypto map 70207trio 10 ipsec-isakmp set peer 10.10.1.2 set transform-set 3DES match address 110 ! archive log config hidekeys ! ! ip tcp synwait-time 10 ip ssh time-out 60 ip ssh authentication-retries 2 ! ! ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 description $FW_OUTSIDE$$ES_WAN$ ip address 10.10.1.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip flow ingress ip nat inside duplex auto speed auto crypto map 70207trio ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$ ip address 172.23.37.251 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip flow ingress ip tcp adjust-mss 1400 ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 10.10.1.2 ip route 172.20.0.0 255.255.0.0 172.23.37.1 permanent ip route 172.23.28.0 255.255.255.0 172.23.37.1 permanent ip http server ip http access-class 23 ip http authentication local ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ! ip nat pool natadr 172.23.37.240 172.23.37.249 netmask 255.255.255.0 ip nat inside source list 122 pool natadr overload ! logging trap debugging access-list 110 permit ip 172.23.37.0 0.0.0.255 172.23.50.0 0.0.0.255 access-list 122 deny ip 172.23.50.0 0.0.0.255 172.23.37.0 0.0.0.255 access-list 122 permit ip 172.23.50.0 0.0.0.255 172.23.28.0 0.0.0.255 access-list 122 permit ip 172.23.50.0 0.0.0.255 172.20.0.0 0.0.255.255 no cdp run Маршрутизатор Б version 12.4 ! hostname trio70207 ! boot-start-marker boot-end-marker ! security authentication failure rate 3 log security passwords min-length 6 logging message-counter syslog logging buffered 51200 logging console critical enable secret 5 xxxxxxxxxxxxxxxxxxxxxx ! no aaa new-model ! crypto pki trustpoint TP-self-signed-7314201 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-7314201 revocation-check none rsakeypair TP-self-signed-7314201 ! ! crypto pki certificate chain TP-self-signed-7314201 no ip source-route ! ! ip cef no ip bootp server no ip domain lookup ! ! crypto isakmp policy 1 encr 3des hash md5 authentication pre-share lifetime 5000 crypto isakmp key 6 xxxxxxxxxxx address 10.10.1.1 ! ! crypto ipsec transform-set 3DES esp-3des esp-sha-hmac ! crypto map 70207trio 10 ipsec-isakmp set peer 10.10.1.1 set transform-set 3DES match address 110 ! archive log config hidekeys ! ! ip tcp synwait-time 10 ip ssh time-out 60 ip ssh authentication-retries 2 ! ! ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 description $FW_OUTSIDE$$ES_WAN$ ip address 10.10.1.2 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip flow ingress duplex auto speed auto crypto map 70207trio ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$ ip address 172.23.50.251 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip flow ingress ip tcp adjust-mss 1400 ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 10.10.1.1 ip http server ip http access-class 23 ip http authentication local ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ! ! logging trap debugging access-list 110 permit ip 172.23.50.0 0.0.0.255 172.23.37.0 0.0.0.255 no cdp run

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Есть два маршрутизатора Cisco 881 с IPSec тунелем. Маршрутизаторы обеспечивают сеть между 
> двумя подразделениями. Сеть должна функционировать в обе стороны.

> Маршрутизатор А: Смотрит в сеть с адресом 172.23.37.251, внутренний адрес 10.10.1.1 
> Маршрутизатор Б: Смотрит в сеть с адресом 172.23.50.251, внутренний адрес 10.10.1.2

> Стоит задача сделать так, чтоб все компьютера за маршрутизатором Б (сеть 172.23.50.0) 
> ходили в сеть 172.23.37.0 с ее адресами, то есть преобразовывались с 
> помощью NAT на маршрутизаторе А. Еще ньюанс, что из сети 172.23.37.0 
> нужно ходить на сети 172.20.20.0 и 172.23.28.0. В эти сети можно 
> ходить только с 172.23.37.0, поэтому и нужно замаскировать сетку 172.23.50.0.

> Приведенные ниже конфиги это реализуют. Но проблема в том, что NAT на 
> маршрутизаторе А не дает возможности полноценно работать с машинами в сети 
> Б. Они пингуются, но приложения не работают, к примеру telnet и 
> т.д. Понятно почему, команда tracert на компьютер в сети 172.23.50.0 возвращает 
> маршрут через маршрутизатор А и второй строкой адрес в сети А, 
> из пула для NAT, т.е. из сети 172.23.37.0. Мне нужно чтобы 
> в сторону маршрутизатора Б все адреса ходили без изменения. Не мугу 
> пока придумать как. Может кто сталкивался?

> Я так понимаю, что нужно настроить ip nat outside, чтобы корректно работать 
> работать с сеткой 172.23.50.0. Но как???

> Конфиги маршрутизаторов 
> Маршрутизатор А

> version 12.4 
> !
> hostname 70207 
> !
> boot-start-marker 
> boot-end-marker 
> !
> security authentication failure rate 3 log 
> security passwords min-length 6 
> logging message-counter syslog 
> logging buffered 51200 
> logging console critical 
> enable secret 5 xxxxxxxxxxxx 
> !
> no aaa new-model 
> !
> crypto pki trustpoint TP-self-signed-895915712 
>  enrollment selfsigned 
>  subject-name cn=IOS-Self-Signed-Certificate-895915712 
>  revocation-check none 
>  rsakeypair TP-self-signed-895915712 
> !
> !
> crypto pki certificate chain TP-self-signed-895915712 
> no ip source-route 
> !
> ip cef 
> no ip bootp server 
> no ip domain lookup 
> !
> no ipv6 cef 
> !
> multilink bundle-name authenticated 
> !
> !
> !
> crypto isakmp policy 1 
>  encr 3des 
>  hash md5 
>  authentication pre-share 
>  lifetime 5000 
> crypto isakmp key 6 xxxxxxx address 10.10.1.2 
> !
> !
> crypto ipsec transform-set 3DES esp-3des esp-sha-hmac 
> !
> crypto map 70207trio 10 ipsec-isakmp 
>  set peer 10.10.1.2 
>  set transform-set 3DES 
>  match address 110 
> !
> archive 
>  log config 
>   hidekeys 
> !
> !
> ip tcp synwait-time 10 
> ip ssh time-out 60 
> ip ssh authentication-retries 2 
> !
> !
> !
> interface FastEthernet0 
> !
> interface FastEthernet1 
> !
> interface FastEthernet2 
> !
> interface FastEthernet3 
> !
> interface FastEthernet4 
>  description $FW_OUTSIDE$$ES_WAN$ 
>  ip address 10.10.1.1 255.255.255.0 
>  no ip redirects 
>  no ip unreachables 
>  no ip proxy-arp 
>  ip flow ingress 
>  ip nat inside 
>  duplex auto 
>  speed auto 
>  crypto map 70207trio 
> !
> interface Vlan1 
>  description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$ 
>  ip address 172.23.37.251 255.255.255.0 
>  no ip redirects 
>  no ip unreachables 
>  no ip proxy-arp 
>  ip nat outside 
>  ip flow ingress 
>  ip tcp adjust-mss 1400 
> !
> ip forward-protocol nd 
> ip route 0.0.0.0 0.0.0.0 10.10.1.2 
> ip route 172.20.0.0 255.255.0.0 172.23.37.1 permanent 
> ip route 172.23.28.0 255.255.255.0 172.23.37.1 permanent 
> ip http server 
> ip http access-class 23 
> ip http authentication local 
> ip http secure-server 
> ip http timeout-policy idle 60 life 86400 requests 10000 
> !
> ip nat pool natadr 172.23.37.240 172.23.37.249 netmask 255.255.255.0 
> ip nat inside source list 122 pool natadr overload

> !
> logging trap debugging 
> access-list 110 permit ip 172.23.37.0 0.0.0.255 172.23.50.0 0.0.0.255 
> access-list 122 deny   ip 172.23.50.0 0.0.0.255 172.23.37.0 0.0.0.255 
> access-list 122 permit ip 172.23.50.0 0.0.0.255 172.23.28.0 0.0.0.255 
> access-list 122 permit ip 172.23.50.0 0.0.0.255 172.20.0.0 0.0.255.255 
> no cdp run

> Маршрутизатор Б

> version 12.4 
> !
> hostname trio70207 
> !
> boot-start-marker 
> boot-end-marker 
> !
> security authentication failure rate 3 log 
> security passwords min-length 6 
> logging message-counter syslog 
> logging buffered 51200 
> logging console critical 
> enable secret 5 xxxxxxxxxxxxxxxxxxxxxx 
> !
> no aaa new-model 
> !
> crypto pki trustpoint TP-self-signed-7314201 
>  enrollment selfsigned 
>  subject-name cn=IOS-Self-Signed-Certificate-7314201 
>  revocation-check none 
>  rsakeypair TP-self-signed-7314201 
> !
> !
> crypto pki certificate chain TP-self-signed-7314201 
> no ip source-route 
> !
> !
> ip cef 
> no ip bootp server 
> no ip domain lookup 
> !
> !
> crypto isakmp policy 1 
>  encr 3des 
>  hash md5 
>  authentication pre-share 
>  lifetime 5000 
> crypto isakmp key 6 xxxxxxxxxxx address 10.10.1.1 
> !
> !
> crypto ipsec transform-set 3DES esp-3des esp-sha-hmac 
> !
> crypto map 70207trio 10 ipsec-isakmp 
>  set peer 10.10.1.1 
>  set transform-set 3DES 
>  match address 110 
> !
> archive 
>  log config 
>   hidekeys 
> !
> !
> ip tcp synwait-time 10 
> ip ssh time-out 60 
> ip ssh authentication-retries 2 
> !
> !
> !
> interface FastEthernet0 
> !
> interface FastEthernet1 
> !
> interface FastEthernet2 
> !
> interface FastEthernet3 
> !
> interface FastEthernet4 
>  description $FW_OUTSIDE$$ES_WAN$ 
>  ip address 10.10.1.2 255.255.255.0 
>  no ip redirects 
>  no ip unreachables 
>  no ip proxy-arp 
>  ip flow ingress 
>  duplex auto 
>  speed auto 
>  crypto map 70207trio 
> !
> interface Vlan1 
>  description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$ 
>  ip address 172.23.50.251 255.255.255.0 
>  no ip redirects 
>  no ip unreachables 
>  no ip proxy-arp 
>  ip flow ingress 
>  ip tcp adjust-mss 1400 
> !
> ip forward-protocol nd 
> ip route 0.0.0.0 0.0.0.0 10.10.1.1 
> ip http server 
> ip http access-class 23 
> ip http authentication local 
> ip http secure-server 
> ip http timeout-policy idle 60 life 86400 requests 10000 
> !
> !
> logging trap debugging 
> access-list 110 permit ip 172.23.50.0 0.0.0.255 172.23.37.0 0.0.0.255 
> no cdp run

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру