The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"заNATить локальные адреса на внешний перед ipsec vpnом"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"заNATить локальные адреса на внешний перед ipsec vpnом"  +/
Сообщение от Sasha email(??) on 28-Янв-10, 21:38 
hi.

у меня проблемка. нужно создать тунель типа site-to-site. тк с другой стороны не пускают локальные ip нужно их заNATить за одним свободным внешним.
у меня получилось вот так:

ip nat inside source static 10.0.10.10 xx.xxx.xxx.211 route-map VPNNAT

route-map VPNNAT permit 10
match ip address 117

access-list 117 permit ip host 10.0.10.10 193.xxx.xxx.0 0.0.0.7 log

потом собственно VPN:

crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto isakmp key kluchike7d address xxx.xxx.xxx.145

crypto map SDM_CMAP_1 3 ipsec-isakmp
set peer xxx.xxx.xxx.145
set security-association lifetime seconds 86400
set transform-set ESP-AES-128-SHA
match address 112


что я сделал не так?

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "заNATить локальные адреса на внешний перед ipsec vpnом"  +/
Сообщение от stell email on 28-Янв-10, 23:42 
Весь конфиг покажите, например я не вижу вообще crypto isakmp policy и access-list 112
А так же:
sh crypto isakmp sa
sh crypto ipsec sa

И в чем конкретно проблема? Не поднимается туннель? Не работает NAT как ожидалось?
Отлаживайте по частям - уберите NAT, повесьте внешний IP на loopback и добейтесь сперва чтобы IPSec поднимался, пингуя с loopback'а удаленную сторону. Потом приниматься за NAT.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "заNATить локальные адреса на внешний перед ipsec vpnом"  +/
Сообщение от Sasha email(??) on 29-Янв-10, 00:02 
>Весь конфиг покажите, например я не вижу вообще crypto isakmp policy и

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2

>access-list 112

access-list 112 permit ip host xxx.xxx.xxx.211 xxx.xxx.175.0 0.0.0.7

>А так же:
>sh crypto isakmp sa

dst             src             state          conn-id status
тут инфа про другое vpn соединение

IPv6 Crypto ISAKMP SA

>sh crypto ipsec sa

    local  ident (addr/mask/prot/port): (xxx.xxx.xxx.211/255.255.255.255/0/0)
   remote ident (addr/mask/prot/port): (xxx.xxx.175.0/255.255.255.248/0/0)
   current_peer xxx.xxx.xxx.145 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: xxx.xxx.xxx.210, remote crypto endpt.: xxx.xxx.xxx.145
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
     current outbound spi: 0x0(0)
     PFS (Y/N): N, DH group: none

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:

>
>И в чем конкретно проблема? Не поднимается туннель?

в какой-то момент я смог поднять isakmp, но из-за неправильной конфигурации ipsec всё грохнулось. с тех пор ничего не поднимается
>Не работает NAT как ожидалось?

я не уверен, что я правильно прячу некоторые свои адреса локальной сети за внешним адресом. ну и не уверен, что я правильно понимаю где и какой адрес в acl вписывать.

в 117м - локальный 10.0.10.0/24
в 112й уже внешний xxx.xxx.xxx.211

>Отлаживайте по частям - уберите NAT, повесьте внешний IP на loopback и
>добейтесь сперва чтобы IPSec поднимался, пингуя с loopback'а удаленную сторону. Потом
>приниматься за NAT.

спасибо за совет - думаю, так и попробую сделать.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "заNATить локальные адреса на внешний перед ipsec vpnом"  +/
Сообщение от stell email on 29-Янв-10, 00:20 
>я не уверен, что я правильно прячу некоторые свои адреса локальной сети за внешним >адресом. ну и не уверен, что я правильно понимаю где и какой адрес в acl вписывать.
>в 117м - локальный 10.0.10.0/24
>в 112й уже внешний xxx.xxx.xxx.211

Вцелом выглядит верно:
>access-list 117 permit ip host 10.0.10.10 193.xxx.xxx.0 0.0.0.7 log

Это то что вы собираетесь NATить.

>access-list 112 permit ip host xxx.xxx.xxx.211 xxx.xxx.175.0 0.0.0.7

Это то что вы хотите шифровать уже после NATа. Вторая половина этих ACL должна совпадать в вашем случае. Куда NATим, туда же и шифруем.
"193.xxx.xxx.0 0.0.0.7" = "xxx.xxx.175.0 0.0.0.7" ?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "заNATить локальные адреса на внешний перед ipsec vpnом"  +/
Сообщение от Sasha email(??) on 29-Янв-10, 00:30 
>[оверквотинг удален]
>>access-list 117 permit ip host 10.0.10.10 193.xxx.xxx.0 0.0.0.7 log
>
>Это то что вы собираетесь NATить.
>
>>access-list 112 permit ip host xxx.xxx.xxx.211 xxx.xxx.175.0 0.0.0.7
>
>Это то что вы хотите шифровать уже после NATа. Вторая половина этих
>ACL должна совпадать в вашем случае. Куда NATим, туда же и
>шифруем.
>"193.xxx.xxx.0 0.0.0.7" = "xxx.xxx.175.0 0.0.0.7" ?

это ж надо было так зашифроваться :-) конечно, они равны.
значит у меня в этом граблей нет. уже радует. Не понимаю одно: почему ни isakmp ни ipsec после него уже не хотят коннектаться когда пытаюсь зателнениться на 193.ххх.ххх.2

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру