https://slinkov.ru/openforum/vsluhforumID6/22660.html Здравствуйте уважаемые коллеги.<br><br>Можно ли создать IPSec VPN на оборудование Cisco&#124;Router/ASA в такой сети? <br><br>Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть Б ----(LAN,R3)---Сеть В<br><br>можно ли создать IPSec VPN Между роутерами R1 и R2 c шифрованием трафика между сетью А и сетью В ?<br>Давно и много )))) создавал VPN между сетями типа А и Б а между А и В сходу не получилось, я дурак или так нельзя? <br> https://slinkov.ru/openforum/vsluhforumID6/22660.html#9 Thu, 02 Jun 2011 09:35:47 GMT &gt; Кстати, может быть вы забыли на интерфейсе int vlan 2 нет ip <br>&gt; nat outside.<br>&gt; В интернет вообще хосты ходят?<br>&gt; И тут еще...я че-то подумал...сделайте gre-туннель, а уже поверх него ipsec!!!тогда точно <br>&gt; все получится <br><br>Это да но нужен именно IPSec. <br>В итоге я поставил ASA в сети С одним интерфейсом и в интернет другим , настроил запустил и забыл про первую схему как про страшный сон )) Спасибо <br> https://slinkov.ru/openforum/vsluhforumID6/22660.html#8 Thu, 26 May 2011 18:49:56 GMT &gt;[оверквотинг удален]<br>&gt; access-list 130 permit ip host 192.168.70.97 any <br>&gt; !<br>&gt; route-map NAT permit 10 <br>&gt; match ip address 130 <br>&gt; match interface Vlan2 <br>&gt; ==== <br>&gt; Я вот тут подумал может в 121 ACL нужно обязательно указывать трафик <br>&gt; и между сетями А и B ? Хотя мне это не <br>&gt; нужно по соображениям безопасности.<br>&gt; ip nat inside source route-map NAT interface Vlan2 overload`<br><br>на первый взгляд у вас все правильно...кстати, конфиг роутера R1 тоже неплохо было бы привести, вдруг там проблема...Попробуйте избавится от route-map на nat. Просто сделайте через acl 130<br>ip nat inside source list 130 interface vlan2 overload<br><br>Кстати, может быть вы забыли на интерфейсе int vlan 2 нет ip nat outside.<br>В интернет вообще хосты ходят?<br>И тут еще...я че-то подумал...сделайте gre-туннель, а уже поверх него ipsec!!!тогда точно все получится<br> https://slinkov.ru/openforum/vsluhforumID6/22660.html#7 Thu, 26 May 2011 14:35:15 GMT Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть B ----(LAN,R3)---Сеть C<br>&gt; если есть связь между сетями А и Б, а также Б и <br>&gt; В - то проблема в маршрутизации или ACL!<br><br>Между А и B(новое обозначение)через интернет есть по внешним IP есть. <br><br>Вот мой конфиг , где может быть ошибка ? <br> Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть B ----(LAN,R3)---Сеть C<br><br> можно ли создать IPSec VPN Между роутерами R1 и R2 c шифрованием трафика между сетью А и сетью C ?<br> Давно и много )))) создавал VPN между сетями типа А и B а между А и C сходу не получилось, я дурак или так нельзя?<br><br>У меня вот так.<br>LAN A 192.168.104.0 255.255.255.0<br>LAN B 192.168.70.0 255.255.255.0<br>LAN C 192.168.68.0 255.255.255.0<br><br>crypto isakmp policy 1<br>encr 3des<br>...<br>!<br>crypto isakmp key key123 address "ip_add_R1" no-xauth<br>crypto ipsec transform-set IPSec esp-3des esp-sha-hmac<br>crypto map CRY_MAP 110 ipsec-isakmp<br>set peer "ip_add_R1"<br>set transform-set IPSec<br>match address 121<br>!<br>!<br>interface Vlan1<br>description LAN-B<br>ip addr https://slinkov.ru/openforum/vsluhforumID6/22660.html#6 Wed, 25 May 2011 09:34:02 GMT &gt;&gt;[оверквотинг удален] <br><br>Ошибся с наименованиями сетей в Дискрипшине. чтобы не путаться перейду на A B и C сети <br><br> Здравствуйте уважаемые коллеги.<br><br> Можно ли создать IPSec VPN на оборудование Cisco&#124;Router/ASA в такой сети?<br><br> Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть B ----(LAN,R3)---Сеть C<br><br> можно ли создать IPSec VPN Между роутерами R1 и R2 c шифрованием трафика между сетью А и сетью C ?<br> Давно и много )))) создавал VPN между сетями типа А и B а между А и C сходу не получилось, я дурак или так нельзя?<br><br><br><br>У меня вот так.<br>LAN A 192.168.104.0 255.255.255.0<br>LAN B 192.168.70.0 255.255.255.0<br>LAN C 192.168.68.0 255.255.255.0<br><br>crypto isakmp policy 1<br>encr 3des<br>...<br>!<br>crypto isakmp key key123 address "ip_add_R1" no-xauth<br>crypto ipsec transform-set IPSec esp-3des esp-sha-hmac<br>crypto map CRY_MAP 110 ipsec-isakmp<br>set peer "ip_add_R1"<br>set transform-set IPSec<br>match address 121<br>!<br>!<br>interface Vlan1<br>description LAN-B<br>ip address 192.168.70.67 255.255.255.0<br>ip nat in https://slinkov.ru/openforum/vsluhforumID6/22660.html#5 Wed, 25 May 2011 08:26:35 GMT &gt; Здравствуйте уважаемые коллеги.<br>&gt; Можно ли создать IPSec VPN на оборудование Cisco&#124;Router/ASA в такой сети?<br>&gt; Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть Б ----(LAN,R3)---Сеть В <br>&gt; можно ли создать IPSec VPN Между роутерами R1 и R2 c <br>&gt; шифрованием трафика между сетью А и сетью В ?<br>&gt; Давно и много )))) создавал VPN между сетями типа А и Б <br>&gt; а между А и В сходу не получилось, я дурак или <br>&gt; так нельзя?<br><br>если есть связь между сетями А и Б, а также Б и В - то проблема в маршрутизации или ACL!<br> https://slinkov.ru/openforum/vsluhforumID6/22660.html#4 Wed, 25 May 2011 07:31:47 GMT покажи маршруты на r1, r2, r3<br><br> https://slinkov.ru/openforum/vsluhforumID6/22660.html#3 Wed, 25 May 2011 06:41:44 GMT &gt;[оверквотинг удален]<br>&gt; crypto isakmp policy 1 <br>&gt; encr 3des <br>&gt; ...<br>&gt; !<br>&gt; crypto isakmp key key123 address "ip_add_R1" no-xauth <br>&gt; crypto ipsec transform-set IPSec esp-3des esp-sha-hmac <br>&gt; crypto map CRY_MAP 110 ipsec-isakmp <br>&gt; set peer "ip_add_R1" <br>&gt; set transform-set IPSec <br>&gt; match address 121 <br><br>- то есть интересный трафик описывается acl 121<br>&gt; !<br>&gt; !<br>&gt; interface Vlan1 <br>&gt; description LAN-B <br><br>а мне показалось, что 70.0 lan Б...ну не суть<br>&gt;[оверквотинг удален]<br>&gt; ...<br>&gt; !<br>&gt; interface Vlan2 <br>&gt; ip address in_Internet <br>&gt; ...<br>&gt; crypto map CRY_MAP <br>&gt; !<br>&gt; ip nat inside source route-map NAT interface Vlan2 overload` <br>&gt; !<br>&gt; access-list 121 permit ip 192.168.68.96 0.0.0.15 192.168.104.0 0.0.0.255 <br><br>вижу хосты из lan В<br>&gt; access-list 121 permit ip host 192.168.70.67 192.168.104.0 0.0.0.255 <br><br>вижу хосты из lan Б<br>&gt; access-list 130 deny ip 192.168.68.96 0.0.0.15 192.168.104.0 0.0.0.255 <br><br>вижу что трафик из сети В исключается из NAT, но не вижу что трафик из сети Б исключается из NA https://slinkov.ru/openforum/vsluhforumID6/22660.html#2 Tue, 24 May 2011 19:37:43 GMT У меня вот так.<br>LAN A 192.168.104.0 255.255.255.0<br>LAN Б 192.168.70.0 255.255.255.0<br>LAN B 192.168.68.0 255.255.255.0<br><br>crypto isakmp policy 1<br> encr 3des<br> ...<br>!<br>crypto isakmp key key123 address "ip_add_R1" no-xauth<br>crypto ipsec transform-set IPSec esp-3des esp-sha-hmac<br>crypto map CRY_MAP 110 ipsec-isakmp<br> set peer "ip_add_R1"<br> set transform-set IPSec<br> match address 121<br>!<br>!<br>interface Vlan1<br> description LAN-B<br> ip address 192.168.70.67 255.255.255.0<br> ip nat inside<br> ip virtual-reassembly<br> ...<br>!<br>interface Vlan2<br> ip address in_Internet <br> ...<br> crypto map CRY_MAP<br>!<br>ip nat inside source route-map NAT interface Vlan2 overload`<br>!<br>access-list 121 permit ip 192.168.68.96 0.0.0.15 192.168.104.0 0.0.0.255<br>access-list 121 permit ip host 192.168.70.67 192.168.104.0 0.0.0.255<br>access-list 130 deny ip 192.168.68.96 0.0.0.15 192.168.104.0 0.0.0.255<br>access-list 130 permit ip host 192.168.68.81 any<br>...<br>access-list 130 permit ip host 192.168.70.97 any<br><br>!<br>route-map NAT permit 10<br> match ip address https://slinkov.ru/openforum/vsluhforumID6/22660.html#1 Tue, 24 May 2011 17:40:27 GMT &gt; Здравствуйте уважаемые коллеги.<br>&gt; Можно ли создать IPSec VPN на оборудование Cisco&#124;Router/ASA в такой сети?<br>&gt; Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть Б ----(LAN,R3)---Сеть В <br>&gt; можно ли создать IPSec VPN Между роутерами R1 и R2 c <br>&gt; шифрованием трафика между сетью А и сетью В ?<br>&gt; Давно и много )))) создавал VPN между сетями типа А и Б <br>&gt; а между А и В сходу не получилось, я дурак или <br>&gt; так нельзя?<br><br>А случайно не пробовали acl заворачивать трафик из сети В в ipsec-туннель??? не забывайте из nat исключить этот трафик...<br>короче все элементарно просто<br>