The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"1841 ipsec + NAT"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"1841 ipsec + NAT"  +/
Сообщение от tohha (ok) on 18-Янв-10, 11:59 
Проблема в следующем. Большой торговый центр, с которым у нас построен ipsec туннель выдал нам настройки туннеля. В этих настройках указано, что пропускать в туннель он будет только: 10.123.0.0 255.255.255.252 (понимаю, что хорошо было бы gre over ipsec, но админы торг.центра просто настроили у себя так: access-list ACL-COMPANY extended permit ip 10.0.0.0 255.0.0.0 10.123.0.0 255.255.255.252). При этом наша внутренняя сеть, которая должна иметь доступ к торговому центру (10.0.0.0): 192.168.1.0/24
Единственный вариант, который я нашел - это прописать на интерфейсе secondary ip: 10.123.0.2 и настроить NAT: 192.168.1.0/24 -> 10.123.0.2
Однако данная схема как-то странно  работает. Если сделать reload, то все пакеты ломятся в мир, а не в туннель. Подскажите, может, я где ошибся? Вот конфиг:

ip nat pool TORG-CENTR-POOL 10.123.0.2 10.123.0.2 prefix-length 30

ip nat inside source route-map SDM_RMAP_1 interface FastEthernet0/0 overload
ip nat inside source route-map TORG-CENTR-RM pool TORG-CENTR-POOL overload

route-map TORG-CENTR-RM permit 0
match ip address 102
!
route-map SDM_RMAP_1 permit 1
match ip address 103

access-list 102
permit ip 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255

access-list 103
deny   ip 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255
permit ip 192.168.1.0 0.0.0.255 any

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

  • 1841 ipsec + NAT, Николай, 13:31 , 18-Янв-10, (1)  
    • 1841 ipsec + NAT, tohha, 14:39 , 18-Янв-10, (2)  

Сообщения по теме [Сортировка по времени | RSS]


1. "1841 ipsec + NAT"  +/
Сообщение от Николай (??) on 18-Янв-10, 13:31 
конфиг полностью дайте
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "1841 ipsec + NAT"  +/
Сообщение от tohha (ok) on 18-Янв-10, 14:39 
>конфиг полностью дайте

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname gate
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-3265806284
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3265806284
revocation-check none
rsakeypair TP-self-signed-3265806284
!
!
crypto pki certificate chain TP-self-signed-3265806284
certificate self-signed 01
  30820243 308201AC A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
   ......
      quit
dot11 syslog
ip cef
!
!
!
!
ip domain name xxxxx
ip name-server xxx.xxx.xxx.xxx
ip name-server yyy.yyy.yyy.yyy
!
multilink bundle-name authenticated
!
!
username admin privilege 15 secret 5 xxxxxxxxxxxxxxxxx
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key xxxxxxxxxxxx address IP1
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set TS1 esp-3des esp-md5-hmac
!
crypto map static-map 2 ipsec-isakmp
description Tunnel to IP1
set peer IP1
set transform-set TS1
match address 101
!
archive
log config
  hidekeys
!
!
!
!
!
interface Loopback0
no ip address
!
interface FastEthernet0/0
description WAN
ip address IP2 255.255.255.248
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map static-map
crypto ipsec df-bit clear
!
interface FastEthernet0/1
description LAN
ip address 10.123.0.2 255.255.255.252 secondary
ip address 192.168.1.29 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 IP3
!
ip nat pool TS1 10.123.0.2 10.123.0.2 prefix-length 30
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet0/0 overload
ip nat inside source route-map TS1-rm pool TS1 overload
!
ip access-list extended TS1-al
permit ip 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255
!
access-list 100 permit ip any any
access-list 101 permit ip 10.123.0.0 0.0.0.3 10.0.0.0 0.255.255.255
access-list 102 deny   ip 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
!
route-map TS1-rm permit 0
match ip address TS1-al
!
route-map SDM_RMAP_1 permit 1
match ip address 102
!
!
!
!
control-plane
!
!
!
line con 0
login local
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
line vty 5 15
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
end  


IP1: адрес торгового центра
IP2: мой адрес
IP3: мой GW

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру