форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"заNATить локальные адреса на внешний перед ipsec vpnом"		+/–
Сообщение от Sasha (??) on 28-Янв-10, 21:38
hi. у меня проблемка. нужно создать тунель типа site-to-site. тк с другой стороны не пускают локальные ip нужно их заNATить за одним свободным внешним. у меня получилось вот так: ip nat inside source static 10.0.10.10 xx.xxx.xxx.211 route-map VPNNAT route-map VPNNAT permit 10 match ip address 117 access-list 117 permit ip host 10.0.10.10 193.xxx.xxx.0 0.0.0.7 log потом собственно VPN: crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac crypto isakmp key kluchike7d address xxx.xxx.xxx.145 crypto map SDM_CMAP_1 3 ipsec-isakmp set peer xxx.xxx.xxx.145 set security-association lifetime seconds 86400 set transform-set ESP-AES-128-SHA match address 112 что я сделал не так?
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "заNATить локальные адреса на внешний перед ipsec vpnом"		+/–
Сообщение от stell on 28-Янв-10, 23:42
Весь конфиг покажите, например я не вижу вообще crypto isakmp policy и access-list 112 А так же: sh crypto isakmp sa sh crypto ipsec sa И в чем конкретно проблема? Не поднимается туннель? Не работает NAT как ожидалось? Отлаживайте по частям - уберите NAT, повесьте внешний IP на loopback и добейтесь сперва чтобы IPSec поднимался, пингуя с loopback'а удаленную сторону. Потом приниматься за NAT.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "заNATить локальные адреса на внешний перед ipsec vpnом"		+/–
	Сообщение от Sasha (??) on 29-Янв-10, 00:02
	>Весь конфиг покажите, например я не вижу вообще crypto isakmp policy и crypto isakmp policy 1 encr 3des authentication pre-share group 2 >access-list 112 access-list 112 permit ip host xxx.xxx.xxx.211 xxx.xxx.175.0 0.0.0.7 >А так же: >sh crypto isakmp sa dst             src             state          conn-id status тут инфа про другое vpn соединение IPv6 Crypto ISAKMP SA >sh crypto ipsec sa     local  ident (addr/mask/prot/port): (xxx.xxx.xxx.211/255.255.255.255/0/0)    remote ident (addr/mask/prot/port): (xxx.xxx.175.0/255.255.255.248/0/0)    current_peer xxx.xxx.xxx.145 port 500      PERMIT, flags={origin_is_acl,}     #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0     #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0     #pkts compressed: 0, #pkts decompressed: 0     #pkts not compressed: 0, #pkts compr. failed: 0     #pkts not decompressed: 0, #pkts decompress failed: 0     #send errors 0, #recv errors 0      local crypto endpt.: xxx.xxx.xxx.210, remote crypto endpt.: xxx.xxx.xxx.145      path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0      current outbound spi: 0x0(0)      PFS (Y/N): N, DH group: none      inbound esp sas:      inbound ah sas:      inbound pcp sas:      outbound esp sas:      outbound ah sas:      outbound pcp sas: > >И в чем конкретно проблема? Не поднимается туннель? в какой-то момент я смог поднять isakmp, но из-за неправильной конфигурации ipsec всё грохнулось. с тех пор ничего не поднимается >Не работает NAT как ожидалось? я не уверен, что я правильно прячу некоторые свои адреса локальной сети за внешним адресом. ну и не уверен, что я правильно понимаю где и какой адрес в acl вписывать. в 117м - локальный 10.0.10.0/24 в 112й уже внешний xxx.xxx.xxx.211 >Отлаживайте по частям - уберите NAT, повесьте внешний IP на loopback и >добейтесь сперва чтобы IPSec поднимался, пингуя с loopback'а удаленную сторону. Потом >приниматься за NAT. спасибо за совет - думаю, так и попробую сделать.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "заNATить локальные адреса на внешний перед ipsec vpnом"		+/–
	Сообщение от stell on 29-Янв-10, 00:20
	>я не уверен, что я правильно прячу некоторые свои адреса локальной сети за внешним >адресом. ну и не уверен, что я правильно понимаю где и какой адрес в acl вписывать. >в 117м - локальный 10.0.10.0/24 >в 112й уже внешний xxx.xxx.xxx.211 Вцелом выглядит верно: >access-list 117 permit ip host 10.0.10.10 193.xxx.xxx.0 0.0.0.7 log Это то что вы собираетесь NATить. >access-list 112 permit ip host xxx.xxx.xxx.211 xxx.xxx.175.0 0.0.0.7 Это то что вы хотите шифровать уже после NATа. Вторая половина этих ACL должна совпадать в вашем случае. Куда NATим, туда же и шифруем. "193.xxx.xxx.0 0.0.0.7" = "xxx.xxx.175.0 0.0.0.7" ?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "заNATить локальные адреса на внешний перед ipsec vpnом"		+/–
	Сообщение от Sasha (??) on 29-Янв-10, 00:30
	>[оверквотинг удален] >>access-list 117 permit ip host 10.0.10.10 193.xxx.xxx.0 0.0.0.7 log > >Это то что вы собираетесь NATить. > >>access-list 112 permit ip host xxx.xxx.xxx.211 xxx.xxx.175.0 0.0.0.7 > >Это то что вы хотите шифровать уже после NATа. Вторая половина этих >ACL должна совпадать в вашем случае. Куда NATим, туда же и >шифруем. >"193.xxx.xxx.0 0.0.0.7" = "xxx.xxx.175.0 0.0.0.7" ? это ж надо было так зашифроваться :-) конечно, они равны. значит у меня в этом граблей нет. уже радует. Не понимаю одно: почему ни isakmp ни ipsec после него уже не хотят коннектаться когда пытаюсь зателнениться на 193.ххх.ххх.2
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема