forum.opennet.ru - "NAT + IPSec" (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"NAT + IPSec"

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"NAT + IPSec"	+/–
Сообщение от tolik (??) on 06-Июл-10, 17:26
Добрый всем день! Помогите разобраться: ----R2 / R1 / \ \ ----R3 На R1 на внешнем интерфейсе криптомап и nat outside. Причем при маршрутизации к R2 трансляция должна происходить, а к R3 - нет. ip access-list extended NAT deny ip n.n.n.n к R3 permit ip n.n.n.n к R2 Но при обращении в сеть R3, трансляция все таки происходит. Вот примерная конфигурация: crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key 6 12345678 address k.k.k.1 crypto isakmp key 6 12345678 address k.k.k.2 crypto ipsec transform-set www esp-3des esp-sha-hmac interface FastEthernet0/0 description <<< LAN >>> ip address m.m.m.m ip nat inside ip virtual-reassembly duplex auto speed auto interface FastEthernet0/0/1 switchport access vlan 100 interface Vlan100 ip address 192.168.1.1 255.255.255.252 ip nat outside ip virtual-reassembly ip tcp adjust-mss 1300 crypto map map1 ip nat pool pool1 192.168.222.1 192.168.222.254 netmask 255.255.255.0 ip nat inside source list NAT pool pool1 ip access-list extended NAT deny ip n.n.n.n к R3 permit ip n.n.n.n к R2 crypto map exim 10 ipsec-isakmp set peer k.k.k.1 set transform-set www match address toR2 crypto map exim 11 ipsec-isakmp set peer k.k.k.2 set transform-set tunnel match address toR3 ip access-list extended toR2 permit ip LAN local -> LAN remote ip access-list extended toR3 permit ip LAN local -> LAN remote
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

NAT + IPSec, karen durinyan, 09:16 , 07-Июл-10, (1)

NAT + IPSec, karen durinyan, 09:23 , 07-Июл-10, (3)

NAT + IPSec, sigbat, 09:20 , 07-Июл-10, (2)

NAT + IPSec, tolik, 11:58 , 07-Июл-10, (4)

NAT + IPSec, karen durinyan, 13:10 , 07-Июл-10, (5)

NAT + IPSec, tolik, 14:10 , 07-Июл-10, (6)

NAT + IPSec, sigbat, 12:30 , 08-Июл-10, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "NAT + IPSec" +/–

Сообщение от karen durinyan (ok) on 07-Июл-10, 09:16

>[оверквотинг удален]
>crypto map exim 11 ipsec-isakmp
>  set peer k.k.k.2
>  set transform-set tunnel
>  match address toR3
>
>ip access-list extended toR2
>  permit ip LAN local -> LAN remote
>
>ip access-list extended toR3
>  permit ip LAN local -> LAN remote
privet,
2 voprosa.
1. chto u vas n.n.n.n v nat acl? lan network?
2. pod vneshnim interfeisam u vas crypto "map1" a v crypto map "exim". eto opechatka?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "NAT + IPSec" +/–

Сообщение от karen durinyan (ok) on 07-Июл-10, 09:23

>[оверквотинг удален]
>>
>>ip access-list extended toR3
>>  permit ip LAN local -> LAN remote
>
>privet,
>
>2 voprosa.
>1. chto u vas n.n.n.n v nat acl? lan network?
>2. pod vneshnim interfeisam u vas crypto "map1" a v crypto map
>"exim". eto opechatka?
da i esho...
chto znachet k r2 i k r2 v nat acl? ip vneshnego interfeisa r2/r3? ili network s zadi r2/r3?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "NAT + IPSec" +/–

Сообщение от sigbat on 07-Июл-10, 09:20

причем тут ipsec вобще ?
насчет ната почему нельзя сделать два сабинтерфейса на fa0/0 на один роут R2 и второй R3 соотвственно?
на одном cказать ip nat inside, на втором нет
по поводу почему у тебя сейчас не работает , я твои списки доступа не понял. Почему к R3 ? пакеты же к подсетям за роутером обращаются а не к самому роутеру ?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "NAT + IPSec" +/–

Сообщение от tolik (??) on 07-Июл-10, 11:58

>причем тут ipsec вобще ?
>насчет ната почему нельзя сделать два сабинтерфейса на fa0/0 на один роут
>R2 и второй R3 соотвственно?
>на одном cказать ip nat inside, на втором нет
>по поводу почему у тебя сейчас не работает , я твои списки
>доступа не понял. Почему к R3 ? пакеты же к подсетям
>за роутером обращаются а не к самому роутеру ?
Вот более точная конфигурация:
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key 6 12345678 address 192.168.140.2
crypto isakmp key 6 12345678 address 192.168.140.10
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set www esp-3des esp-sha-hmac
crypto ipsec transform-set tunnel esp-aes esp-sha-hmac
!
crypto map map 10 ipsec-isakmp
set peer 192.168.143.10
set transform-set www
match address toLanR2
crypto map map 11 ipsec-isakmp
set peer 192.168.140.2
set transform-set tunnel
match address toLanR3
!
!
interface FastEthernet0/0
description <<< LAN >>>
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/0/0
switchport access vlan 2
!
interface FastEthernet0/0/1
switchport access vlan 100
!
interface FastEthernet0/0/2
switchport access vlan 3
!
interface FastEthernet0/0/3
!
interface Vlan1
no ip address
!
interface Vlan2
no ip address
!
interface Vlan3
no ip address
!
interface Vlan100
descr <<< to R2 and R3 >>>
ip address 192.168.140.6 255.255.255.252
ip nat outside
ip virtual-reassembly
ip tcp adjust-mss 1300
crypto map map
ip forward-protocol nd
ip route 192.168.4.0 255.255.255.0 192.168.140.5 (LAN R2)
ip route 192.168.5.0 255.255.255.0 192.168.140.5 (LAN R3)
ip route 192.168.140.0 255.255.255.252 192.168.140.5
ip route 192.168.140.8 255.255.255.252 192.168.140.5
!
ip nat pool toLANR2 192.168.222.1 192.168.222.254 netmask 255.255.255.0
ip nat inside source list NAT pool toLANR2
!
ip access-list extended NAT
deny   ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255

ip access-list extended toLanR3
permit ip 192.168.1.0 0.0.0.255 any

ip access-list extended toLanR2
permit ip 192.168.222.0 0.0.0.255 192.168.4.0 0.0.0.255

!
no cdp run
!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "NAT + IPSec" +/–

Сообщение от karen durinyan (ok) on 07-Июл-10, 13:10

>[оверквотинг удален]
>
>ip access-list extended toLanR3
> permit ip 192.168.1.0 0.0.0.255 any
>
>ip access-list extended toLanR2
> permit ip 192.168.222.0 0.0.0.255 192.168.4.0 0.0.0.255
>
>!
>no cdp run
>!
s pervogo vzgljada neponjaten...
ip route 192.168.4.0 255.255.255.0 192.168.140.5 (LAN R2)
ip route 192.168.5.0 255.255.255.0 192.168.140.5 (LAN R3)
esli u vas 2 routera to pochemu GW tot zhe sami?
esho chto govorit "show access-list nat"?
est' match dlja deny?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "NAT + IPSec" +/–

Сообщение от tolik (??) on 07-Июл-10, 14:10

>s pervogo vzgljada neponjaten...
>ip route 192.168.4.0 255.255.255.0 192.168.140.5 (LAN R2)
>ip route 192.168.5.0 255.255.255.0 192.168.140.5 (LAN R3)
>esli u vas 2 routera to pochemu GW tot zhe sami?
>
>esho chto govorit "show access-list nat"?
>est' match dlja deny?
В центре у меня один рутер, а маршрута 2 в две локальные сети рутеров R2 и R3.
Сеть 192.168.140.n - это сеть провайдера.
                    --R2
                  /
         R4      /
R1---Провайдер--
                 \
                  \
                    --R3

Между R1 и R4 192.168.140.4/30
Между R4 и R2 192.168.140.0/30
Между R4 и R3 192.168.148.8/30
ip route 192.168.4.0 255.255.255.0 192.168.140.5 (R4)
ip route 192.168.5.0 255.255.255.0 192.168.140.5 (R4)
>esho chto govorit "show access-list nat"?
>est' match dlja deny?
Делаю sh ip nat tr | inc 192.168.222.0
И у меня есть matching nat для пакетов направляющихся в ЛАН рутера R2, а не должно, т.к. у меня в листе deny.
Не знаю...может не отрабатывается хорошо NAT?
К сожалению у меня один IP адрес на внеш. интерф. R1 и поэтому я не могу сделать саинтерфейсы.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "NAT + IPSec" +/–

Сообщение от sigbat on 08-Июл-10, 12:30

я ничего не понял (с)
итааак. вот у нас есть пакет которму страшно надо из 192.168.1.0 в 192.168.4.0
он попадает на интерфес там натируется в 192.168.222.n и уходит дальше по роутингу
согласно документу http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec...
пакет сначала натируется потом криптуется
таким образом пакеты у тебя в туннель просто не должны попадать поскольку уже снатированы и не подпадают под крипто листы
то есть никакого туннеля до R3 быть не должно. Если пакеты туда идут то они таки не натируются
теперь почему не пашет полиси нат
я быстро собрал твою схемку у себя на лабе, у меня все работает
Убери routed интерфейс. Создай отдельный VLAN для LAN и нать с него
убери crypto map и вобще все лишнее и попробуй работает ли nat policy
Если нет, обновляй иос

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "NAT + IPSec"	+/–
Сообщение от karen durinyan (ok) on 07-Июл-10, 09:16
>[оверквотинг удален] >crypto map exim 11 ipsec-isakmp > set peer k.k.k.2 > set transform-set tunnel > match address toR3 > >ip access-list extended toR2 > permit ip LAN local -> LAN remote > >ip access-list extended toR3 > permit ip LAN local -> LAN remote privet, 2 voprosa. 1. chto u vas n.n.n.n v nat acl? lan network? 2. pod vneshnim interfeisam u vas crypto "map1" a v crypto map "exim". eto opechatka?
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "NAT + IPSec"	+/–
	Сообщение от karen durinyan (ok) on 07-Июл-10, 09:23
	>[оверквотинг удален] >> >>ip access-list extended toR3 >> permit ip LAN local -> LAN remote > >privet, > >2 voprosa. >1. chto u vas n.n.n.n v nat acl? lan network? >2. pod vneshnim interfeisam u vas crypto "map1" a v crypto map >"exim". eto opechatka? da i esho... chto znachet k r2 i k r2 v nat acl? ip vneshnego interfeisa r2/r3? ili network s zadi r2/r3?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору

2. "NAT + IPSec"	+/–
Сообщение от sigbat on 07-Июл-10, 09:20
причем тут ipsec вобще ? насчет ната почему нельзя сделать два сабинтерфейса на fa0/0 на один роут R2 и второй R3 соотвственно? на одном cказать ip nat inside, на втором нет по поводу почему у тебя сейчас не работает , я твои списки доступа не понял. Почему к R3 ? пакеты же к подсетям за роутером обращаются а не к самому роутеру ?
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "NAT + IPSec"	+/–
	Сообщение от tolik (??) on 07-Июл-10, 11:58
	>причем тут ipsec вобще ? >насчет ната почему нельзя сделать два сабинтерфейса на fa0/0 на один роут >R2 и второй R3 соотвственно? >на одном cказать ip nat inside, на втором нет >по поводу почему у тебя сейчас не работает , я твои списки >доступа не понял. Почему к R3 ? пакеты же к подсетям >за роутером обращаются а не к самому роутеру ? Вот более точная конфигурация: crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key 6 12345678 address 192.168.140.2 crypto isakmp key 6 12345678 address 192.168.140.10 crypto isakmp keepalive 10 ! ! crypto ipsec transform-set www esp-3des esp-sha-hmac crypto ipsec transform-set tunnel esp-aes esp-sha-hmac ! crypto map map 10 ipsec-isakmp set peer 192.168.143.10 set transform-set www match address toLanR2 crypto map map 11 ipsec-isakmp set peer 192.168.140.2 set transform-set tunnel match address toLanR3 ! ! interface FastEthernet0/0 description <<< LAN >>> ip address 192.168.1.1 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet0/0/0 switchport access vlan 2 ! interface FastEthernet0/0/1 switchport access vlan 100 ! interface FastEthernet0/0/2 switchport access vlan 3 ! interface FastEthernet0/0/3 ! interface Vlan1 no ip address ! interface Vlan2 no ip address ! interface Vlan3 no ip address ! interface Vlan100 descr <<< to R2 and R3 >>> ip address 192.168.140.6 255.255.255.252 ip nat outside ip virtual-reassembly ip tcp adjust-mss 1300 crypto map map ip forward-protocol nd ip route 192.168.4.0 255.255.255.0 192.168.140.5 (LAN R2) ip route 192.168.5.0 255.255.255.0 192.168.140.5 (LAN R3) ip route 192.168.140.0 255.255.255.252 192.168.140.5 ip route 192.168.140.8 255.255.255.252 192.168.140.5 ! ip nat pool toLANR2 192.168.222.1 192.168.222.254 netmask 255.255.255.0 ip nat inside source list NAT pool toLANR2 ! ip access-list extended NAT deny ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255 permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255 ip access-list extended toLanR3 permit ip 192.168.1.0 0.0.0.255 any ip access-list extended toLanR2 permit ip 192.168.222.0 0.0.0.255 192.168.4.0 0.0.0.255 ! no cdp run !
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	5. "NAT + IPSec"	+/–
	Сообщение от karen durinyan (ok) on 07-Июл-10, 13:10
	>[оверквотинг удален] > >ip access-list extended toLanR3 > permit ip 192.168.1.0 0.0.0.255 any > >ip access-list extended toLanR2 > permit ip 192.168.222.0 0.0.0.255 192.168.4.0 0.0.0.255 > >! >no cdp run >! s pervogo vzgljada neponjaten... ip route 192.168.4.0 255.255.255.0 192.168.140.5 (LAN R2) ip route 192.168.5.0 255.255.255.0 192.168.140.5 (LAN R3) esli u vas 2 routera to pochemu GW tot zhe sami? esho chto govorit "show access-list nat"? est' match dlja deny?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	6. "NAT + IPSec"	+/–
	Сообщение от tolik (??) on 07-Июл-10, 14:10
	>s pervogo vzgljada neponjaten... >ip route 192.168.4.0 255.255.255.0 192.168.140.5 (LAN R2) >ip route 192.168.5.0 255.255.255.0 192.168.140.5 (LAN R3) >esli u vas 2 routera to pochemu GW tot zhe sami? > >esho chto govorit "show access-list nat"? >est' match dlja deny? В центре у меня один рутер, а маршрута 2 в две локальные сети рутеров R2 и R3. Сеть 192.168.140.n - это сеть провайдера. --R2 / R4 / R1---Провайдер-- \ \ --R3 Между R1 и R4 192.168.140.4/30 Между R4 и R2 192.168.140.0/30 Между R4 и R3 192.168.148.8/30 ip route 192.168.4.0 255.255.255.0 192.168.140.5 (R4) ip route 192.168.5.0 255.255.255.0 192.168.140.5 (R4) >esho chto govorit "show access-list nat"? >est' match dlja deny? Делаю sh ip nat tr \| inc 192.168.222.0 И у меня есть matching nat для пакетов направляющихся в ЛАН рутера R2, а не должно, т.к. у меня в листе deny. Не знаю...может не отрабатывается хорошо NAT? К сожалению у меня один IP адрес на внеш. интерф. R1 и поэтому я не могу сделать саинтерфейсы.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	7. "NAT + IPSec"	+/–
	Сообщение от sigbat on 08-Июл-10, 12:30
	я ничего не понял (с) итааак. вот у нас есть пакет которму страшно надо из 192.168.1.0 в 192.168.4.0 он попадает на интерфес там натируется в 192.168.222.n и уходит дальше по роутингу согласно документу http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec... пакет сначала натируется потом криптуется таким образом пакеты у тебя в туннель просто не должны попадать поскольку уже снатированы и не подпадают под крипто листы то есть никакого туннеля до R3 быть не должно. Если пакеты туда идут то они таки не натируются теперь почему не пашет полиси нат я быстро собрал твою схемку у себя на лабе, у меня все работает Убери routed интерфейс. Создай отдельный VLAN для LAN и нать с него убери crypto map и вобще все лишнее и попробуй работает ли nat policy Если нет, обновляй иос
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору