The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Проброс траффика через IPSec tunnel в интернет и обратно. "
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Проброс траффика через IPSec tunnel в интернет и обратно. " 
Сообщение от ivv Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(ok) on 27-Май-04, 17:30  (MSK)
Возник у меня такой вопрос:

Настроил IPSec tunnel между двумя подсетями через инет.Схема примерно как здесь http://noc.tomsk.ru/tmp/router.png.
В качестве R1 используется SOHO 97 (IOS 12.3),за ним сетка 10.1.5.0/24. В качестве R5 стоит PIX 515E (ver.6.1).R2R3R4 - это интернет.
За пиксом R5 есть есть несколько локальных сетей 10.1.x.x
На пиксе помимо прочего поднят НАТ в инет.
Есть еще один роутер в инет (скажем R6) - через него тоже могут ходить  в инет сети 10.1.х.х.
За пиксом стоит стоит еще одна циска (скажем R7) ,к которой подключена сеть 10.1.1.0/24.
Есть некий адрес в инете 1.2.3.4,на который должны достучаться машины из сети 10.1.5.0 (за R1).

IPSec я настроил для адресов 10.1.5.0/24 - 10.1.1.0/24 и 10.1.5.0/24 - 1.2.3.4. между R1-R5.

Вот на SOHO (R1)
crypto map to-office 20 ipsec-isakmp
description VPN to ofice
set peer real-ip-pix (r5)
set security-association lifetime seconds 21600
set transform-set to-office
match address 101
access-list 101 permit ip 10.1.5.0 0.0.0.255 host 1.2.3.4
access-list 101 permit ip 10.1.5.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 150 deny   ip 10.1.5.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 150 deny   ip 10.1.5.0 0.0.0.255 host 1.2.3.4

interface BVI1
ip address real-ip-soho(r1) 255.255.255.252
ip nat outside
crypto map to-office
ip nat inside source list 150 interface BVI1 overload


IPSec туннел поднимается нормально. я могу достучаться до хостов в сети 10.1.1.0 из сети 10.1.5.0  и наоборот.
Но из сети 10.1.5.0 не получаю доступа к внешнему инетовскому адресу 1.2.3.4.
Мне требуется пробросить траффик из 10.1.5.0 к 1.2.3.4 через IPSec туннель,занатить его на пиксе R5 или роутере R6  (требуется,чтобы пакеты на адрес 1.2.3.4 пришли под инетовским адресом R5 или R6).

Кто что мне может посоветовать?  

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Проброс траффика через IPSec tunnel в интернет и обратно. " 
Сообщение от Corhaid Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 28-Май-04, 10:10  (MSK)

>Мне требуется пробросить траффик из 10.1.5.0 к 1.2.3.4 через IPSec туннель,занатить его
>на пиксе R5 или роутере R6  (требуется,чтобы пакеты на адрес
>1.2.3.4 пришли под инетовским адресом R5 или R6).
>
>Кто что мне может посоветовать?

Построить GRE туннель между R1 и R2 и зашифровать его.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Проброс траффика через IPSec tunnel в интернет и обратно. " 
Сообщение от ivv Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(ok) on 28-Май-04, 11:24  (MSK)
>
>>Мне требуется пробросить траффик из 10.1.5.0 к 1.2.3.4 через IPSec туннель,занатить его
>>на пиксе R5 или роутере R6  (требуется,чтобы пакеты на адрес
>>1.2.3.4 пришли под инетовским адресом R5 или R6).
>>
>>Кто что мне может посоветовать?
>
>Построить GRE туннель между R1 и R2 и зашифровать его.

GRE over IPSec?
Я про него думал уже. Но есть сомнения - (насколько я слышал)некоторые несознательные провы(не мои) режут GRE-протокол (по дурости или еще как), а пакетики бегут по довольно длинному пути.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Проброс траффика через IPSec tunnel в интернет и обратно. " 
Сообщение от Corhaid Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 29-Май-04, 07:49  (MSK)
>>
>>>Мне требуется пробросить траффик из 10.1.5.0 к 1.2.3.4 через IPSec туннель,занатить его
>>>на пиксе R5 или роутере R6  (требуется,чтобы пакеты на адрес
>>>1.2.3.4 пришли под инетовским адресом R5 или R6).
>>>
>>>Кто что мне может посоветовать?
>>
>>Построить GRE туннель между R1 и R2 и зашифровать его.
>
>GRE over IPSec?
>Я про него думал уже. Но есть сомнения - (насколько я слышал)некоторые
>несознательные провы(не мои) режут GRE-протокол (по дурости или еще как), а
>пакетики бегут по довольно длинному пути.

Если я ничего не путаю, то GRE траффик будет инкапсулирован в IPSec и заголовок пакета будет уже не GRE а ESP.

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру