forum.opennet.ru - "помогите засунуть один сайт в VPN" (14)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"помогите засунуть один сайт в VPN"

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"помогите засунуть один сайт в VPN"	+/–
Сообщение от snooooop (ok) on 22-Июл-13, 14:31
привет всем. есть такая задача, 2 офиса, между ними VPN, (2)192.168.168.40.0/24---40.1LAN[ISR]wan=====VPN====wan[ASA]LAN135.2----10.1.135.0/24(1) в 1м офисе зареган IP для работы на сайте, просят пропустить все тачки 2го офиса через VPN что бы они для сервиса были с таким же IP...борюсь который день, не могу сделать. на рутере 2го офиса в нат запихал правило, которе денаит нужный сайт Код: ip access-list extended NAT deny ip 192.168.40.0 0.0.0.255 host 91.221.163.15 deny ip 192.168.40.0 0.0.0.255 10.1.135.0 0.0.0.255 deny ip 192.168.40.0 0.0.0.255 10.1.1.0 0.0.0.255 permit ip 192.168.40.0 0.0.0.255 any и правило разрешающее лезть в VPN Код: ip access-list extended vpn_to_hq permit ip 192.168.40.0 0.0.0.255 host 91.221.163.15 permit ip 192.168.40.0 0.0.0.255 10.1.135.0 0.0.0.255 permit ip 192.168.40.0 0.0.0.255 10.1.1.0 0.0.0.255 в голове стоит ASA, как и что там настроить ума не приложу... но судя по статусу ACLов пакеты в 2м офисе валятся в VPN Код: Extended IP access list NAT 5 deny ip 192.168.40.0 0.0.0.255 host 91.221.163.15 (295 matches) Extended IP access list vpn_to_hq 1 permit ip 192.168.40.0 0.0.0.255 host 91.221.163.15 (316 matches) Настройки на ASA access-list Inside_ACL_for_NAT extended permit ip 192.168.40.0 255.255.255.0 any nat (inside) 11 access-list Inside_ACL_for_NAT в общем голова уже по швам трещит... дайте совет!?
Ответить \| Правка \| Cообщить модератору

Оглавление

помогите засунуть один сайт в VPN, McS555, 16:20 , 22-Июл-13, (1)

помогите засунуть один сайт в VPN, snooooop, 06:09 , 23-Июл-13, (2)

помогите засунуть один сайт в VPN, snooooop, 08:39 , 23-Июл-13, (3)

помогите засунуть один сайт в VPN, McS555, 09:37 , 23-Июл-13, (4)

помогите засунуть один сайт в VPN, snooooop, 12:56 , 23-Июл-13, (5)

помогите засунуть один сайт в VPN, snooooop, 12:59 , 23-Июл-13, (6)

помогите засунуть один сайт в VPN, snooooop, 14:17 , 23-Июл-13, (7)

помогите засунуть один сайт в VPN, McS555, 16:16 , 23-Июл-13, (8)

помогите засунуть один сайт в VPN, snooooop, 05:55 , 24-Июл-13, (9)

помогите засунуть один сайт в VPN, McS555, 10:07 , 24-Июл-13, (10)

помогите засунуть один сайт в VPN, snooooop, 06:10 , 25-Июл-13, (11)

помогите засунуть один сайт в VPN, McS555, 18:26 , 30-Июл-13, (12)
помогите засунуть один сайт в VPN, snooooop, 06:02 , 06-Авг-13, (13)
помогите засунуть один сайт в VPN, McS555, 10:04 , 19-Авг-13, (14)

Сообщения по теме [Сортировка по времени | RSS]

1. "помогите засунуть один сайт в VPN" +/–

Сообщение от McS555 (ok) on 22-Июл-13, 16:20

> в 1м офисе зареган IP для работы на сайте, просят пропустить все
> тачки 2го офиса через VPN что бы они для сервиса были
> с таким же IP...борюсь который день, не могу сделать.
какой ip адрес ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "помогите засунуть один сайт в VPN" +/–

Сообщение от snooooop (ok) on 23-Июл-13, 06:09

>> в 1м офисе зареган IP для работы на сайте, просят пропустить все
>> тачки 2го офиса через VPN что бы они для сервиса были
>> с таким же IP...борюсь который день, не могу сделать.
> какой ip адрес ?
внешний IP адрес необходимый для аутентификации пользователя, для работы на вэб ресурсе.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "помогите засунуть один сайт в VPN" +/–

Сообщение от snooooop (ok) on 23-Июл-13, 08:39

>>> в 1м офисе зареган IP для работы на сайте, просят пропустить все
>>> тачки 2го офиса через VPN что бы они для сервиса были
>>> с таким же IP...борюсь который день, не могу сделать.
>> какой ip адрес ?
> внешний IP адрес необходимый для аутентификации пользователя, для работы на вэб ресурсе.
91.221.163.26

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "помогите засунуть один сайт в VPN" +/–

Сообщение от McS555 (ok) on 23-Июл-13, 09:37

>>>> в 1м офисе зареган IP для работы на сайте, просят пропустить все
>>>> тачки 2го офиса через VPN что бы они для сервиса были
>>>> с таким же IP...борюсь который день, не могу сделать.
>>> какой ip адрес ?
>> внешний IP адрес необходимый для аутентификации пользователя, для работы на вэб ресурсе.
>  91.221.163.26
Это wan на ISR ??
можешь show run скинуть.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "помогите засунуть один сайт в VPN" +/–

Сообщение от snooooop (ok) on 23-Июл-13, 12:56

> можешь show run скинуть.
K*_881#sh run
Building configuration...
Current configuration : 5098 bytes
!
! Last configuration change at 03:54:38 UTC Tue Jul 23 2013 by s-
!
version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname K_881
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
!
no aaa new-model
!
memory-size iomem 10
crypto pki token default removal timeout 0
  3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 32383337 32373836 3137301E 170D3133 30373232 31303435
  34385A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 38333732
  37383631 3730819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100F0E1 ED94223F FE257A66 3D093C35 258AB3FB 3915294E B5DE062F 3E4BA3E0
  A2C41E13 2B9676B7 6885EB96 BEE4340C 7B7F85E3 E5F0EC5C F33EBB44 BBFCE6E8
  A0087A91 4054102D 9C022596 F4186771 FD90655B 3298EF51 D7BA3C52 23E91C8D
  9E092266 6CCC8E62 1554C745 9377ED6C 4A45A2CE 5F837C1A AC3515AF A4E828FE
  AA0F0203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603
  551D2304 18301680 14E4DEA6 92A0CF14 1CED8AB2 86F7BCD4 3A8EF26D 07301D06
  03551D0E 04160414 E4DEA692 A0CF141C ED8AB286 F7BCD43A 8EF26D07 300D0609
  2A864886 F70D0101 04050003 81810007 6333F459 7C0ADA7D A6022C98 08432635
ip source-route
!
!
!
ip dhcp excluded-address 192.168.40.1 192.168.40.10
ip dhcp excluded-address 192.168.40.31 192.168.40.254
!
ip dhcp pool savsregion
   network 192.168.40.0 255.255.255.0
   dns-server 212.75.210.62
   domain-name savsregion
   default-router 192.168.40.1
!
!
ip cef
ip domain name k*.ru
ip name-server *
ip name-server *
no ipv6 cef
!
!
multilink bundle-name authenticated
vpdn enable
!
vpdn-group global
!
license udi pid CISCO881-K9 sn F-*B
license boot module c880-data level advipservices
!
!
object-group network NAT-CO-WWW
host 91.221.*.*
!
username ---admin privilege 15 secret 5 ---
!
!
!
!
!
!
crypto isakmp policy 5
encr aes 256
authentication pre-share
group 5
lifetime 14400
crypto isakmp key ** address 91.218.*.*
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 60
!
!
crypto ipsec transform-set * * * *
!
crypto map vpn_to_hq 10 ipsec-isakmp
set peer 91.218.*.*
set security-association lifetime seconds 14400
set transform-set *
match address vpn_to_hq
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description WAN$ETH-WAN$
ip address 95.181.*.* 255.255.255.252
ip nat outside
no ip virtual-reassembly in
duplex auto
speed auto
no cdp enable
crypto map vpn_to_hq
!
interface Vlan1
description LAN
ip address 192.168.40.1 255.255.255.0
ip nat inside
no ip virtual-reassembly in
!
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip nat inside source list NAT interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 95.181.53.89
!
ip access-list extended NAT
deny   ip 192.168.40.0 0.0.0.255 host 91.221.163.15
deny   ip 192.168.40.0 0.0.0.255 10.1.135.0 0.0.0.255
deny   ip 192.168.40.0 0.0.0.255 10.1.1.0 0.0.0.255
permit ip 192.168.40.0 0.0.0.255 any
ip access-list extended inside
permit tcp any any
ip access-list extended nat_lan_wan
deny   ip 192.168.40.0 0.0.0.255 10.1.135.0 0.0.0.255
permit ip 192.168.40.0 0.0.0.255 any
ip access-list extended outside
permit tcp any host 95.181.*.* eq www
permit tcp any host 95.181.*.* eq 22
permit tcp any host 95.181.*.* eq ftp
permit tcp any host 95.181.*.* eq telnet
permit icmp any host 95.181.*.*
ip access-list extended vpn_to_hq
permit ip 192.168.40.0 0.0.0.255 10.1.135.0 0.0.0.255
permit ip 192.168.40.0 0.0.0.255 10.1.1.0 0.0.0.255
permit ip 192.168.40.0 0.0.0.255 host 91.221.163.15
!
logging esm config
access-list 10 permit 192.168.40.0 0.0.0.255
access-list 111 permit ip host 192.168.40.28 host 91.221.163.15
access-list 111 permit ip host 192.168.40.28 host 10.1.135.77
dialer-list 1 protocol ip permit
no cdp run
!
!
!
!
!
end

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "помогите засунуть один сайт в VPN" +/–

Сообщение от snooooop (ok) on 23-Июл-13, 12:59

не знаю как ответить с картинкой, рисунок схемы вот тут есть
https://supportforums.cisco.com/thread/2229794?tstart=0

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "помогите засунуть один сайт в VPN" +/–

Сообщение от snooooop (ok) on 23-Июл-13, 14:17

VPN работает, но вот как запихать в него сайт не пойму, вроде всё разрешил, а толку нет

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "помогите засунуть один сайт в VPN" +/–

Сообщение от McS555 (ok) on 23-Июл-13, 16:16

> в 1м офисе зареган IP для работы на сайте, просят пропустить все тачки 2го офиса через > > VPN что бы они для сервиса были с таким же IP...борюсь который день, не могу сделать.
Поправь меня
У тебя есть роутер. Внешний адрес 95.181.53.90. Шлюз 95.181.53.89. Локалка 192.168.40.0/24
Есть ASA к которой постороен vpn. Внешний адрес 95.181.*.* . Локалка 10.1.135.0/24.
Есть сайт с адресом 91.221.163.26 (или 91.221.163.15).
Так вот не совсем понятно с какого адреса разрешен доступ? С 95.181.*.* (WAN ASA)??

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "помогите засунуть один сайт в VPN" +/–

Сообщение от snooooop (ok) on 24-Июл-13, 05:55

спасибо за общение!
На сайт разрешен доступ с IP ASA.
Соответственно, мне нужно, завернуть трафик из сети 192.168.40.0/24 в VPN чтоб у него соурс IP стал=WAN ASA..

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "помогите засунуть один сайт в VPN" +/–

Сообщение от McS555 (ok) on 24-Июл-13, 10:07

> спасибо за общение!
> На сайт разрешен доступ с IP ASA.
> Соответственно, мне нужно, завернуть трафик из сети 192.168.40.0/24 в VPN чтоб у
> него соурс IP стал=WAN ASA..
Блин, надо подумать... Если б у тебя с двух сторон стоял роутер, то проблем не было. Был бы к примеру gre тунель, на которых настроен нат. У тебя сейчас как раз так и выходит, с роутера пакеты улетают, даже до сайта доходят, но вернувшись на ASA не знают куда идти дальше (на сколько я знаю, АSA не может не gre, не loopback , и даже была идея с pptp сервером, и то не умеет). Вообщем надо еще подумать

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "помогите засунуть один сайт в VPN" +/–

Сообщение от snooooop (ok) on 25-Июл-13, 06:10

>[оверквотинг удален]
>> На сайт разрешен доступ с IP ASA.
>> Соответственно, мне нужно, завернуть трафик из сети 192.168.40.0/24 в VPN чтоб у
>> него соурс IP стал=WAN ASA..
> Блин, надо подумать... Если б у тебя с двух сторон стоял роутер,
> то проблем не было. Был бы к примеру gre тунель, на
> которых настроен нат. У тебя сейчас как раз так и выходит,
> с роутера пакеты улетают, даже до сайта доходят, но вернувшись на
> ASA не знают куда идти дальше (на сколько я знаю, АSA
> не может не gre, не loopback , и даже была идея
> с pptp сервером, и то не умеет). Вообщем надо еще подумать
я easyVPN настроил, в общем то же самое, локалку пингую, а сайт - нет.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "помогите засунуть один сайт в VPN" +/–

Сообщение от McS555 (ok) on 30-Июл-13, 18:26

>[оверквотинг удален]
>>> него соурс IP стал=WAN ASA..
>> Блин, надо подумать... Если б у тебя с двух сторон стоял роутер,
>> то проблем не было. Был бы к примеру gre тунель, на
>> которых настроен нат. У тебя сейчас как раз так и выходит,
>> с роутера пакеты улетают, даже до сайта доходят, но вернувшись на
>> ASA не знают куда идти дальше (на сколько я знаю, АSA
>> не может не gre, не loopback , и даже была идея
>> с pptp сервером, и то не умеет). Вообщем надо еще подумать
> я easyVPN настроил, в общем то же самое, локалку пингую, а сайт
> - нет.
если еще актуально получилось собрать схемку на gns
____________________________________________
ASA2# sh ver
Cisco Adaptive Security Appliance Software Version 8.0(2)
ISR#sh version
Cisco IOS Software, 2600 Software (C2691-ADVSECURITYK9-M), Version 12.3(11)T4, RELEASE SOFTWARE (fc4)
________________________________________________________

Со стороны маршрутера все ок. На ASA сделал нужную сайт с адресом 10,0,244,1
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 10.0.248.14 255.255.255.252
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 172.18.9.1 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/5
shutdown
no nameif
no security-level
no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
same-security-traffic permit intra-interface
access-list WORK extended permit ip any any
access-list NONAT extended permit ip 172.18.9.0 255.255.255.0 172.18.10.0 255.255.255.0
access-list OUTSIDE_IN_ACL extended permit ip any any
access-list CRYPTO extended permit ip 172.18.9.0 255.255.255.0 172.18.10.0 255.255.255.0
access-list CRYPTO extended permit ip host 10.0.244.1 172.18.10.0 255.255.255.0
access-list NATPOOL extended permit ip 172.18.9.0 255.255.255.0 any
access-list 101 extended permit ip 172.18.10.0 255.255.255.0 host 10.0.244.1
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 12 interface
nat (inside) 0 access-list NONAT
nat (inside) 12 access-list NATPOOL
nat (outside) 12 access-list 101
access-group WORK in interface inside
access-group OUTSIDE_IN_ACL in interface outside
route outside 0.0.0.0 0.0.0.0 10.0.248.13 1
route outside 172.18.10.0 255.255.255.0 10.0.248.13 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set vpn-set esp-3des esp-md5-hmac
crypto map co-vpn 1 match address CRYPTO
crypto map co-vpn 1 set peer 10.0.248.2
crypto map co-vpn 1 set transform-set vpn-set
crypto map co-vpn interface outside
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 3600
crypto isakmp policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
!
username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 15
tunnel-group 10.0.248.2 type ipsec-l2l
tunnel-group 10.0.248.2 ipsec-attributes
pre-shared-key *
----------------------------------
ASA2# sh xlate
4 in use, 4 most used
PAT Global 10.0.248.14(1026) Local 172.18.10.2(58457)
PAT Global 10.0.248.14(10) Local 172.18.10.2 ICMP id 44551
PAT Global 10.0.248.14(1027) Local 172.18.9.2(56394)
PAT Global 10.0.248.14(11) Local 172.18.9.2 ICMP id 20487

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "помогите засунуть один сайт в VPN" +/–

Сообщение от snooooop (ok) on 06-Авг-13, 06:02

>[оверквотинг удален]
> tunnel-group 10.0.248.2 type ipsec-l2l
> tunnel-group 10.0.248.2 ipsec-attributes
>  pre-shared-key *
> ----------------------------------
> ASA2# sh xlate
> 4 in use, 4 most used
> PAT Global 10.0.248.14(1026) Local 172.18.10.2(58457)
> PAT Global 10.0.248.14(10) Local 172.18.10.2 ICMP id 44551
> PAT Global 10.0.248.14(1027) Local 172.18.9.2(56394)
> PAT Global 10.0.248.14(11) Local 172.18.9.2 ICMP id 20487
приветствую!
да, актуальность есть.
буду пробовать.
спасибо!!
о результате отпишусь.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "помогите засунуть один сайт в VPN" +/–

Сообщение от McS555 (ok) on 19-Авг-13, 10:04

>[оверквотинг удален]
>> 4 in use, 4 most used
>> PAT Global 10.0.248.14(1026) Local 172.18.10.2(58457)
>> PAT Global 10.0.248.14(10) Local 172.18.10.2 ICMP id 44551
>> PAT Global 10.0.248.14(1027) Local 172.18.9.2(56394)
>> PAT Global 10.0.248.14(11) Local 172.18.9.2 ICMP id 20487
> приветствую!
> да, актуальность есть.
> буду пробовать.
> спасибо!!
> о результате отпишусь.
и как?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "помогите засунуть один сайт в VPN"	+/–
Сообщение от McS555 (ok) on 22-Июл-13, 16:20
> в 1м офисе зареган IP для работы на сайте, просят пропустить все > тачки 2го офиса через VPN что бы они для сервиса были > с таким же IP...борюсь который день, не могу сделать. какой ip адрес ?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "помогите засунуть один сайт в VPN"	+/–
	Сообщение от snooooop (ok) on 23-Июл-13, 06:09
	>> в 1м офисе зареган IP для работы на сайте, просят пропустить все >> тачки 2го офиса через VPN что бы они для сервиса были >> с таким же IP...борюсь который день, не могу сделать. > какой ip адрес ? внешний IP адрес необходимый для аутентификации пользователя, для работы на вэб ресурсе.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "помогите засунуть один сайт в VPN"	+/–
	Сообщение от snooooop (ok) on 23-Июл-13, 08:39
	>>> в 1м офисе зареган IP для работы на сайте, просят пропустить все >>> тачки 2го офиса через VPN что бы они для сервиса были >>> с таким же IP...борюсь который день, не могу сделать. >> какой ip адрес ? > внешний IP адрес необходимый для аутентификации пользователя, для работы на вэб ресурсе. 91.221.163.26
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "помогите засунуть один сайт в VPN"	+/–
	Сообщение от McS555 (ok) on 23-Июл-13, 09:37
	>>>> в 1м офисе зареган IP для работы на сайте, просят пропустить все >>>> тачки 2го офиса через VPN что бы они для сервиса были >>>> с таким же IP...борюсь который день, не могу сделать. >>> какой ip адрес ? >> внешний IP адрес необходимый для аутентификации пользователя, для работы на вэб ресурсе. > 91.221.163.26 Это wan на ISR ?? можешь show run скинуть.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "помогите засунуть один сайт в VPN"	+/–
	Сообщение от snooooop (ok) on 23-Июл-13, 12:56
	> можешь show run скинуть. K_881#sh run Building configuration... Current configuration : 5098 bytes ! ! Last configuration change at 03:54:38 UTC Tue Jul 23 2013 by s- ! version 15.1 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname K_881 ! boot-start-marker boot-end-marker ! ! logging buffered 51200 warnings ! no aaa new-model ! memory-size iomem 10 crypto pki token default removal timeout 0 3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 32383337 32373836 3137301E 170D3133 30373232 31303435 34385A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649 4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 38333732 37383631 3730819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 8100F0E1 ED94223F FE257A66 3D093C35 258AB3FB 3915294E B5DE062F 3E4BA3E0 A2C41E13 2B9676B7 6885EB96 BEE4340C 7B7F85E3 E5F0EC5C F33EBB44 BBFCE6E8 A0087A91 4054102D 9C022596 F4186771 FD90655B 3298EF51 D7BA3C52 23E91C8D 9E092266 6CCC8E62 1554C745 9377ED6C 4A45A2CE 5F837C1A AC3515AF A4E828FE AA0F0203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603 551D2304 18301680 14E4DEA6 92A0CF14 1CED8AB2 86F7BCD4 3A8EF26D 07301D06 03551D0E 04160414 E4DEA692 A0CF141C ED8AB286 F7BCD43A 8EF26D07 300D0609 2A864886 F70D0101 04050003 81810007 6333F459 7C0ADA7D A6022C98 08432635 ip source-route ! ! ! ip dhcp excluded-address 192.168.40.1 192.168.40.10 ip dhcp excluded-address 192.168.40.31 192.168.40.254 ! ip dhcp pool savsregion network 192.168.40.0 255.255.255.0 dns-server 212.75.210.62 domain-name savsregion default-router 192.168.40.1 ! ! ip cef ip domain name k.ru ip name-server * ip name-server * no ipv6 cef ! ! multilink bundle-name authenticated vpdn enable ! vpdn-group global ! license udi pid CISCO881-K9 sn F-B license boot module c880-data level advipservices ! ! object-group network NAT-CO-WWW host 91.221..* ! username ---admin privilege 15 secret 5 --- ! ! ! ! ! ! crypto isakmp policy 5 encr aes 256 authentication pre-share group 5 lifetime 14400 crypto isakmp key ** address 91.218.. crypto isakmp invalid-spi-recovery crypto isakmp keepalive 60 ! ! crypto ipsec transform-set * * * * ! crypto map vpn_to_hq 10 ipsec-isakmp set peer 91.218.. set security-association lifetime seconds 14400 set transform-set * match address vpn_to_hq ! ! ! ! ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 description WAN$ETH-WAN$ ip address 95.181.. 255.255.255.252 ip nat outside no ip virtual-reassembly in duplex auto speed auto no cdp enable crypto map vpn_to_hq ! interface Vlan1 description LAN ip address 192.168.40.1 255.255.255.0 ip nat inside no ip virtual-reassembly in ! ip forward-protocol nd ip http server ip http access-class 23 ip http authentication local ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ! ! ip nat inside source list NAT interface FastEthernet4 overload ip route 0.0.0.0 0.0.0.0 95.181.53.89 ! ip access-list extended NAT deny ip 192.168.40.0 0.0.0.255 host 91.221.163.15 deny ip 192.168.40.0 0.0.0.255 10.1.135.0 0.0.0.255 deny ip 192.168.40.0 0.0.0.255 10.1.1.0 0.0.0.255 permit ip 192.168.40.0 0.0.0.255 any ip access-list extended inside permit tcp any any ip access-list extended nat_lan_wan deny ip 192.168.40.0 0.0.0.255 10.1.135.0 0.0.0.255 permit ip 192.168.40.0 0.0.0.255 any ip access-list extended outside permit tcp any host 95.181.. eq www permit tcp any host 95.181.. eq 22 permit tcp any host 95.181.. eq ftp permit tcp any host 95.181.. eq telnet permit icmp any host 95.181.. ip access-list extended vpn_to_hq permit ip 192.168.40.0 0.0.0.255 10.1.135.0 0.0.0.255 permit ip 192.168.40.0 0.0.0.255 10.1.1.0 0.0.0.255 permit ip 192.168.40.0 0.0.0.255 host 91.221.163.15 ! logging esm config access-list 10 permit 192.168.40.0 0.0.0.255 access-list 111 permit ip host 192.168.40.28 host 91.221.163.15 access-list 111 permit ip host 192.168.40.28 host 10.1.135.77 dialer-list 1 protocol ip permit no cdp run ! ! ! ! ! end
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "помогите засунуть один сайт в VPN"	+/–
	Сообщение от snooooop (ok) on 23-Июл-13, 12:59
	не знаю как ответить с картинкой, рисунок схемы вот тут есть https://supportforums.cisco.com/thread/2229794?tstart=0
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "помогите засунуть один сайт в VPN"	+/–
	Сообщение от snooooop (ok) on 23-Июл-13, 14:17
	VPN работает, но вот как запихать в него сайт не пойму, вроде всё разрешил, а толку нет
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "помогите засунуть один сайт в VPN"	+/–
	Сообщение от McS555 (ok) on 23-Июл-13, 16:16
	> в 1м офисе зареган IP для работы на сайте, просят пропустить все тачки 2го офиса через > > VPN что бы они для сервиса были с таким же IP...борюсь который день, не могу сделать. Поправь меня У тебя есть роутер. Внешний адрес 95.181.53.90. Шлюз 95.181.53.89. Локалка 192.168.40.0/24 Есть ASA к которой постороен vpn. Внешний адрес 95.181.. . Локалка 10.1.135.0/24. Есть сайт с адресом 91.221.163.26 (или 91.221.163.15). Так вот не совсем понятно с какого адреса разрешен доступ? С 95.181.. (WAN ASA)??
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "помогите засунуть один сайт в VPN"	+/–
	Сообщение от snooooop (ok) on 24-Июл-13, 05:55
	спасибо за общение! На сайт разрешен доступ с IP ASA. Соответственно, мне нужно, завернуть трафик из сети 192.168.40.0/24 в VPN чтоб у него соурс IP стал=WAN ASA..
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "помогите засунуть один сайт в VPN"	+/–
	Сообщение от McS555 (ok) on 24-Июл-13, 10:07
	> спасибо за общение! > На сайт разрешен доступ с IP ASA. > Соответственно, мне нужно, завернуть трафик из сети 192.168.40.0/24 в VPN чтоб у > него соурс IP стал=WAN ASA.. Блин, надо подумать... Если б у тебя с двух сторон стоял роутер, то проблем не было. Был бы к примеру gre тунель, на которых настроен нат. У тебя сейчас как раз так и выходит, с роутера пакеты улетают, даже до сайта доходят, но вернувшись на ASA не знают куда идти дальше (на сколько я знаю, АSA не может не gre, не loopback , и даже была идея с pptp сервером, и то не умеет). Вообщем надо еще подумать
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "помогите засунуть один сайт в VPN"	+/–
	Сообщение от snooooop (ok) on 25-Июл-13, 06:10
	>[оверквотинг удален] >> На сайт разрешен доступ с IP ASA. >> Соответственно, мне нужно, завернуть трафик из сети 192.168.40.0/24 в VPN чтоб у >> него соурс IP стал=WAN ASA.. > Блин, надо подумать... Если б у тебя с двух сторон стоял роутер, > то проблем не было. Был бы к примеру gre тунель, на > которых настроен нат. У тебя сейчас как раз так и выходит, > с роутера пакеты улетают, даже до сайта доходят, но вернувшись на > ASA не знают куда идти дальше (на сколько я знаю, АSA > не может не gre, не loopback , и даже была идея > с pptp сервером, и то не умеет). Вообщем надо еще подумать я easyVPN настроил, в общем то же самое, локалку пингую, а сайт - нет.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "помогите засунуть один сайт в VPN"	+/–
	Сообщение от McS555 (ok) on 30-Июл-13, 18:26
	>[оверквотинг удален] >>> него соурс IP стал=WAN ASA.. >> Блин, надо подумать... Если б у тебя с двух сторон стоял роутер, >> то проблем не было. Был бы к примеру gre тунель, на >> которых настроен нат. У тебя сейчас как раз так и выходит, >> с роутера пакеты улетают, даже до сайта доходят, но вернувшись на >> ASA не знают куда идти дальше (на сколько я знаю, АSA >> не может не gre, не loopback , и даже была идея >> с pptp сервером, и то не умеет). Вообщем надо еще подумать > я easyVPN настроил, в общем то же самое, локалку пингую, а сайт > - нет. если еще актуально получилось собрать схемку на gns ____________________________________________ ASA2# sh ver Cisco Adaptive Security Appliance Software Version 8.0(2) ISR#sh version Cisco IOS Software, 2600 Software (C2691-ADVSECURITYK9-M), Version 12.3(11)T4, RELEASE SOFTWARE (fc4) ________________________________________________________ Со стороны маршрутера все ок. На ASA сделал нужную сайт с адресом 10,0,244,1 ! interface Ethernet0/0 nameif outside security-level 0 ip address 10.0.248.14 255.255.255.252 ! interface Ethernet0/1 nameif inside security-level 100 ip address 172.18.9.1 255.255.255.0 ! interface Ethernet0/2 shutdown no nameif no security-level no ip address ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Ethernet0/4 shutdown no nameif no security-level no ip address ! interface Ethernet0/5 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive same-security-traffic permit intra-interface access-list WORK extended permit ip any any access-list NONAT extended permit ip 172.18.9.0 255.255.255.0 172.18.10.0 255.255.255.0 access-list OUTSIDE_IN_ACL extended permit ip any any access-list CRYPTO extended permit ip 172.18.9.0 255.255.255.0 172.18.10.0 255.255.255.0 access-list CRYPTO extended permit ip host 10.0.244.1 172.18.10.0 255.255.255.0 access-list NATPOOL extended permit ip 172.18.9.0 255.255.255.0 any access-list 101 extended permit ip 172.18.10.0 255.255.255.0 host 10.0.244.1 pager lines 24 mtu inside 1500 mtu outside 1500 no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 global (outside) 12 interface nat (inside) 0 access-list NONAT nat (inside) 12 access-list NATPOOL nat (outside) 12 access-list 101 access-group WORK in interface inside access-group OUTSIDE_IN_ACL in interface outside route outside 0.0.0.0 0.0.0.0 10.0.248.13 1 route outside 172.18.10.0 255.255.255.0 10.0.248.13 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set vpn-set esp-3des esp-md5-hmac crypto map co-vpn 1 match address CRYPTO crypto map co-vpn 1 set peer 10.0.248.2 crypto map co-vpn 1 set transform-set vpn-set crypto map co-vpn interface outside crypto isakmp enable outside crypto isakmp policy 1 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto isakmp policy 10 authentication pre-share encryption 3des hash md5 group 2 lifetime 3600 crypto isakmp policy 65535 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list ! ! username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 15 tunnel-group 10.0.248.2 type ipsec-l2l tunnel-group 10.0.248.2 ipsec-attributes pre-shared-key * ---------------------------------- ASA2# sh xlate 4 in use, 4 most used PAT Global 10.0.248.14(1026) Local 172.18.10.2(58457) PAT Global 10.0.248.14(10) Local 172.18.10.2 ICMP id 44551 PAT Global 10.0.248.14(1027) Local 172.18.9.2(56394) PAT Global 10.0.248.14(11) Local 172.18.9.2 ICMP id 20487
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "помогите засунуть один сайт в VPN"	+/–
	Сообщение от snooooop (ok) on 06-Авг-13, 06:02
	>[оверквотинг удален] > tunnel-group 10.0.248.2 type ipsec-l2l > tunnel-group 10.0.248.2 ipsec-attributes > pre-shared-key * > ---------------------------------- > ASA2# sh xlate > 4 in use, 4 most used > PAT Global 10.0.248.14(1026) Local 172.18.10.2(58457) > PAT Global 10.0.248.14(10) Local 172.18.10.2 ICMP id 44551 > PAT Global 10.0.248.14(1027) Local 172.18.9.2(56394) > PAT Global 10.0.248.14(11) Local 172.18.9.2 ICMP id 20487 приветствую! да, актуальность есть. буду пробовать. спасибо!! о результате отпишусь.
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	14. "помогите засунуть один сайт в VPN"	+/–
	Сообщение от McS555 (ok) on 19-Авг-13, 10:04
	>[оверквотинг удален] >> 4 in use, 4 most used >> PAT Global 10.0.248.14(1026) Local 172.18.10.2(58457) >> PAT Global 10.0.248.14(10) Local 172.18.10.2 ICMP id 44551 >> PAT Global 10.0.248.14(1027) Local 172.18.9.2(56394) >> PAT Global 10.0.248.14(11) Local 172.18.9.2 ICMP id 20487 > приветствую! > да, актуальность есть. > буду пробовать. > спасибо!! > о результате отпишусь. и как?
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору