forum.opennet.ru

Составление сообщения

Исходное сообщение

"IPSec на loopback + nat на loopback."
Отправлено ShyLion, 19-Фев-15 17:21

>>> Loopback для того, чтобы настроить PAT к 192.168.20.4, через адрес который на
>>> нем(lo) висит.
>>> Можешь конкретней рассказать о негодовании по поводу использования лупбека?
>> Для НАТ наличие интерфейса не обязательно а местами даже вредно, ибо роутер
>> часть трафика будет считать "своим"
> В условиях когда клиенту нельзя видеть на прямую сети в которой находится
> сервер(ssh), что мне оставалось сделать?
Чтобы транслировать адреса, не обязательно эти адреса иметь на каком-то интерфейсе.
Главное чтобы пакеты с такими адресами как-то заходили в роутер, например посредством тунеля и с правильной стороны (inside/outside).
простой пример:
(10.0.1.0/24) - (fas0/0 ip: .1)(R1)(fas0/1 ip: r1.r1.r1.r1)-(inet)-(fas0/1 ip:r2.r2.r2.r2)(R2)(fas0/1 ip: .1)-(192.168.0.0/24)
Пользователи со стороны R1 - крупное предприятие и совершенно справедливо считает лузерами тех, кто в локалке а не домашней сети заводит сеть 192.168.0.0/24.
Чтобы как-то дать доступ к своим ресурсам сети R2, они им с барского плеча выдали сетку 10.0.2.0/24, мол наттесь с нее и не колупайте нам мозг.
тогда на R1:

!
! всекие там политики, ключи, протоколы и т.п.
!
int fas0/0
  ip address 10.0.1.1 255.255.255.0
int fas0/1
  ip address r1.r1.r1.r1
  crypto map OUTSIDE
!
crypto map OUTSIDE 10 ipsec-isakmp
  set peer r2.r2.r2.r2
  match address 100
  ! прочая требуха
!
ip access-list extended 100
permit ip 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255
!
ip route 10.0.2.0 255.255.255.0 в интернет
А на R2:

!
! всекие там политики, ключи, протоколы и т.п.
!
int fas0/0
  ip address 192.168.0.1 255.255.255.0
  ip nat inside
int fas0/1
  ip address r2.r2.r2.r2
  ip nat outside
  crypto map OUTSIDE
!
crypto map OUTSIDE 10 ipsec-isakmp
  set peer r1.r1.r1.r1
  match address 100
  ! прочая требуха
!
!
! заметь, что в этом листе ни слова про 192.168.0.0/24
ip access-list extended 100
permit ip 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
!
ip access-list extended 101
permit ip 192.168.0.0 0.0.0.255 10.0.1.0 0.0.0.255
!
ip nat pool pool10 10.0.2.0 10.0.2.255 netmask 255.255.255.0
ip nat inside source static list 101 pool pool10
!
!
ip route 10.0.1.0 255.255.255.0 в интернет
удаленная сторона будет видеть траффик от выданой сети

Исходное сообщение
"IPSec на loopback + nat на loopback." Отправлено ShyLion, 19-Фев-15 17:21
>>> Loopback для того, чтобы настроить PAT к 192.168.20.4, через адрес который на >>> нем(lo) висит. >>> Можешь конкретней рассказать о негодовании по поводу использования лупбека? >> Для НАТ наличие интерфейса не обязательно а местами даже вредно, ибо роутер >> часть трафика будет считать "своим" > В условиях когда клиенту нельзя видеть на прямую сети в которой находится > сервер(ssh), что мне оставалось сделать? Чтобы транслировать адреса, не обязательно эти адреса иметь на каком-то интерфейсе. Главное чтобы пакеты с такими адресами как-то заходили в роутер, например посредством тунеля и с правильной стороны (inside/outside). простой пример: (10.0.1.0/24) - (fas0/0 ip: .1)(R1)(fas0/1 ip: r1.r1.r1.r1)-(inet)-(fas0/1 ip:r2.r2.r2.r2)(R2)(fas0/1 ip: .1)-(192.168.0.0/24) Пользователи со стороны R1 - крупное предприятие и совершенно справедливо считает лузерами тех, кто в локалке а не домашней сети заводит сеть 192.168.0.0/24. Чтобы как-то дать доступ к своим ресурсам сети R2, они им с барского плеча выдали сетку 10.0.2.0/24, мол наттесь с нее и не колупайте нам мозг. тогда на R1: ! ! всекие там политики, ключи, протоколы и т.п. ! int fas0/0 ip address 10.0.1.1 255.255.255.0 int fas0/1 ip address r1.r1.r1.r1 crypto map OUTSIDE ! crypto map OUTSIDE 10 ipsec-isakmp set peer r2.r2.r2.r2 match address 100 ! прочая требуха ! ip access-list extended 100 permit ip 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255 ! ip route 10.0.2.0 255.255.255.0 в интернет А на R2: ! ! всекие там политики, ключи, протоколы и т.п. ! int fas0/0 ip address 192.168.0.1 255.255.255.0 ip nat inside int fas0/1 ip address r2.r2.r2.r2 ip nat outside crypto map OUTSIDE ! crypto map OUTSIDE 10 ipsec-isakmp set peer r1.r1.r1.r1 match address 100 ! прочая требуха ! ! ! заметь, что в этом листе ни слова про 192.168.0.0/24 ip access-list extended 100 permit ip 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255 ! ip access-list extended 101 permit ip 192.168.0.0 0.0.0.255 10.0.1.0 0.0.0.255 ! ip nat pool pool10 10.0.2.0 10.0.2.255 netmask 255.255.255.0 ip nat inside source static list 101 pool pool10 ! ! ip route 10.0.1.0 255.255.255.0 в интернет удаленная сторона будет видеть траффик от выданой сети

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>>> Loopback для того, чтобы настроить PAT к 192.168.20.4, через адрес который на 
>>>> нем(lo) висит.
>>>> Можешь конкретней рассказать о негодовании по поводу использования лупбека?
>>> Для НАТ наличие интерфейса не обязательно а местами даже вредно, ибо роутер 
>>> часть трафика будет считать "своим" 
>> В условиях когда клиенту нельзя видеть на прямую сети в которой находится 
>> сервер(ssh), что мне оставалось сделать?

> Чтобы транслировать адреса, не обязательно эти адреса иметь на каком-то интерфейсе.
> Главное чтобы пакеты с такими адресами как-то заходили в роутер, например посредством 
> тунеля и с правильной стороны (inside/outside).

> простой пример:

> (10.0.1.0/24) - (fas0/0 ip: .1)(R1)(fas0/1 ip: r1.r1.r1.r1)-(inet)-(fas0/1 ip:r2.r2.r2.r2)(R2)(fas0/1 
> ip: .1)-(192.168.0.0/24)

> Пользователи со стороны R1 - крупное предприятие и совершенно справедливо считает лузерами 
> тех, кто в локалке а не домашней сети заводит сеть 192.168.0.0/24. 
 
> Чтобы как-то дать доступ к своим ресурсам сети R2, они им с 
> барского плеча выдали сетку 10.0.2.0/24, мол наттесь с нее и не 
> колупайте нам мозг.

> тогда на R1:

> [code] 
> !
> ! всекие там политики, ключи, протоколы и т.п.
> !
> int fas0/0 
>   ip address 10.0.1.1 255.255.255.0 
> int fas0/1 
>   ip address r1.r1.r1.r1 
>   crypto map OUTSIDE 
> !
> crypto map OUTSIDE 10 ipsec-isakmp 
>   set peer r2.r2.r2.r2 
>   match address 100 
>   ! прочая требуха 
> !
> ip access-list extended 100 
>  permit ip 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255 
> !
> ip route 10.0.2.0 255.255.255.0 в интернет 
> [/code]

> А на R2:

> [code] 
> !
> ! всекие там политики, ключи, протоколы и т.п.
> !
> int fas0/0 
>   ip address 192.168.0.1 255.255.255.0 
>   ip nat inside 
> int fas0/1 
>   ip address r2.r2.r2.r2 
>   ip nat outside 
>   crypto map OUTSIDE 
> !
> crypto map OUTSIDE 10 ipsec-isakmp 
>   set peer r1.r1.r1.r1 
>   match address 100 
>   ! прочая требуха 
> !
> !
> ! заметь, что в этом листе ни слова про 192.168.0.0/24 
> ip access-list extended 100 
>  permit ip 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255 
> !
> ip access-list extended 101 
>  permit ip 192.168.0.0 0.0.0.255 10.0.1.0 0.0.0.255 
> !
> ip nat pool pool10 10.0.2.0 10.0.2.255 netmask 255.255.255.0 
> ip nat inside source static list 101 pool pool10 
> !
> !
> ip route 10.0.1.0 255.255.255.0 в интернет 
> [/code]

> удаленная сторона будет видеть траффик от выданой сети

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру