https://www.opennet.ru/openforum/vsluhforumID6/881.html привет всем.<br>есть такая задача, 2 офиса, между ними VPN, <br>(2)192.168.168.40.0/24---40.1LAN[ISR]wan=====VPN====wan[ASA]LAN135.2----10.1.135.0/24(1)<br> <br><br>в 1м офисе зареган IP для работы на сайте, просят пропустить все тачки 2го офиса через VPN что бы они для сервиса были с таким же IP...борюсь который день, не могу сделать.<br><br>на рутере 2го офиса в нат запихал правило, которе денаит нужный сайт<br>Код:<br><br>ip access-list extended NAT<br> deny ip 192.168.40.0 0.0.0.255 host 91.221.163.15<br> deny ip 192.168.40.0 0.0.0.255 10.1.135.0 0.0.0.255<br> deny ip 192.168.40.0 0.0.0.255 10.1.1.0 0.0.0.255<br> permit ip 192.168.40.0 0.0.0.255 any<br><br>и правило разрешающее лезть в VPN<br>Код:<br><br>ip access-list extended vpn_to_hq<br> permit ip 192.168.40.0 0.0.0.255 host 91.221.163.15<br> permit ip 192.168.40.0 0.0.0.255 10.1.135.0 0.0.0.255<br> permit ip 192.168.40.0 0.0.0.255 10.1.1.0 0.0.0.255<br><br><br>в голове стоит ASA, как и что там настроить ума не приложу...<br>но судя по стат https://www.opennet.ru/openforum/vsluhforumID6/881.html#14 Mon, 19 Aug 2013 06:04:41 GMT &gt;[оверквотинг удален]<br>&gt;&gt; 4 in use, 4 most used <br>&gt;&gt; PAT Global 10.0.248.14(1026) Local 172.18.10.2(58457) <br>&gt;&gt; PAT Global 10.0.248.14(10) Local 172.18.10.2 ICMP id 44551 <br>&gt;&gt; PAT Global 10.0.248.14(1027) Local 172.18.9.2(56394) <br>&gt;&gt; PAT Global 10.0.248.14(11) Local 172.18.9.2 ICMP id 20487 <br>&gt; приветствую!<br>&gt; да, актуальность есть.<br>&gt; буду пробовать.<br>&gt; спасибо!!<br>&gt; о результате отпишусь.<br><br>и как?<br> https://www.opennet.ru/openforum/vsluhforumID6/881.html#13 Tue, 06 Aug 2013 02:02:38 GMT &gt;[оверквотинг удален]<br>&gt; tunnel-group 10.0.248.2 type ipsec-l2l <br>&gt; tunnel-group 10.0.248.2 ipsec-attributes <br>&gt; pre-shared-key * <br>&gt; ---------------------------------- <br>&gt; ASA2# sh xlate <br>&gt; 4 in use, 4 most used <br>&gt; PAT Global 10.0.248.14(1026) Local 172.18.10.2(58457) <br>&gt; PAT Global 10.0.248.14(10) Local 172.18.10.2 ICMP id 44551 <br>&gt; PAT Global 10.0.248.14(1027) Local 172.18.9.2(56394) <br>&gt; PAT Global 10.0.248.14(11) Local 172.18.9.2 ICMP id 20487 <br><br>приветствую!<br>да, актуальность есть.<br>буду пробовать.<br>спасибо!!<br>о результате отпишусь.<br> https://www.opennet.ru/openforum/vsluhforumID6/881.html#12 Tue, 30 Jul 2013 14:26:17 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; него соурс IP стал=WAN ASA..<br>&gt;&gt; Блин, надо подумать... Если б у тебя с двух сторон стоял роутер, <br>&gt;&gt; то проблем не было. Был бы к примеру gre тунель, на <br>&gt;&gt; которых настроен нат. У тебя сейчас как раз так и выходит, <br>&gt;&gt; с роутера пакеты улетают, даже до сайта доходят, но вернувшись на <br>&gt;&gt; ASA не знают куда идти дальше (на сколько я знаю, АSA <br>&gt;&gt; не может не gre, не loopback , и даже была идея <br>&gt;&gt; с pptp сервером, и то не умеет). Вообщем надо еще подумать <br>&gt; я easyVPN настроил, в общем то же самое, локалку пингую, а сайт <br>&gt; - нет.<br><br>если еще актуально получилось собрать схемку на gns<br><br>____________________________________________<br><br>ASA2# sh ver<br><br>Cisco Adaptive Security Appliance Software Version 8.0(2)<br><br>ISR#sh version<br>Cisco IOS Software, 2600 Software (C2691-ADVSECURITYK9-M), Version 12.3(11)T4, RELEASE SOFTWARE (fc4)<br><br>________________________________________________________<br><br><br>Со стороны маршрутера все ок. На ASA сделал нужную сайт с адресом 10,0,244,1<br><br>!<br>in https://www.opennet.ru/openforum/vsluhforumID6/881.html#11 Thu, 25 Jul 2013 02:10:23 GMT &gt;[оверквотинг удален]<br>&gt;&gt; На сайт разрешен доступ с IP ASA.<br>&gt;&gt; Соответственно, мне нужно, завернуть трафик из сети 192.168.40.0/24 в VPN чтоб у <br>&gt;&gt; него соурс IP стал=WAN ASA..<br>&gt; Блин, надо подумать... Если б у тебя с двух сторон стоял роутер, <br>&gt; то проблем не было. Был бы к примеру gre тунель, на <br>&gt; которых настроен нат. У тебя сейчас как раз так и выходит, <br>&gt; с роутера пакеты улетают, даже до сайта доходят, но вернувшись на <br>&gt; ASA не знают куда идти дальше (на сколько я знаю, АSA <br>&gt; не может не gre, не loopback , и даже была идея <br>&gt; с pptp сервером, и то не умеет). Вообщем надо еще подумать <br><br>я easyVPN настроил, в общем то же самое, локалку пингую, а сайт - нет.<br> <br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/881.html#10 Wed, 24 Jul 2013 06:07:34 GMT &gt; спасибо за общение!<br>&gt; На сайт разрешен доступ с IP ASA.<br>&gt; Соответственно, мне нужно, завернуть трафик из сети 192.168.40.0/24 в VPN чтоб у <br>&gt; него соурс IP стал=WAN ASA..<br><br>Блин, надо подумать... Если б у тебя с двух сторон стоял роутер, то проблем не было. Был бы к примеру gre тунель, на которых настроен нат. У тебя сейчас как раз так и выходит, с роутера пакеты улетают, даже до сайта доходят, но вернувшись на ASA не знают куда идти дальше (на сколько я знаю, АSA не может не gre, не loopback , и даже была идея с pptp сервером, и то не умеет). Вообщем надо еще подумать<br> https://www.opennet.ru/openforum/vsluhforumID6/881.html#9 Wed, 24 Jul 2013 01:55:14 GMT спасибо за общение!<br><br>На сайт разрешен доступ с IP ASA. <br>Соответственно, мне нужно, завернуть трафик из сети 192.168.40.0/24 в VPN чтоб у него соурс IP стал=WAN ASA..<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/881.html#8 Tue, 23 Jul 2013 12:16:31 GMT <br><br>&gt; в 1м офисе зареган IP для работы на сайте, просят пропустить все тачки 2го офиса через &gt; &gt; VPN что бы они для сервиса были с таким же IP...борюсь который день, не могу сделать.<br><br>Поправь меня<br><br>У тебя есть роутер. Внешний адрес 95.181.53.90. Шлюз 95.181.53.89. Локалка 192.168.40.0/24<br><br>Есть ASA к которой постороен vpn. Внешний адрес 95.181.*.* . Локалка 10.1.135.0/24.<br><br>Есть сайт с адресом 91.221.163.26 (или 91.221.163.15).<br><br>Так вот не совсем понятно с какого адреса разрешен доступ? С 95.181.*.* (WAN ASA)??<br> https://www.opennet.ru/openforum/vsluhforumID6/881.html#7 Tue, 23 Jul 2013 10:17:50 GMT VPN работает, но вот как запихать в него сайт не пойму, вроде всё разрешил, а толку нет<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/881.html#6 Tue, 23 Jul 2013 08:59:17 GMT не знаю как ответить с картинкой, рисунок схемы вот тут есть<br>https://supportforums.cisco.com/thread/2229794?tstart=0<br>