URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 5402
[ Назад ]

Исходное сообщение
"Проброс траффика через IPSec tunnel в интернет и обратно. "
Отправлено ivv , 27-Май-04 17:30

Возник у меня такой вопрос:
Настроил IPSec tunnel между двумя подсетями через инет.Схема примерно как здесь http://noc.tomsk.ru/tmp/router.png.
В качестве R1 используется SOHO 97 (IOS 12.3),за ним сетка 10.1.5.0/24. В качестве R5 стоит PIX 515E (ver.6.1).R2R3R4 - это интернет.
За пиксом R5 есть есть несколько локальных сетей 10.1.x.x
На пиксе помимо прочего поднят НАТ в инет.
Есть еще один роутер в инет (скажем R6) - через него тоже могут ходить  в инет сети 10.1.х.х.
За пиксом стоит стоит еще одна циска (скажем R7) ,к которой подключена сеть 10.1.1.0/24.
Есть некий адрес в инете 1.2.3.4,на который должны достучаться машины из сети 10.1.5.0 (за R1).
IPSec я настроил для адресов 10.1.5.0/24 - 10.1.1.0/24 и 10.1.5.0/24 - 1.2.3.4. между R1-R5.
Вот на SOHO (R1)
crypto map to-office 20 ipsec-isakmp
description VPN to ofice
set peer real-ip-pix (r5)
set security-association lifetime seconds 21600
set transform-set to-office
match address 101
access-list 101 permit ip 10.1.5.0 0.0.0.255 host 1.2.3.4
access-list 101 permit ip 10.1.5.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 150 deny   ip 10.1.5.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 150 deny   ip 10.1.5.0 0.0.0.255 host 1.2.3.4
interface BVI1
ip address real-ip-soho(r1) 255.255.255.252
ip nat outside
crypto map to-office
ip nat inside source list 150 interface BVI1 overload

IPSec туннел поднимается нормально. я могу достучаться до хостов в сети 10.1.1.0 из сети 10.1.5.0  и наоборот.
Но из сети 10.1.5.0 не получаю доступа к внешнему инетовскому адресу 1.2.3.4.
Мне требуется пробросить траффик из 10.1.5.0 к 1.2.3.4 через IPSec туннель,занатить его на пиксе R5 или роутере R6  (требуется,чтобы пакеты на адрес 1.2.3.4 пришли под инетовским адресом R5 или R6).
Кто что мне может посоветовать?

Содержание

Проброс траффика через IPSec tunnel в интернет и обратно. ,Corhaid, 10:10 , 28-Май-04
- Проброс траффика через IPSec tunnel в интернет и обратно. ,ivv, 11:24 , 28-Май-04
  - Проброс траффика через IPSec tunnel в интернет и обратно. ,Corhaid, 07:49 , 29-Май-04

Сообщения в этом обсуждении

"Проброс траффика через IPSec tunnel в интернет и обратно. "
Отправлено Corhaid , 28-Май-04 10:10

>Мне требуется пробросить траффик из 10.1.5.0 к 1.2.3.4 через IPSec туннель,занатить его
>на пиксе R5 или роутере R6 (требуется,чтобы пакеты на адрес
>1.2.3.4 пришли под инетовским адресом R5 или R6).
>
>Кто что мне может посоветовать?
Построить GRE туннель между R1 и R2 и зашифровать его.

"Проброс траффика через IPSec tunnel в интернет и обратно. "
Отправлено ivv , 28-Май-04 11:24

>
>>Мне требуется пробросить траффик из 10.1.5.0 к 1.2.3.4 через IPSec туннель,занатить его
>>на пиксе R5 или роутере R6 (требуется,чтобы пакеты на адрес
>>1.2.3.4 пришли под инетовским адресом R5 или R6).
>>
>>Кто что мне может посоветовать?
>
>Построить GRE туннель между R1 и R2 и зашифровать его.
GRE over IPSec?
Я про него думал уже. Но есть сомнения - (насколько я слышал)некоторые несознательные провы(не мои) режут GRE-протокол (по дурости или еще как), а пакетики бегут по довольно длинному пути.

"Проброс траффика через IPSec tunnel в интернет и обратно. "
Отправлено Corhaid , 29-Май-04 07:49

>>
>>>Мне требуется пробросить траффик из 10.1.5.0 к 1.2.3.4 через IPSec туннель,занатить его
>>>на пиксе R5 или роутере R6 (требуется,чтобы пакеты на адрес
>>>1.2.3.4 пришли под инетовским адресом R5 или R6).
>>>
>>>Кто что мне может посоветовать?
>>
>>Построить GRE туннель между R1 и R2 и зашифровать его.
>
>GRE over IPSec?
>Я про него думал уже. Но есть сомнения - (насколько я слышал)некоторые
>несознательные провы(не мои) режут GRE-протокол (по дурости или еще как), а
>пакетики бегут по довольно длинному пути.
Если я ничего не путаю, то GRE траффик будет инкапсулирован в IPSec и заголовок пакета будет уже не GRE а ESP.