 NAT через туннель.... HELP!!,  chart, 21-Дек-04, 19:29 [смотреть все]помогите разобраться с NAT
нужно организовать шифр.туннель между оффисами, причем в туннеле должны быть
связанны внутренние сети оффисов...
построил туннель-работает, поднял ipsec-работает, но внутренние сети друг друга не видят, видимо нужен NATТоесть нужно связать по шифрованному туннелю 10.10.221.0 и 10.10.223.0 на обоих рутерах
s0 - внешний ip
e0 - внешний и внутренний ip addr sec конфиг рутера 1
--------------------------------------------------------------------------------------------
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 82.82.82.82
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer 82.82.82.82
set transform-set strong
match address 101
!
interface Tunnel0
ip address 192.168.1.1 255.255.255.252
tunnel source Serial0/0
tunnel destination 82.82.82.82
crypto map vpn
!
interface FastEthernet0/0
ip address 10.10.221.251 255.255.255.0 secondary
ip address 217.69.200.213 255.255.255.252 interface Serial0/0
ip address 217.69.223.6 255.255.255.252
crypto map vpn ip route 10.10.223.0 255.255.255.0 Tunnel0 access-list 101 permit gre host 217.69.223.6 host 82.82.82.82
--------------------------------------------------------------------------------------------- роутер 2 crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 217.69.223.6
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer 217.69.223.6
set transform-set strong
match address 101 interface Tunnel0
ip address 192.168.1.2 255.255.255.252
no keepalive
tunnel source Serial0
tunnel destination 217.69.223.6
crypto map vpn interface Ethernet0
ip address 10.10.223.3 255.255.255.0 secondary
ip address 62.62.133.133 255.255.255.252 interface Serial0
ip address 82.82.82.82 255.255.255.252
crypto map vpn ip route 10.10.0.0 255.255.0.0 Tunnel0 access-list 101 permit gre host 82.82.82.82 host 217.69.223.6 помогите с натом, плиз...неполучается
|
- NAT через туннель.... HELP!!, pwn, 21:06 , 21-Дек-04 (1)
- NAT через туннель.... HELP!!, chart, 09:57 , 22-Дек-04 (2)
нет, компы знают...все собственно работает только без шифрования, поднимая шифрование нужно изменить access-list на адреса внешн.(s0)
....в этом случае шиврование поднимается но естесно врутр сети не видят друг друга..... поэтому переброску пакетов наверное нужно сделать через НАТ...может так к примеру ip nat inside source static 10.10.221.? <адрес s0 с другого конца тунеля>
я не уверен....так будет рвботать? или как лучше?
- NAT через туннель.... HELP!!, pwn, 11:22 , 22-Дек-04 (3)
- NAT через туннель.... HELP!!, ВОЛКА, 11:37 , 22-Дек-04 (5)
- NAT через туннель.... HELP!!, chart, 11:45 , 22-Дек-04 (6)
ping 10.10.223.3 source 10.10.221.251 проходят (это sec ip адреса интерфейсов E0 на обоих концах туннеля) , собственно у меня все сейчас работает сети видят друг друга и т.д. но не поднимается ipsec потому как в access-list должны быть ip source и destination туннеляесли я меняю адреса то туннель шифруется и все ок, но естесно сеть 10.10.221.0 перестает видить 10.10.223.0
- NAT через туннель.... HELP!!, jomb, 13:39 , 22-Дек-04 (8)
- NAT через туннель.... HELP!!, chart, 13:46 , 22-Дек-04 (9)
да, но разве шифрование поддержится в данном случае? по факту меняется только правило с gre на ip и с хоста на сеть....что это дает? расскажите пожалуйста
- NAT через туннель.... HELP!!, jomb, 14:14 , 22-Дек-04 (10)
- NAT через туннель.... HELP!!, chart, 15:52 , 22-Дек-04 (12)
сделал как на вашем примере....
даю команды
sh crypto isakmp sa
sh crypto ipsec sa
sh crypto engine connect activeПУСТО!!!! шифрования нет!
- NAT через туннель.... HELP!!, jomb, 17:14 , 22-Дек-04 (13)
- NAT через туннель.... HELP!!, chart, 17:33 , 22-Дек-04 (14)
cisco 2610 и 805
ios 12.2
по debug ничего не показывает...!
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 82.82.82.82
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer 82.82.82.82
set transform-set strong
match address 101
!
!
!
!
!
!
!
interface Tunnel0
ip address 192.168.1.1 255.255.255.252
tunnel source Serial0/0
tunnel destination 82.142.136.210
crypto map vpn
!
interface FastEthernet0/0
ip address 10.10.221.251 255.255.255.0 secondary
logging event subif-link-status
speed auto
full-duplex
no cdp enable
no mop enabled
!
interface Serial0/0
ip address 217.69.223.6 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
no fair-queue
no cdp enable
crypto map vpn
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 217.69.223.5
ip route 10.10.223.0 255.255.255.0 Tunnel0 !
no ip http server
no ip http secure-server
!
! access-list 101 permit ip 10.10.223.0 0.0.0.255 10.10.221.0 0.0.0.255
- NAT через туннель.... HELP!!, ВОЛКА, 17:56 , 22-Дек-04 (15)
- NAT через туннель.... HELP!!, chart, 18:10 , 22-Дек-04 (17)
конфиг 1
ip cef
ip name-server 217.69.192.135
ip name-server 217.69.192.133
ip audit notify log
ip audit po max-events 100
ip ssh break-string
no ftp-server write-enable
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 82.82.82.82!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer 82.142.136.210
set transform-set strong
match address 101
!
interface Tunnel0
ip address 192.168.1.1 255.255.255.252
tunnel source Serial0/0
tunnel destination 82.142.136.210
crypto map vpn
!
interface FastEthernet0/0
ip address 10.10.221.251 255.255.255.0 secondary
logging event subif-link-status
speed auto
full-duplex
no cdp enable
no mop enabled
!
interface Serial0/0
ip address 217.69.223.6 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
no fair-queue
no cdp enable
crypto map vpn
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 217.69.223.5
ip route 10.10.223.0 255.255.255.0 Tunnel0
!
! access-list 102 permit gre host 217.69.223.6 host 82.82.82.82 ---------------------------------------------------------------- конфиг 2 clock timezone Msk 3
ip subnet-zero
!
ip name-server 194.85.129.80
ip name-server 194.85.128.10
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco123 address 217.69.223.6
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
mode transport
!
crypto map vpn 10 ipsec-isakmp
set peer 217.69.223.6
set transform-set strong
match address 101
!
!
!
!
interface Tunnel0
ip address 192.168.2.2 255.255.255.252
no keepalive
tunnel source Serial0
tunnel destination 217.69.223.6
crypto map vpn
!
interface Ethernet0
ip address 10.10.224.3 255.255.255.0 secondary
no ip mroute-cache
!
interface Serial0
ip address 82.82.82.82 255.255.255.252
no ip mroute-cache
no fair-queue
crypto map vpn
!
ip classless
ip route 0.0.0.0 0.0.0.0 194.85.147.53
ip route 10.10.0.0 255.255.0.0 Tunnel0
no ip http server
ip pim bidir-enable
!
! access-list 101 permit gre host 82.82.82.82 host 217.69.223.6 ПРИ ТАКОМ КОНФИГЕ ТУННЕЛЬ РАБОТАЕТ, IPSEC ПОДНИМАЕТСЯ ...НО, НУЖНО ЧТОБ ВИДИЛИСЬ ВНУТРЕННИЕ СЕТКИ (10.10.221.0 должна видить 10.10.223.0) и строки типа ip route 10.10.0.0 255.255.0.0 Tunnel0 не помогают
- NAT через туннель.... HELP!!, jomb, 18:02 , 22-Дек-04 (16)
|
Версия для распечатки
