NAT через туннель.... HELP!!, chart, 21-Дек-04, 19:29 [смотреть все]помогите разобраться с NAT нужно организовать шифр.туннель между оффисами, причем в туннеле должны быть связанны внутренние сети оффисов... построил туннель-работает, поднял ipsec-работает, но внутренние сети друг друга не видят, видимо нужен NATТоесть нужно связать по шифрованному туннелю 10.10.221.0 и 10.10.223.0 на обоих рутерах s0 - внешний ip e0 - внешний и внутренний ip addr sec конфиг рутера 1 -------------------------------------------------------------------------------------------- crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key cisco123 address 82.82.82.82 ! crypto ipsec transform-set strong esp-3des esp-md5-hmac ! crypto map vpn 10 ipsec-isakmp set peer 82.82.82.82 set transform-set strong match address 101 ! interface Tunnel0 ip address 192.168.1.1 255.255.255.252 tunnel source Serial0/0 tunnel destination 82.82.82.82 crypto map vpn ! interface FastEthernet0/0 ip address 10.10.221.251 255.255.255.0 secondary ip address 217.69.200.213 255.255.255.252 interface Serial0/0 ip address 217.69.223.6 255.255.255.252 crypto map vpn ip route 10.10.223.0 255.255.255.0 Tunnel0 access-list 101 permit gre host 217.69.223.6 host 82.82.82.82 --------------------------------------------------------------------------------------------- роутер 2 crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key cisco123 address 217.69.223.6 ! ! crypto ipsec transform-set strong esp-3des esp-md5-hmac ! crypto map vpn 10 ipsec-isakmp set peer 217.69.223.6 set transform-set strong match address 101 interface Tunnel0 ip address 192.168.1.2 255.255.255.252 no keepalive tunnel source Serial0 tunnel destination 217.69.223.6 crypto map vpn interface Ethernet0 ip address 10.10.223.3 255.255.255.0 secondary ip address 62.62.133.133 255.255.255.252 interface Serial0 ip address 82.82.82.82 255.255.255.252 crypto map vpn ip route 10.10.0.0 255.255.0.0 Tunnel0 access-list 101 permit gre host 82.82.82.82 host 217.69.223.6 помогите с натом, плиз...неполучается
|
- NAT через туннель.... HELP!!, pwn, 21:06 , 21-Дек-04 (1)
- NAT через туннель.... HELP!!, chart, 09:57 , 22-Дек-04 (2)
нет, компы знают...все собственно работает только без шифрования, поднимая шифрование нужно изменить access-list на адреса внешн.(s0) ....в этом случае шиврование поднимается но естесно врутр сети не видят друг друга..... поэтому переброску пакетов наверное нужно сделать через НАТ...может так к примеру ip nat inside source static 10.10.221.? <адрес s0 с другого конца тунеля> я не уверен....так будет рвботать? или как лучше?
- NAT через туннель.... HELP!!, pwn, 11:22 , 22-Дек-04 (3)
- NAT через туннель.... HELP!!, ВОЛКА, 11:37 , 22-Дек-04 (5)
- NAT через туннель.... HELP!!, chart, 11:45 , 22-Дек-04 (6)
ping 10.10.223.3 source 10.10.221.251 проходят (это sec ip адреса интерфейсов E0 на обоих концах туннеля) , собственно у меня все сейчас работает сети видят друг друга и т.д. но не поднимается ipsec потому как в access-list должны быть ip source и destination туннеляесли я меняю адреса то туннель шифруется и все ок, но естесно сеть 10.10.221.0 перестает видить 10.10.223.0
- NAT через туннель.... HELP!!, jomb, 13:39 , 22-Дек-04 (8)
- NAT через туннель.... HELP!!, chart, 13:46 , 22-Дек-04 (9)
да, но разве шифрование поддержится в данном случае? по факту меняется только правило с gre на ip и с хоста на сеть....что это дает? расскажите пожалуйста
- NAT через туннель.... HELP!!, jomb, 14:14 , 22-Дек-04 (10)
- NAT через туннель.... HELP!!, chart, 15:52 , 22-Дек-04 (12)
сделал как на вашем примере.... даю команды sh crypto isakmp sa sh crypto ipsec sa sh crypto engine connect activeПУСТО!!!! шифрования нет!
- NAT через туннель.... HELP!!, jomb, 17:14 , 22-Дек-04 (13)
- NAT через туннель.... HELP!!, chart, 17:33 , 22-Дек-04 (14)
cisco 2610 и 805 ios 12.2 по debug ничего не показывает...! ! crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key cisco123 address 82.82.82.82 ! ! crypto ipsec transform-set strong esp-3des esp-md5-hmac ! crypto map vpn 10 ipsec-isakmp set peer 82.82.82.82 set transform-set strong match address 101 ! ! ! ! ! ! ! interface Tunnel0 ip address 192.168.1.1 255.255.255.252 tunnel source Serial0/0 tunnel destination 82.142.136.210 crypto map vpn ! interface FastEthernet0/0 ip address 10.10.221.251 255.255.255.0 secondary logging event subif-link-status speed auto full-duplex no cdp enable no mop enabled ! interface Serial0/0 ip address 217.69.223.6 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp no fair-queue no cdp enable crypto map vpn ! ! ip classless ip route 0.0.0.0 0.0.0.0 217.69.223.5 ip route 10.10.223.0 255.255.255.0 Tunnel0 ! no ip http server no ip http secure-server ! ! access-list 101 permit ip 10.10.223.0 0.0.0.255 10.10.221.0 0.0.0.255
- NAT через туннель.... HELP!!, ВОЛКА, 17:56 , 22-Дек-04 (15)
- NAT через туннель.... HELP!!, chart, 18:10 , 22-Дек-04 (17)
конфиг 1 ip cef ip name-server 217.69.192.135 ip name-server 217.69.192.133 ip audit notify log ip audit po max-events 100 ip ssh break-string no ftp-server write-enable ! ! crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key cisco123 address 82.82.82.82! ! crypto ipsec transform-set strong esp-3des esp-md5-hmac ! crypto map vpn 10 ipsec-isakmp set peer 82.142.136.210 set transform-set strong match address 101 ! interface Tunnel0 ip address 192.168.1.1 255.255.255.252 tunnel source Serial0/0 tunnel destination 82.142.136.210 crypto map vpn ! interface FastEthernet0/0 ip address 10.10.221.251 255.255.255.0 secondary logging event subif-link-status speed auto full-duplex no cdp enable no mop enabled ! interface Serial0/0 ip address 217.69.223.6 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp no fair-queue no cdp enable crypto map vpn ! ! ip classless ip route 0.0.0.0 0.0.0.0 217.69.223.5 ip route 10.10.223.0 255.255.255.0 Tunnel0 ! ! access-list 102 permit gre host 217.69.223.6 host 82.82.82.82 ---------------------------------------------------------------- конфиг 2 clock timezone Msk 3 ip subnet-zero ! ip name-server 194.85.129.80 ip name-server 194.85.128.10 ip ssh time-out 120 ip ssh authentication-retries 3 ! crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco123 address 217.69.223.6 ! ! crypto ipsec transform-set strong esp-3des esp-md5-hmac mode transport ! crypto map vpn 10 ipsec-isakmp set peer 217.69.223.6 set transform-set strong match address 101 ! ! ! ! interface Tunnel0 ip address 192.168.2.2 255.255.255.252 no keepalive tunnel source Serial0 tunnel destination 217.69.223.6 crypto map vpn ! interface Ethernet0 ip address 10.10.224.3 255.255.255.0 secondary no ip mroute-cache ! interface Serial0 ip address 82.82.82.82 255.255.255.252 no ip mroute-cache no fair-queue crypto map vpn ! ip classless ip route 0.0.0.0 0.0.0.0 194.85.147.53 ip route 10.10.0.0 255.255.0.0 Tunnel0 no ip http server ip pim bidir-enable ! ! access-list 101 permit gre host 82.82.82.82 host 217.69.223.6 ПРИ ТАКОМ КОНФИГЕ ТУННЕЛЬ РАБОТАЕТ, IPSEC ПОДНИМАЕТСЯ ...НО, НУЖНО ЧТОБ ВИДИЛИСЬ ВНУТРЕННИЕ СЕТКИ (10.10.221.0 должна видить 10.10.223.0) и строки типа ip route 10.10.0.0 255.255.0.0 Tunnel0 не помогают
- NAT через туннель.... HELP!!, jomb, 18:02 , 22-Дек-04 (16)
|