The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"NAT + IPSec"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"NAT + IPSec"  +/
Сообщение от tolik (??) on 06-Июл-10, 17:26 
Добрый всем день!
Помогите разобраться:
          ----R2
        /
R1 /
      \
        \
          ----R3
На R1 на внешнем интерфейсе криптомап и nat outside. Причем при маршрутизации к R2 трансляция должна происходить, а к R3 - нет.
ip access-list extended NAT
  deny ip n.n.n.n к R3
  permit ip n.n.n.n к R2

Но при обращении в сеть R3, трансляция все таки происходит.

Вот примерная конфигурация:
crypto isakmp policy 1
  encr 3des
  authentication pre-share
  group 2
crypto isakmp key 6 12345678 address k.k.k.1
crypto isakmp key 6 12345678 address k.k.k.2
crypto ipsec transform-set www esp-3des esp-sha-hmac

interface FastEthernet0/0
  description <<< LAN >>>
  ip address m.m.m.m
  ip nat inside
  ip virtual-reassembly
  duplex auto
  speed auto

interface FastEthernet0/0/1
  switchport access vlan 100

interface Vlan100
  ip address 192.168.1.1 255.255.255.252
  ip nat outside
  ip virtual-reassembly
  ip tcp adjust-mss 1300
  crypto map map1

ip nat pool pool1 192.168.222.1 192.168.222.254 netmask 255.255.255.0
ip nat inside source list NAT pool pool1

ip access-list extended NAT
  deny ip n.n.n.n к R3
  permit ip n.n.n.n к R2

crypto map exim 10 ipsec-isakmp
  set peer k.k.k.1
  set transform-set www
  match address toR2

crypto map exim 11 ipsec-isakmp
  set peer k.k.k.2
  set transform-set tunnel
  match address toR3

ip access-list extended toR2
  permit ip LAN local -> LAN remote

ip access-list extended toR3
  permit ip LAN local -> LAN remote

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "NAT + IPSec"  +/
Сообщение от karen durinyan (ok) on 07-Июл-10, 09:16 
>[оверквотинг удален]
>crypto map exim 11 ipsec-isakmp
>  set peer k.k.k.2
>  set transform-set tunnel
>  match address toR3
>
>ip access-list extended toR2
>  permit ip LAN local -> LAN remote
>
>ip access-list extended toR3
>  permit ip LAN local -> LAN remote

privet,

2 voprosa.
1. chto u vas n.n.n.n v nat acl? lan network?
2. pod vneshnim interfeisam u vas crypto "map1" a v crypto map "exim". eto opechatka?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "NAT + IPSec"  +/
Сообщение от karen durinyan (ok) on 07-Июл-10, 09:23 
>[оверквотинг удален]
>>
>>ip access-list extended toR3
>>  permit ip LAN local -> LAN remote
>
>privet,
>
>2 voprosa.
>1. chto u vas n.n.n.n v nat acl? lan network?
>2. pod vneshnim interfeisam u vas crypto "map1" a v crypto map
>"exim". eto opechatka?

da i esho...
chto znachet k r2 i k r2 v nat acl? ip vneshnego interfeisa r2/r3? ili network s zadi r2/r3?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "NAT + IPSec"  +/
Сообщение от sigbat on 07-Июл-10, 09:20 
причем тут ipsec вобще ?
насчет ната почему нельзя сделать два сабинтерфейса на fa0/0 на один роут R2 и второй R3 соотвственно?
на одном cказать ip nat inside, на втором нет
по поводу почему у тебя сейчас не работает , я твои списки доступа не понял. Почему к R3 ? пакеты же к подсетям за роутером обращаются а не к самому роутеру ?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "NAT + IPSec"  +/
Сообщение от tolik (??) on 07-Июл-10, 11:58 
>причем тут ipsec вобще ?
>насчет ната почему нельзя сделать два сабинтерфейса на fa0/0 на один роут
>R2 и второй R3 соотвственно?
>на одном cказать ip nat inside, на втором нет
>по поводу почему у тебя сейчас не работает , я твои списки
>доступа не понял. Почему к R3 ? пакеты же к подсетям
>за роутером обращаются а не к самому роутеру ?

Вот более точная конфигурация:

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key 6 12345678 address 192.168.140.2
crypto isakmp key 6 12345678 address 192.168.140.10
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set www esp-3des esp-sha-hmac
crypto ipsec transform-set tunnel esp-aes esp-sha-hmac
!
crypto map map 10 ipsec-isakmp
set peer 192.168.143.10
set transform-set www
match address toLanR2
crypto map map 11 ipsec-isakmp
set peer 192.168.140.2
set transform-set tunnel
match address toLanR3
!
!
interface FastEthernet0/0
description <<< LAN >>>
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/0/0
switchport access vlan 2
!
interface FastEthernet0/0/1
switchport access vlan 100
!
interface FastEthernet0/0/2
switchport access vlan 3
!
interface FastEthernet0/0/3
!
interface Vlan1
no ip address
!
interface Vlan2
no ip address
!
interface Vlan3
no ip address
!
interface Vlan100
descr <<< to R2 and R3 >>>
ip address 192.168.140.6 255.255.255.252
ip nat outside
ip virtual-reassembly
ip tcp adjust-mss 1300
crypto map map

ip forward-protocol nd
ip route 192.168.4.0 255.255.255.0 192.168.140.5 (LAN R2)
ip route 192.168.5.0 255.255.255.0 192.168.140.5 (LAN R3)
ip route 192.168.140.0 255.255.255.252 192.168.140.5
ip route 192.168.140.8 255.255.255.252 192.168.140.5
!
ip nat pool toLANR2 192.168.222.1 192.168.222.254 netmask 255.255.255.0
ip nat inside source list NAT pool toLANR2
!
ip access-list extended NAT
deny   ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255

ip access-list extended toLanR3
permit ip 192.168.1.0 0.0.0.255 any

ip access-list extended toLanR2
permit ip 192.168.222.0 0.0.0.255 192.168.4.0 0.0.0.255

!
no cdp run
!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "NAT + IPSec"  +/
Сообщение от karen durinyan (ok) on 07-Июл-10, 13:10 
>[оверквотинг удален]
>
>ip access-list extended toLanR3
> permit ip 192.168.1.0 0.0.0.255 any
>
>ip access-list extended toLanR2
> permit ip 192.168.222.0 0.0.0.255 192.168.4.0 0.0.0.255
>
>!
>no cdp run
>!

s pervogo vzgljada neponjaten...
ip route 192.168.4.0 255.255.255.0 192.168.140.5 (LAN R2)
ip route 192.168.5.0 255.255.255.0 192.168.140.5 (LAN R3)
esli u vas 2 routera to pochemu GW tot zhe sami?

esho chto govorit "show access-list nat"?
est' match dlja deny?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "NAT + IPSec"  +/
Сообщение от tolik (??) on 07-Июл-10, 14:10 

>s pervogo vzgljada neponjaten...
>ip route 192.168.4.0 255.255.255.0 192.168.140.5 (LAN R2)
>ip route 192.168.5.0 255.255.255.0 192.168.140.5 (LAN R3)
>esli u vas 2 routera to pochemu GW tot zhe sami?
>
>esho chto govorit "show access-list nat"?
>est' match dlja deny?

В центре у меня один рутер, а маршрута 2 в две локальные сети рутеров R2 и R3.
Сеть 192.168.140.n - это сеть провайдера.
                    --R2    
                  /
         R4      /
R1---Провайдер--
                 \
                  \
                    --R3    

Между R1 и R4 192.168.140.4/30
Между R4 и R2 192.168.140.0/30
Между R4 и R3 192.168.148.8/30

ip route 192.168.4.0 255.255.255.0 192.168.140.5 (R4)
ip route 192.168.5.0 255.255.255.0 192.168.140.5 (R4)

>esho chto govorit "show access-list nat"?
>est' match dlja deny?

Делаю sh ip nat tr | inc 192.168.222.0
И у меня есть matching nat для пакетов направляющихся в ЛАН рутера R2, а не должно, т.к. у меня в листе deny.
Не знаю...может не отрабатывается хорошо NAT?

К сожалению у меня один IP адрес на внеш. интерф. R1 и поэтому я не могу сделать саинтерфейсы.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "NAT + IPSec"  +/
Сообщение от sigbat on 08-Июл-10, 12:30 
я ничего не понял (с)
итааак. вот у нас есть пакет которму страшно надо из 192.168.1.0 в 192.168.4.0
он попадает на интерфес там натируется в 192.168.222.n и уходит дальше по роутингу
согласно документу http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec...
пакет сначала натируется потом криптуется
таким образом пакеты у тебя в туннель просто не должны попадать поскольку уже снатированы и не подпадают под крипто листы
то есть никакого туннеля до R3 быть не должно. Если пакеты туда идут то они таки не натируются

теперь почему не пашет полиси нат
я быстро собрал твою схемку у себя на лабе, у меня все работает
Убери routed интерфейс. Создай отдельный VLAN для LAN и нать с него
убери crypto map и вобще все лишнее и попробуй работает ли nat policy
Если нет, обновляй иос


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру