форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"1841 ipsec + NAT"		+/–
Сообщение от tohha (ok) on 18-Янв-10, 11:59
Проблема в следующем. Большой торговый центр, с которым у нас построен ipsec туннель выдал нам настройки туннеля. В этих настройках указано, что пропускать в туннель он будет только: 10.123.0.0 255.255.255.252 (понимаю, что хорошо было бы gre over ipsec, но админы торг.центра просто настроили у себя так: access-list ACL-COMPANY extended permit ip 10.0.0.0 255.0.0.0 10.123.0.0 255.255.255.252). При этом наша внутренняя сеть, которая должна иметь доступ к торговому центру (10.0.0.0): 192.168.1.0/24 Единственный вариант, который я нашел - это прописать на интерфейсе secondary ip: 10.123.0.2 и настроить NAT: 192.168.1.0/24 -> 10.123.0.2 Однако данная схема как-то странно  работает. Если сделать reload, то все пакеты ломятся в мир, а не в туннель. Подскажите, может, я где ошибся? Вот конфиг: ip nat pool TORG-CENTR-POOL 10.123.0.2 10.123.0.2 prefix-length 30 ip nat inside source route-map SDM_RMAP_1 interface FastEthernet0/0 overload ip nat inside source route-map TORG-CENTR-RM pool TORG-CENTR-POOL overload route-map TORG-CENTR-RM permit 0 match ip address 102 ! route-map SDM_RMAP_1 permit 1 match ip address 103 access-list 102 permit ip 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255 access-list 103 deny   ip 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255 permit ip 192.168.1.0 0.0.0.255 any
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "1841 ipsec + NAT"		+/–
Сообщение от Николай (??) on 18-Янв-10, 13:31
конфиг полностью дайте
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "1841 ipsec + NAT"		+/–
	Сообщение от tohha (ok) on 18-Янв-10, 14:39
	>конфиг полностью дайте ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname gate ! boot-start-marker boot-end-marker ! logging buffered 51200 warnings ! no aaa new-model ! crypto pki trustpoint TP-self-signed-3265806284 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-3265806284 revocation-check none rsakeypair TP-self-signed-3265806284 ! ! crypto pki certificate chain TP-self-signed-3265806284 certificate self-signed 01   30820243 308201AC A0030201 02020101 300D0609 2A864886 F70D0101 04050030   31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274    ......       quit dot11 syslog ip cef ! ! ! ! ip domain name xxxxx ip name-server xxx.xxx.xxx.xxx ip name-server yyy.yyy.yyy.yyy ! multilink bundle-name authenticated ! ! username admin privilege 15 secret 5 xxxxxxxxxxxxxxxxx ! ! crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key xxxxxxxxxxxx address IP1 ! crypto ipsec security-association lifetime seconds 86400 ! crypto ipsec transform-set TS1 esp-3des esp-md5-hmac ! crypto map static-map 2 ipsec-isakmp description Tunnel to IP1 set peer IP1 set transform-set TS1 match address 101 ! archive log config   hidekeys ! ! ! ! ! interface Loopback0 no ip address ! interface FastEthernet0/0 description WAN ip address IP2 255.255.255.248 ip nat outside ip virtual-reassembly duplex auto speed auto crypto map static-map crypto ipsec df-bit clear ! interface FastEthernet0/1 description LAN ip address 10.123.0.2 255.255.255.252 secondary ip address 192.168.1.29 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 IP3 ! ip nat pool TS1 10.123.0.2 10.123.0.2 prefix-length 30 ip nat inside source route-map SDM_RMAP_1 interface FastEthernet0/0 overload ip nat inside source route-map TS1-rm pool TS1 overload ! ip access-list extended TS1-al permit ip 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255 ! access-list 100 permit ip any any access-list 101 permit ip 10.123.0.0 0.0.0.3 10.0.0.0 0.255.255.255 access-list 102 deny   ip 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255 access-list 102 permit ip 192.168.1.0 0.0.0.255 any ! route-map TS1-rm permit 0 match ip address TS1-al ! route-map SDM_RMAP_1 permit 1 match ip address 102 ! ! ! ! control-plane ! ! ! line con 0 login local line aux 0 line vty 0 4 access-class 23 in privilege level 15 login local transport input telnet ssh line vty 5 15 access-class 23 in privilege level 15 login local transport input telnet ssh ! scheduler allocate 20000 1000 end   IP1: адрес торгового центра IP2: мой адрес IP3: мой GW
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема