Добрый день!
Имеется необходимость поднять очередной IPSec туннель между двумя организациями.
Имеется две маленькие изюминки:
1. На дальней стороне нет полноценного маршрутизатора, а есть только PIX501
2. С моей стороны сеть, которой требуется доступ к дальней приватной сети является публичнойРанее имел дело с приватными сетями и двумя маршрутизаторами. Поднимал Tunnel интерфейсы, закрывал их IPSec и все было нормально, а тут PIX с урезанными возможностями.
Почитал пример организации IPSec между циско роутером и пиксом вот тут: http://www.ciscolab.ru/security/ipsec/152-pixrouter.html
но не могу переложить конфигурацию для своих нужд, когда с моей стороны не приватные адреса.
Имею:
Fa2/0 подключенный к провайдеру, соответственно ip nat outside
Fa0/0 в локалку с приватными адресами, соответственно ip nat inside
Fa0/1 в DMZ с публичными адресами, соответственно ip nat inside без роутмапа
Публичные адреса с моей стороны и стороны провайдера маршрутизированы static роутами.
Подумал следующую конфигурацию 7200:
!полиси
crypto isakmp policy 4
hash md5
authentication pre-share
crypto isakmp key ключтакойто address внешний.публичный.адрес.пикса
!трансформсет
crypto ipsec transform-set мойтрансформсет esp-des esp-md5-hmac
!создаю аксесслист для разрешения трафика между моим DMZ и их приватной сетью
ip access-list extended такойтолист
permit ip моя.дмз.подсеть.такаято 0.0.0.15 их.приватная.подсеть.такаято 0.0.0.255
А вот дальше пока затык... Мыслю так:
crypto map моймап 10 ipsec-isakmp
set peer внешний.публичный.адрес.пикса
set transform-set мойтрансформсет
match address такойтолист
ip access-list extended разрешенныйтрафик
permit ip моя.дмз.подсеть.такаято 0.0.0.15 их.приватная.подсеть.такаято 0.0.0.255
route-map такойто permit 10
match ip address разрешенныйтрафик
потом по идее по докам надо на интерфейс к провайдеру повесить crypto map моймап
но вот куда вешать - непонятно... или на f2/0 который канальный или на f0/1 который в дмз...
в общем нид хелп, мысль застряла %)