The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"IPSec VPN"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Изначальное сообщение [ Отслеживать ]

"IPSec VPN"  +/
Сообщение от orange (ok) on 24-Май-11, 19:11 
Здравствуйте уважаемые коллеги.

Можно ли создать IPSec VPN на оборудование Cisco|Router/ASA в такой сети?

Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть Б ----(LAN,R3)---Сеть В

можно ли создать IPSec VPN Между роутерами R1 и R2  c шифрованием трафика между сетью  А и сетью В ?
Давно и много )))) создавал VPN между сетями типа А и Б а между А и В сходу не получилось, я дурак или так нельзя?

Ответить | Правка | Cообщить модератору

Оглавление

  • IPSec VPN, Aleks305, 21:40 , 24-Май-11, (1)  
    • IPSec VPN, Orange, 23:37 , 24-Май-11, (2)  
      • IPSec VPN, Aleks305, 10:41 , 25-Май-11, (3)  
        • IPSec VPN, orange, 13:34 , 25-Май-11, (6)  
      • IPSec VPN, himik1986, 11:31 , 25-Май-11, (4)  
  • IPSec VPN, mishai, 12:26 , 25-Май-11, (5)  
    • IPSec VPN, orange, 18:35 , 26-Май-11, (7)  
      • IPSec VPN, Aleks305, 22:49 , 26-Май-11, (8)  
        • IPSec VPN, Orange, 13:35 , 02-Июн-11, (9)  

Сообщения по теме [Сортировка по времени | RSS]


1. "IPSec VPN"  +/
Сообщение от Aleks305 (ok) on 24-Май-11, 21:40 
> Здравствуйте уважаемые коллеги.
> Можно ли создать IPSec VPN на оборудование Cisco|Router/ASA в такой сети?
> Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть Б ----(LAN,R3)---Сеть В
> можно ли создать IPSec VPN Между роутерами R1 и R2  c
> шифрованием трафика между сетью  А и сетью В ?
> Давно и много )))) создавал VPN между сетями типа А и Б
> а между А и В сходу не получилось, я дурак или
> так нельзя?

А случайно не пробовали acl заворачивать трафик из сети В в ipsec-туннель??? не забывайте из nat исключить этот трафик...
короче все элементарно просто

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "IPSec VPN"  +/
Сообщение от Orange (ok) on 24-Май-11, 23:37 
У меня вот так.
LAN A 192.168.104.0 255.255.255.0
LAN Б 192.168.70.0 255.255.255.0
LAN B 192.168.68.0 255.255.255.0

crypto isakmp policy 1
encr 3des
...
!
crypto isakmp key key123 address "ip_add_R1" no-xauth
crypto ipsec transform-set IPSec esp-3des esp-sha-hmac
crypto map CRY_MAP 110 ipsec-isakmp
set peer "ip_add_R1"
set transform-set IPSec
match address 121
!
!
interface Vlan1
description LAN-B
ip address 192.168.70.67 255.255.255.0
ip nat inside
ip virtual-reassembly
...
!
interface Vlan2
ip address in_Internet
...
crypto map CRY_MAP
!
ip nat inside source route-map NAT interface Vlan2 overload`
!
access-list 121 permit ip 192.168.68.96 0.0.0.15 192.168.104.0 0.0.0.255
access-list 121 permit ip host 192.168.70.67 192.168.104.0 0.0.0.255
access-list 130 deny ip 192.168.68.96 0.0.0.15 192.168.104.0 0.0.0.255
access-list 130 permit ip host 192.168.68.81 any
...
access-list 130 permit ip host 192.168.70.97 any

!
route-map NAT permit 10
match ip address 130
match interface Vlan2


Трафик из сети B не поднимает isakmp и никаких событий в дебаге при пинге из сети В в сеть А. Уже измучился 4 часа сидел ковырял так и не понял в чем дело.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "IPSec VPN"  +/
Сообщение от Aleks305 (ok) on 25-Май-11, 10:41 
>[оверквотинг удален]
> crypto isakmp policy 1
>  encr 3des
>  ...
> !
> crypto isakmp key key123 address "ip_add_R1" no-xauth
> crypto ipsec transform-set IPSec esp-3des esp-sha-hmac
> crypto map CRY_MAP 110 ipsec-isakmp
>  set peer "ip_add_R1"
>  set transform-set IPSec
>  match address 121

- то есть интересный трафик описывается acl 121
> !
> !
> interface Vlan1
>  description LAN-B

а мне показалось, что 70.0 lan Б...ну не суть
>[оверквотинг удален]
>  ...
> !
> interface Vlan2
>  ip address in_Internet
>  ...
>  crypto map CRY_MAP
> !
> ip nat inside source route-map NAT interface Vlan2 overload`
> !
> access-list 121 permit ip 192.168.68.96 0.0.0.15 192.168.104.0 0.0.0.255

вижу хосты из lan В
> access-list 121 permit ip host 192.168.70.67 192.168.104.0 0.0.0.255

вижу хосты из lan Б
> access-list 130 deny ip 192.168.68.96 0.0.0.15 192.168.104.0 0.0.0.255

вижу что трафик из сети В исключается из NAT, но не вижу что трафик из сети Б исключается из NAT, то есть должно быть еще одно правило
access-list 130 deny ip host 192.168.70.67 192.168.104.0 0.0.0.255
А у Вас из сети Б работало без этого правила? а из сети В не работало...
Странно...либо Вы не правильно обозвали сети Б и В...либо я ничего не понимаю в ipsec на cisco
Отпишись в любом случае...
>[оверквотинг удален]
> access-list 130 permit ip host 192.168.68.81 any
> ...
> access-list 130 permit ip host 192.168.70.97 any
> !
> route-map NAT permit 10
>  match ip address 130
>  match interface Vlan2
> Трафик из сети B не поднимает isakmp и никаких событий в дебаге
> при пинге из сети В в сеть А. Уже измучился 4
> часа сидел ковырял так и не понял в чем дело.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "IPSec VPN"  +/
Сообщение от orange (ok) on 25-Май-11, 13:34 
>>[оверквотинг удален]

Ошибся с наименованиями сетей в Дискрипшине. чтобы не путаться перейду на A B и C сети

    Здравствуйте уважаемые коллеги.

    Можно ли создать IPSec VPN на оборудование Cisco|Router/ASA в такой сети?

    Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть B ----(LAN,R3)---Сеть C

    можно ли создать IPSec VPN Между роутерами R1 и R2  c шифрованием трафика между сетью  А и сетью C ?
    Давно и много )))) создавал VPN между сетями типа А и B а между А и C сходу не получилось, я дурак или так нельзя?

У меня вот так.
LAN A 192.168.104.0 255.255.255.0
LAN B 192.168.70.0 255.255.255.0
LAN C 192.168.68.0 255.255.255.0

crypto isakmp policy 1
encr 3des
...
!
crypto isakmp key key123 address "ip_add_R1" no-xauth
crypto ipsec transform-set IPSec esp-3des esp-sha-hmac
crypto map CRY_MAP 110 ipsec-isakmp
set peer "ip_add_R1"
set transform-set IPSec
match address 121
!
!
interface Vlan1
description LAN-B
ip address 192.168.70.67 255.255.255.0
ip nat inside
ip virtual-reassembly
...
!
interface Vlan2
ip address in_Internet
...
crypto map CRY_MAP
!
ip nat inside source route-map NAT interface Vlan2 overload`
!
---Основной трафик подлежащий шифрованию
access-list 121 permit ip 192.168.68.0 0.0.0.255 192.168.104.0 0.0.0.255
--Добавлено потом для тестирования
access-list 121 permit ip host 192.168.70.67 192.168.104.0 0.0.0.255
--ACL для NAT
access-list 130 deny ip 192.168.68.0 0.0.0.255 192.168.104.0 0.0.0.255
access-list 130 deny ip host 192.168.70.67 192.168.104.0 0.0.0.255
access-list 130 permit ip host 192.168.68.81 any
...
access-list 130 permit ip host 192.168.70.97 any

!
route-map NAT permit 10
match ip address 130
match interface Vlan2


Трафик из сети B не поднимает isakmp и никаких событий в дебаге при пинге из сети C в сеть А.
маршруты со стороны LAN смотрят на 192.168.70.67 трасерт доходит до 192.168.70.67 дальше звездочки. Что подозрительно включаю дебаг пингую из сети C в сеть А и isakmp события не генерятся... Где я ошибся?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "IPSec VPN"  +/
Сообщение от himik1986 (ok) on 25-Май-11, 11:31 
покажи маршруты на r1, r2, r3

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "IPSec VPN"  +/
Сообщение от mishai (ok) on 25-Май-11, 12:26 
> Здравствуйте уважаемые коллеги.
> Можно ли создать IPSec VPN на оборудование Cisco|Router/ASA в такой сети?
> Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть Б ----(LAN,R3)---Сеть В
> можно ли создать IPSec VPN Между роутерами R1 и R2  c
> шифрованием трафика между сетью  А и сетью В ?
> Давно и много )))) создавал VPN между сетями типа А и Б
> а между А и В сходу не получилось, я дурак или
> так нельзя?

если есть связь между сетями А и Б, а также Б и В - то проблема в маршрутизации или ACL!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "IPSec VPN"  +/
Сообщение от orange (ok) on 26-Май-11, 18:35 
Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть B ----(LAN,R3)---Сеть C
> если есть связь между сетями А и Б, а также Б и
> В - то проблема в маршрутизации или ACL!

Между А и B(новое обозначение)через интернет есть по внешним IP есть.  

Вот мой конфиг , где может быть ошибка ?
   Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть B ----(LAN,R3)---Сеть C

    можно ли создать IPSec VPN Между роутерами R1 и R2  c шифрованием трафика между сетью  А и сетью C ?
    Давно и много )))) создавал VPN между сетями типа А и B а между А и C сходу не получилось, я дурак или так нельзя?

У меня вот так.
LAN A 192.168.104.0 255.255.255.0
LAN B 192.168.70.0 255.255.255.0
LAN C 192.168.68.0 255.255.255.0

crypto isakmp policy 1
encr 3des
...
!
crypto isakmp key key123 address "ip_add_R1" no-xauth
crypto ipsec transform-set IPSec esp-3des esp-sha-hmac
crypto map CRY_MAP 110 ipsec-isakmp
set peer "ip_add_R1"
set transform-set IPSec
match address 121
!
!
interface Vlan1
description LAN-B
ip address 192.168.70.67 255.255.255.0
ip nat inside
ip virtual-reassembly

...
!
interface Vlan2
ip address in_Internet
...
crypto map CRY_MAP
!
ip nat inside source route-map NAT interface Vlan2 overload`
!
---Основной трафик подлежащий шифрованию
access-list 121 permit ip 192.168.68.0 0.0.0.255 192.168.104.0 0.0.0.255
--Добавлено потом для тестирования
access-list 121 permit ip host 192.168.70.67 192.168.104.0 0.0.0.255
--ACL для NAT
access-list 130 deny ip 192.168.68.0 0.0.0.255 192.168.104.0 0.0.0.255
access-list 130 deny ip host 192.168.70.67 192.168.104.0 0.0.0.255
access-list 130 permit ip host 192.168.68.81 any
...
access-list 130 permit ip host 192.168.70.97 any

!
route-map NAT permit 10
match ip address 130
match interface Vlan2


====
Я вот тут подумал может в 121 ACL нужно обязательно указывать трафик и между сетями А и B ? Хотя мне это не нужно по соображениям безопасности.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "IPSec VPN"  +/
Сообщение от Aleks305 (ok) on 26-Май-11, 22:49 
>[оверквотинг удален]
> access-list 130 permit ip host 192.168.70.97 any
> !
> route-map NAT permit 10
> match ip address 130
> match interface Vlan2
> ====
> Я вот тут подумал может в 121 ACL нужно обязательно указывать трафик
> и между сетями А и B ? Хотя мне это не
> нужно по соображениям безопасности.
> ip nat inside source route-map NAT interface Vlan2 overload`

на первый взгляд у вас все правильно...кстати, конфиг роутера R1 тоже неплохо было бы привести, вдруг там проблема...Попробуйте избавится от route-map на nat. Просто сделайте через acl 130
ip nat inside source list 130 interface vlan2 overload

Кстати, может быть вы забыли на интерфейсе int vlan 2 нет ip nat outside.
В интернет вообще хосты ходят?
И тут еще...я че-то подумал...сделайте gre-туннель, а уже поверх него ipsec!!!тогда точно все получится

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "IPSec VPN"  +/
Сообщение от Orange email(??) on 02-Июн-11, 13:35 
> Кстати, может быть вы забыли на интерфейсе int vlan 2 нет ip
> nat outside.
> В интернет вообще хосты ходят?
> И тут еще...я че-то подумал...сделайте gre-туннель, а уже поверх него ipsec!!!тогда точно
> все получится

Это да но нужен именно IPSec.
В итоге я поставил ASA в сети С одним интерфейсом и в интернет другим , настроил запустил и забыл про первую схему как про страшный сон )) Спасибо

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру