URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 6876
[ Назад ]

Исходное сообщение
"NAT через туннель.... HELP!!"
Отправлено chart , 21-Дек-04 19:29

помогите разобраться с NAT
нужно организовать шифр.туннель между оффисами, причем в туннеле должны быть
связанны внутренние сети оффисов...
построил туннель-работает, поднял ipsec-работает, но внутренние сети друг друга не видят, видимо нужен NAT
Тоесть нужно связать по шифрованному туннелю 10.10.221.0 и 10.10.223.0
на обоих рутерах
s0 - внешний ip
e0 - внешний и внутренний ip addr sec
конфиг рутера 1
--------------------------------------------------------------------------------------------
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 82.82.82.82
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer 82.82.82.82
set transform-set strong
match address 101
!
interface Tunnel0
ip address 192.168.1.1 255.255.255.252
tunnel source Serial0/0
tunnel destination 82.82.82.82
crypto map vpn
!
interface FastEthernet0/0
ip address 10.10.221.251 255.255.255.0 secondary
ip address 217.69.200.213 255.255.255.252
interface Serial0/0
ip address 217.69.223.6 255.255.255.252
crypto map vpn
ip route 10.10.223.0 255.255.255.0 Tunnel0
access-list 101 permit gre host 217.69.223.6 host 82.82.82.82
---------------------------------------------------------------------------------------------
роутер 2
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 217.69.223.6
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer 217.69.223.6
set transform-set strong
match address 101
interface Tunnel0
ip address 192.168.1.2 255.255.255.252
no keepalive
tunnel source Serial0
tunnel destination 217.69.223.6
crypto map vpn
interface Ethernet0
ip address 10.10.223.3 255.255.255.0 secondary
ip address 62.62.133.133 255.255.255.252
interface Serial0
ip address 82.82.82.82 255.255.255.252
crypto map vpn
ip route 10.10.0.0 255.255.0.0 Tunnel0
access-list 101 permit gre host 82.82.82.82 host 217.69.223.6
помогите с натом, плиз...неполучается

Содержание

NAT через туннель.... HELP!!,pwn, 21:06 , 21-Дек-04
- NAT через туннель.... HELP!!,chart, 09:57 , 22-Дек-04
  - NAT через туннель.... HELP!!,pwn, 11:22 , 22-Дек-04
    - NAT через туннель.... HELP!!,ВОЛКА, 11:33 , 22-Дек-04
  - NAT через туннель.... HELP!!,ВОЛКА, 11:37 , 22-Дек-04
    - NAT через туннель.... HELP!!,chart, 11:45 , 22-Дек-04
      - NAT через туннель.... HELP!!,chart, 13:24 , 22-Дек-04
        
        NAT через туннель.... HELP!!,ВОЛКА, 14:40 , 22-Дек-04
NAT через туннель.... HELP!!,jomb, 13:39 , 22-Дек-04
- NAT через туннель.... HELP!!,chart, 13:46 , 22-Дек-04
  - NAT через туннель.... HELP!!,jomb, 14:14 , 22-Дек-04
    - NAT через туннель.... HELP!!,chart, 15:52 , 22-Дек-04
      - NAT через туннель.... HELP!!,jomb, 17:14 , 22-Дек-04
        
        NAT через туннель.... HELP!!,chart, 17:33 , 22-Дек-04
        
        NAT через туннель.... HELP!!,ВОЛКА, 17:56 , 22-Дек-04
        
        NAT через туннель.... HELP!!,chart, 18:10 , 22-Дек-04
        
        NAT через туннель.... HELP!!,jomb, 18:02 , 22-Дек-04

Сообщения в этом обсуждении

"NAT через туннель.... HELP!!"
Отправлено pwn , 21-Дек-04 21:06

ти оффисов...
>построил туннель-работает, поднял ipsec-работает, но внутренние сети друг друга не видят, видимо
>нужен NAT
Зачем? должна работать обычная статическая маршрутизация. Скорее всего
проблема в настроках компов, вы им шлюз на роутеры хотя бы прописали?
попробуйте прогнать трассу с компа в одной локали на комп в другой локали подключенной через тунель, и посмотрите где заткнется :) Если на самом первом хопе то явно компы не знают где искать "соседнюю" сеть :)

"NAT через туннель.... HELP!!"
Отправлено chart , 22-Дек-04 09:57

нет, компы знают...все собственно работает только без шифрования, поднимая шифрование нужно изменить access-list на адреса внешн.(s0)
....в этом случае шиврование поднимается но естесно врутр сети не видят друг друга..... поэтому переброску пакетов наверное нужно сделать через НАТ...может так к примеру ip nat inside source static 10.10.221.? <адрес s0 с другого конца тунеля>
я не уверен....так будет рвботать? или как лучше?

"NAT через туннель.... HELP!!"
Отправлено pwn , 22-Дек-04 11:22

>нет, компы знают...все собственно работает только без шифрования, поднимая шифрование нужно изменить
>access-list на адреса внешн.(s0)
>....в этом случае шиврование поднимается но естесно врутр сети не видят друг друга..... поэтому переброску пакетов наверное нужно сделать через НАТ...может так к примеру ip nat inside source static 10.10.221.? <адрес s0 с другого конца тунеля>
>я не уверен....так будет рвботать? или как лучше?
А нафига вы подымаете шифрование как трафика до тунеля так и после него уже инкапуслированного в ГРЕ?
interface Tunnel0
crypto map vpn -????
interface Serial0
crypto map vpn
Помоему уж что-то одно - либо шифруете уже инкапсулированный в ГРЕ тунель на сериале либо шифруете до инкапсуляции трафик локалей на интерфейсе тунеля. Если шифровать сам тунель то access-list 101 остается в том виде как есть если шифровать траф до инкапсуляции то 101 лист должен содержать адреса лвс и в принципе можно шифровать не апсалютно весь траф по тунелю а только определенный, попадающий под 101-й лист... По идее если убрать шифрование и у вас все работает через обычный нешифрованный ГРЕ то просто включение шифрования на сериале должно никак не отразиться на работе вааще. За исключением того что через WAN поедет уже шифрованный ГРЕ.

"NAT через туннель.... HELP!!"
Отправлено ВОЛКА , 22-Дек-04 11:33

вы не правы...
так оно должно работать...
криптомап вешается на тунельный и на физический интерфейс.

"NAT через туннель.... HELP!!"
Отправлено ВОЛКА , 22-Дек-04 11:37

давайте выберем два компа для тестов...
покажите вывод ipconfig /all с этих компов
также запустите ping
ping 10.10.223.3 source 10.10.221.251

"NAT через туннель.... HELP!!"
Отправлено chart , 22-Дек-04 11:45

ping 10.10.223.3 source 10.10.221.251 проходят (это sec ip адреса интерфейсов E0 на обоих концах туннеля) , собственно у меня все сейчас работает сети видят друг друга и т.д. но не поднимается ipsec потому как в access-list должны быть ip source и destination туннеля
если я меняю адреса то туннель шифруется и все ок, но естесно сеть 10.10.221.0 перестает видить 10.10.223.0

"NAT через туннель.... HELP!!"
Отправлено chart , 22-Дек-04 13:24

неужели нет вариантов решения проблемы??????

"NAT через туннель.... HELP!!"
Отправлено ВОЛКА , 22-Дек-04 14:40

ВЫ МОЖЕТЕ НОРМАЛЬНО ОПИСАТЬ, ЧТО У ВАС НЕ РАБОТАЕТ!!!!!!
и конфиги ещё

"NAT через туннель.... HELP!!"
Отправлено jomb , 22-Дек-04 13:39

>помогите разобраться с NAT
>нужно организовать шифр.туннель между оффисами, причем в туннеле должны быть
>связанны внутренние сети оффисов...
>построил туннель-работает, поднял ipsec-работает, но внутренние сети друг друга не видят, видимо
>нужен NAT
>
>Тоесть нужно связать по шифрованному туннелю 10.10.221.0 и 10.10.223.0
>
>на обоих рутерах
>s0 - внешний ip
>e0 - внешний и внутренний ip addr sec
>
>конфиг рутера 1
>--------------------------------------------------------------------------------------------
>crypto isakmp policy 1
> hash md5
> authentication pre-share
>crypto isakmp key cisco123 address 82.82.82.82
>!
>crypto ipsec transform-set strong esp-3des esp-md5-hmac
>!
>crypto map vpn 10 ipsec-isakmp
> set peer 82.82.82.82
> set transform-set strong
> match address 101
>!
>interface Tunnel0
> ip address 192.168.1.1 255.255.255.252
> tunnel source Serial0/0
> tunnel destination 82.82.82.82
> crypto map vpn
>!
> interface FastEthernet0/0
> ip address 10.10.221.251 255.255.255.0 secondary
> ip address 217.69.200.213 255.255.255.252
>
>interface Serial0/0
> ip address 217.69.223.6 255.255.255.252
> crypto map vpn
>
>ip route 10.10.223.0 255.255.255.0 Tunnel0
>
>access-list 101 permit gre host 217.69.223.6 host 82.82.82.82
>---------------------------------------------------------------------------------------------
>
>роутер 2
>
>crypto isakmp policy 1
> hash md5
> authentication pre-share
>crypto isakmp key cisco123 address 217.69.223.6
>!
>!
>crypto ipsec transform-set strong esp-3des esp-md5-hmac
>!
>crypto map vpn 10 ipsec-isakmp
> set peer 217.69.223.6
> set transform-set strong
> match address 101
>
>interface Tunnel0
> ip address 192.168.1.2 255.255.255.252
> no keepalive
> tunnel source Serial0
> tunnel destination 217.69.223.6
> crypto map vpn
>
>interface Ethernet0
> ip address 10.10.223.3 255.255.255.0 secondary
> ip address 62.62.133.133 255.255.255.252
>
>interface Serial0
> ip address 82.82.82.82 255.255.255.252
> crypto map vpn
>
>ip route 10.10.0.0 255.255.0.0 Tunnel0
>
>access-list 101 permit gre host 82.82.82.82 host 217.69.223.6
>
>помогите с натом, плиз...неполучается
Я бы предложил отказатсья от тунеля, можно сделать гораздо проще
1 рутер
---------
crypto isakmp policy 1
hash md5
authentication pre-share
group 2
crypto isakmp key cisco123 address 82.82.82.82
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer 82.82.82.82
set transform-set strong
match address 101
!
interface Serial0/0
ip address 217.69.223.6 255.255.255.252
crypto map vpn
!
access-list 101 permit ip 10.10.221.0 0.0.0.255 10.10.223.0 0.0.0.255
-----------------------
Рутер 2
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 217.69.223.6
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer 217.69.223.6
set transform-set strong
match address 101
!
interface Serial0
ip address 82.82.82.82 255.255.255.252
crypto map vpn
access-list 101 permit ip 10.10.223.0 0.0.0.255 10.10.221.0 0.0.0.255

"NAT через туннель.... HELP!!"
Отправлено chart , 22-Дек-04 13:46

да, но разве шифрование поддержится в данном случае? по факту меняется только правило с gre на ip и с хоста на сеть....что это дает? расскажите пожалуйста

"NAT через туннель.... HELP!!"
Отправлено jomb , 22-Дек-04 14:14

>да, но разве шифрование поддержится в данном случае? по факту меняется только
>правило с gre на ip и с хоста на сеть....что
>это дает? расскажите пожалуйста
по дефолту все
пакеты уходят через внешний интерфейс на внешнем интерфейсе есть crypto mapи циска проверяет что в crypto map должно попасть согласно 101 access-list
поподая в 101 access-list весь ip трафик будет матчится шифроваться
в 101 access-list должна быть src network to dst network, а не src host to dst network !

"NAT через туннель.... HELP!!"
Отправлено chart , 22-Дек-04 15:52

сделал как на вашем примере....
даю команды
sh crypto isakmp sa
sh crypto ipsec sa
sh crypto engine connect active
ПУСТО!!!! шифрования нет!

"NAT через туннель.... HELP!!"
Отправлено jomb , 22-Дек-04 17:14

>сделал как на вашем примере....
>даю команды
>sh crypto isakmp sa
>sh crypto ipsec sa
>sh crypto engine connect active
>
>ПУСТО!!!! шифрования нет!
покажите debug crypto isakmp
debug crypto ipsec
Что за IOS что за циска sh run plzz

"NAT через туннель.... HELP!!"
Отправлено chart , 22-Дек-04 17:33

cisco 2610 и 805
ios 12.2
по debug ничего не показывает...
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 82.82.82.82
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer 82.82.82.82
set transform-set strong
match address 101
!
!
!
!
!
!
!
interface Tunnel0
ip address 192.168.1.1 255.255.255.252
tunnel source Serial0/0
tunnel destination 82.142.136.210
crypto map vpn
!
interface FastEthernet0/0
ip address 10.10.221.251 255.255.255.0 secondary
logging event subif-link-status
speed auto
full-duplex
no cdp enable
no mop enabled
!
interface Serial0/0
ip address 217.69.223.6 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
no fair-queue
no cdp enable
crypto map vpn
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 217.69.223.5
ip route 10.10.223.0 255.255.255.0 Tunnel0
!
no ip http server
no ip http secure-server
!
!
access-list 101 permit ip 10.10.223.0 0.0.0.255 10.10.221.0 0.0.0.255

"NAT через туннель.... HELP!!"
Отправлено ВОЛКА , 22-Дек-04 17:56

два конфига покажите...

"NAT через туннель.... HELP!!"
Отправлено chart , 22-Дек-04 18:10

конфиг 1
ip cef
ip name-server 217.69.192.135
ip name-server 217.69.192.133
ip audit notify log
ip audit po max-events 100
ip ssh break-string
no ftp-server write-enable
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 82.82.82.82
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer 82.142.136.210
set transform-set strong
match address 101
!
interface Tunnel0
ip address 192.168.1.1 255.255.255.252
tunnel source Serial0/0
tunnel destination 82.142.136.210
crypto map vpn
!
interface FastEthernet0/0
ip address 10.10.221.251 255.255.255.0 secondary
logging event subif-link-status
speed auto
full-duplex
no cdp enable
no mop enabled
!
interface Serial0/0
ip address 217.69.223.6 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
no fair-queue
no cdp enable
crypto map vpn
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 217.69.223.5
ip route 10.10.223.0 255.255.255.0 Tunnel0
!
!
access-list 102 permit gre host 217.69.223.6 host 82.82.82.82
----------------------------------------------------------------
конфиг 2
clock timezone Msk 3
ip subnet-zero
!
ip name-server 194.85.129.80
ip name-server 194.85.128.10
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco123 address 217.69.223.6
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
mode transport
!
crypto map vpn 10 ipsec-isakmp
set peer 217.69.223.6
set transform-set strong
match address 101
!
!
!
!
interface Tunnel0
ip address 192.168.2.2 255.255.255.252
no keepalive
tunnel source Serial0
tunnel destination 217.69.223.6
crypto map vpn
!
interface Ethernet0
ip address 10.10.224.3 255.255.255.0 secondary
no ip mroute-cache
!
interface Serial0
ip address 82.82.82.82 255.255.255.252
no ip mroute-cache
no fair-queue
crypto map vpn
!
ip classless
ip route 0.0.0.0 0.0.0.0 194.85.147.53
ip route 10.10.0.0 255.255.0.0 Tunnel0
no ip http server
ip pim bidir-enable
!
!
access-list 101 permit gre host 82.82.82.82 host 217.69.223.6
ПРИ ТАКОМ КОНФИГЕ ТУННЕЛЬ РАБОТАЕТ, IPSEC ПОДНИМАЕТСЯ ...НО, НУЖНО ЧТОБ ВИДИЛИСЬ ВНУТРЕННИЕ СЕТКИ (10.10.221.0 должна видить 10.10.223.0)
и строки типа ip route 10.10.0.0 255.255.0.0 Tunnel0 не помогают

"NAT через туннель.... HELP!!"
Отправлено jomb , 22-Дек-04 18:02

>cisco 2610 и 805
>ios 12.2
>по debug ничего не показывает...
>
>
>
>!
>!
>crypto isakmp policy 1
> hash md5
> authentication pre-share
>crypto isakmp key cisco123 address 82.82.82.82
>!
>!
>crypto ipsec transform-set strong esp-3des esp-md5-hmac
>!
>crypto map vpn 10 ipsec-isakmp
> set peer 82.82.82.82
> set transform-set strong
> match address 101
>!
>!
>!
>!
>!
>!
>!
>interface Tunnel0
> ip address 192.168.1.1 255.255.255.252
> tunnel source Serial0/0
> tunnel destination 82.142.136.210
> crypto map vpn
Убери интерфейс
>!
>interface FastEthernet0/0
> ip address 10.10.221.251 255.255.255.0 secondary
> logging event subif-link-status
> speed auto
> full-duplex
> no cdp enable
> no mop enabled
>!
>interface Serial0/0
> ip address 217.69.223.6 255.255.255.252
> no ip redirects
> no ip unreachables
> no ip proxy-arp
> no fair-queue
> no cdp enable
> crypto map vpn
>!
>!
>ip classless
>ip route 0.0.0.0 0.0.0.0 217.69.223.5
>ip route 10.10.223.0 255.255.255.0 Tunnel0
Удали этот роут
>!
>no ip http server
>no ip http secure-server
>!
>!
>
>access-list 101 permit ip 10.10.223.0 0.0.0.255 10.10.221.0 0.0.0.255
access-list 101 permit ip 10.10.221.0 0.0.0.255 10.10.222.0 0.0.0.255
(src->dst)