Озадачил меня начальник задачей , циска в живую у меня первая,кхе кхе,
В общем всё вроде бы просто , но не хватат знаний и практики. Очень прошу помочь советами.
Задача такова , есть офис , смотрит в инет по белому адресу через циску , на циску клиенты выходят через прокссисервер, и есть удалённое подразделение которое смотрит в инет по серому адресу через прова , там маршрутизатор Телесин, там поднят нат и фаерволл, задача такая по запросу той или иной стороны должен создатся ipsec туннель , и при этом должен остаться выход в инет и у той стороны и у другой.
Вопрос первый - возможно ли вообще создать ipsec между белым и серым адресом.
Вопрос второй - если возможно создать ipsec между белым и серым адресом
, то возможно ли сделать так чтоб при этом клиенты спокойно ходили в инет.
вопрос 3 - если так невозможно , то как обьяснить всё шефу((
Оборудование поддерживает ipsec .
Если можно то от кусочков конфигоф я бы не отказался бы и был бы рад.
Как я понимаю эту задачу -поднять Ipsec с двух сторон с ключами , прописать для этого трафик который шифруется , остальной будет соответсятвенно инет трафиком.. NAT соответственно с телесима убрать , поставить перед телсимом прокси сервер. Вот будет ли так работать вот в чём вопрос.
>Вопрос первый - возможно ли вообще создать ipsec между белым и
>серым адресом.
>Вопрос второй - если возможно создать ipsec между белым и серым
>адресом
> , то возможно ли сделать так чтоб при этом клиенты спокойно
>ходили в инет.
>вопрос 3 - если так невозможно , то как обьяснить всё шефу((Я в IPSec не спец, но интересно как белый адрес будет искать серый адрес через сеть? Т.е. в любом случае тебе нужно юзать белый адреса, а будет ли это собственный или провайдер будет тебе делать редирект по портам не знаю.
А что пров такой бедный на айпишники, что не может дать один белый адрес?
>Я в IPSec не спец, но интересно как белый адрес будет искать
>серый адрес через сеть?
У него NAT. Ему надо лишь пробросить 500 порт UDP вовнутрь, чтобы ISAKMP с "белого" на "серый" адрес смог инициироваьт обмен ключами. Если это невозможно, то либо всегда инициировать обмен с "серого" адреса на "белый", либо вообще отказаться от ISAKMP и использовать статику.
На 1-й и 2-й вопросы ответ положительный.
1) Есть такая вещь под названием IPSec NAT Traversal. Это инкапсуляция ESP-пакетов в пакеты UDP. Его поддерживают уже, кажется, все мало-мальски приличные устройства.
2) Надо правильно настроить маршрутизацию и NAT.
>На 1-й и 2-й вопросы ответ положительный.
>1) Есть такая вещь под названием IPSec NAT Traversal. Это инкапсуляция ESP-пакетов
>в пакеты UDP. Его поддерживают уже, кажется, все мало-мальски приличные устройства.
>
>2) Надо правильно настроить маршрутизацию и NAT.
Спасибо большое на ответы буду пробывать.
Продолжение .Братия и сестры !!! к вам обращаюсь я за советом в трудное для сети время )Построение ipsec туннеля между серым и белым адрессом.
Схемка сети
212.4.3.1 – Адрес сети за маршрутизатором тоже белый , трафик должен шифроваться при обмене с этом адресом и серым адресом .
*
*
212.4.3.2 – Адрес внутреннего шлюза на маршрутизаторе – белый.
212.3.5.6 – Адрес внешнего шлюза на маршрутизаторе -белый( на котором поднимаем туннель IPSEC
*
*
82.35.65.1 – Адрес внешнего шлюза провайдера - Белый (Маршрутизатор провайдера)
выходит наш серый адрес в инет под этим адресом
192.168.3.4 - Адрес внутреннего шлюза провайдера.(скорее всего натит все приходящие адреса в адрес внешнего шлюза )
*
*
192.168.3.3- Адрес внешнего шлюза нашего маршрутизатора (филиал), по которому мы приходим на шлюз маршрутизатора провайдера 192.168.3.4 Естественно серый.
Вот это должна быть конечная точка туннеля IPSEC (Должен шифроваться трафик 192.168.3.3 к белому адресу 212.4.3.1 , сам туннель должен быть поднят между серым адресом 192.168.3.3 – 212.3.5.6 белый адрес.
10.1.1.2 – Шлюз на маршрутизаторе филиала (Натим адреса сети в 192.168.3.3)
*
*
10.1.1.1 – Сеть филиалаВопрос!
В общем если провайдера попросить пробросить на своём маршрутизаторе
Udp порт 500 через свой маршрутизатор , туда и обратно для нашего серого и белого адресса, ещё разрешить esp трафик при обмене между нашими адресами, соответственно у нас тоже открыть тоже самое , будет ли поднят между серым и белым адресом туннель Ipsec , хотя бы в случае когда инициатором построения туннеля выступает серый адресс.?Ещё один Вопрос, какие адреса ставить в настройке Ipsec туннеля , они должны быть все белые или можно писать серые адреса.?
Вопрос третий – если так нельзя поднять туннель то где же у него кнопка )))?
Вот в принципе все вопросы, если кто сможет ответить , буду признателен , если кто в Москве могу пыва поставить.
sh run
Building configuration...Current configuration:
!
version 12.0
no service timestamps debug uptime
no service timestamps log uptime
service password-encryption
no service dhcp
!
hostname Router
enable secret 5
enable password 7
!
!
!
!
clock timezone GMT 3
no ip subnet-zero
no ip source-route
no ip finger
!
no ip bootp server
!
!!
crypto isakmp policy 1
! Устанавливаем полиси ISAKMP, приоритет 1.
hash md5
! Используем MD5, как алгоритм аутентификации (вместо SHA, который
! медленнее, но более защищённый).
authentication pre-share
! Используем жёстко заданный ключ "MySecureKey".
!
crypto isakmp key MySecureKey address (Пишется адрес другой стороны ,вот тут то и грабли адрес другой стороны серый_)
! Устанавливаем ключ и адрес другой системы, которой проходит первичная аутентификация по общему
! ключю.
!
crypto ipsec transform-set MYTS esp-des esp-md5-hmac
! Создаем transform-set и назовём его MYTS, который использует
! ESP (Encapsulating Security Payload) шифрацию с
! DES и аутентификацию с MD5. В этом случае мы будем
! шифровать только полезную часть пакета не трогая
! заголовков.
!
.
!
crypto map IPSECLINKSYS 1 ipsec-isakmp
! Определяем, что IPSECLINKSYS, порядковый номер 1, использует
! ISAKMP для обмена ключами.
set peer (Серый Адрес другой стороны – в общем я думаю если сделать проброс нужных портов у провайдера и на наших маршрутизаторах , по крайней мере запрос на соединение с серой стороны будет устанавливатся, а вот от белого адреса к серому врятли, поэтому надо писать белый адрес другой стороны)
set transform-set MYTS
! Устанавливаем нужную трансформацию
match address SECURED-TUN
! Пропускать только пакеты IPSEC, которые подпадают под расширенный
! ACL, под именем SECURED-TUN
ip access-list extended SECURED-TUN
! Создаем ACL для определения сетей для шифрации IPSEC.
remark IPSEC ACL
! Комментарии обязательно нужны. :-)
permit ip Вот тут тоже надо подумать какие адреса писать на шифрацию (Белый-белый или Серый –Белый)! Разрешаем проходить через туннель только с (неизвестно)
permit ip Вот тут тоже надо подумать какие адреса писать на шифрацию (Белый-белый или Серый –Белый)! и обратно.
interface FastEthernet0/0
!
interface Serial0/0
description
bandwidth 256
ip address
ip access-group in
no ip directed-broadcast
no ip mroute-cache
fair-queue 64 256 0
ignore-dcd
no cdp enable
crypto map SECURED-TUN !
interface FastEthernet0/1
bandwidth 100000
ip address
ip access-group in
ip access-group out
no ip directed-broadcast
no ip mroute-cache
duplex auto
speed auto
no cdp enable
>Вопрос!
>В общем если провайдера попросить пробросить на своём маршрутизаторе
>Udp порт 500 через свой маршрутизатор , туда и обратно для нашего
>серого и белого адресса, ещё разрешить esp трафик при обмене между
>нашими адресами, соответственно у нас тоже открыть тоже самое ,
>будет ли поднят между серым и белым адресом туннель Ipsec ,
>хотя бы в случае когда инициатором построения туннеля выступает серый адресс.?Нет, не будет, поскольку ваш провайдер наверняка делает NAT Overload (много внутренних адресов в один внешний). В этом случае, как я уже говорил, нужно использовать NAT Traversal. Таким образом, разрешать трафик ESP не нужно, а вот NAT Traversal (UDP:4500) - необходимо.
>Ещё один Вопрос, какие адреса ставить в настройке Ipsec туннеля , они
>должны быть все белые или можно писать серые адреса.?Подумайте. Эти адреса суть конечные точки туннеля. Они будут стоять в заголовках ESP (в вашем случае - NAT-T) пакетов. Очевидно, что адреса должны быть публичными, "белыми".
>Вопрос третий – если так нельзя поднять туннель то где же у
>него кнопка )))?Почитайте теорию, если хотите разобраться. Не хотите - идите на www.cisco.com и покопайтесь в тамошних примерах. Там есть примеры, представляющие собой один в один ваш случай.
>>Вопрос!
>>В общем если провайдера попросить пробросить на своём маршрутизаторе
>>Udp порт 500 через свой маршрутизатор , туда и обратно для нашего
>>серого и белого адресса, ещё разрешить esp трафик при обмене между
>>нашими адресами, соответственно у нас тоже открыть тоже самое ,
>>будет ли поднят между серым и белым адресом туннель Ipsec ,
>>хотя бы в случае когда инициатором построения туннеля выступает серый адресс.?
>
>Нет, не будет, поскольку ваш провайдер наверняка делает NAT Overload (много внутренних
>адресов в один внешний). В этом случае, как я уже говорил,
>нужно использовать NAT Traversal. Таким образом, разрешать трафик ESP не нужно,
>а вот NAT Traversal (UDP:4500) - необходимо.
>
>>Ещё один Вопрос, какие адреса ставить в настройке Ipsec туннеля , они
>>должны быть все белые или можно писать серые адреса.?
>
>Подумайте. Эти адреса суть конечные точки туннеля. Они будут стоять в заголовках
>ESP (в вашем случае - NAT-T) пакетов. Очевидно, что адреса должны
>быть публичными, "белыми".
>
>>Вопрос третий – если так нельзя поднять туннель то где же у
>>него кнопка )))?
>
>Почитайте теорию, если хотите разобраться. Не хотите - идите на www.cisco.com и
>покопайтесь в тамошних примерах. Там есть примеры, представляющие собой один в
>один ваш случай.Пока на циско ком нашёл пример в котором нужно создавать общие ключи своего роутера с провайдерским - это не подходит, надо чтобы провайдер был посредником( что то такого найти не могу.
>>>Вопрос!
>>>В общем если провайдера попросить пробросить на своём маршрутизаторе
>>>Udp порт 500 через свой маршрутизатор , туда и обратно для нашего
>>>серого и белого адресса, ещё разрешить esp трафик при обмене между
>>>нашими адресами, соответственно у нас тоже открыть тоже самое ,
>>>будет ли поднят между серым и белым адресом туннель Ipsec ,
>>>хотя бы в случае когда инициатором построения туннеля выступает серый адресс.?
>>
>>Нет, не будет, поскольку ваш провайдер наверняка делает NAT Overload (много внутренних
>>адресов в один внешний). В этом случае, как я уже говорил,
>>нужно использовать NAT Traversal. Таким образом, разрешать трафик ESP не нужно,
>>а вот NAT Traversal (UDP:4500) - необходимо.
>>
>>>Ещё один Вопрос, какие адреса ставить в настройке Ipsec туннеля , они
>>>должны быть все белые или можно писать серые адреса.?
>>
>>Подумайте. Эти адреса суть конечные точки туннеля. Они будут стоять в заголовках
>>ESP (в вашем случае - NAT-T) пакетов. Очевидно, что адреса должны
>>быть публичными, "белыми".
>>
>>>Вопрос третий – если так нельзя поднять туннель то где же у
>>>него кнопка )))?
>>
>>Почитайте теорию, если хотите разобраться. Не хотите - идите на www.cisco.com и
>>покопайтесь в тамошних примерах. Там есть примеры, представляющие собой один в
>>один ваш случай.
>
>Пока на циско ком нашёл пример в котором нужно создавать общие ключи
>своего роутера с провайдерским - это не подходит, надо чтобы провайдер
>был посредником( что то такого найти не могу.
toor99 огромное спасибо нашел то что нужно!!! С меня пыво ) так что если что пишите на мыло )))
>toor99 огромное спасибо нашел то что нужно!!! С меня пыво ) так
>что если что пишите на мыло )))
а где нашел?дай ссылку плиз
>
>>toor99 огромное спасибо нашел то что нужно!!! С меня пыво ) так
>>что если что пишите на мыло )))
>
>
>а где нашел?
>
>дай ссылку плизО тема поднялась , надо вспоминать где лежит , PDF я скачал . Нажо посмотреть.
>>
>>>toor99 огромное спасибо нашел то что нужно!!! С меня пыво ) так
>>>что если что пишите на мыло )))
>>
>>
>>а где нашел?
>>
>>дай ссылку плиз
>
>О тема поднялась , надо вспоминать где лежит , PDF я
>скачал . Нажо посмотреть.
Отослал по почте PDF если почта у тебя правильно указана то дорлжно придти.
>Отослал по почте PDF если почта у тебя правильно указана то
> дорлжно придти.
Почту указал правильно, но ниче не пришло.Плиз, попробуй выслать на igor.semeryukov@gmail.ru
Заранее большое спасибо.
>Почту указал правильно, но ниче не пришло.
>
>Плиз, попробуй выслать на igor.semeryukov@gmail.ru
>
>Заранее большое спасибо.т.е. gmail.com
сори описался