Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
marininpa
0 / 0 / 0
Регистрация: 21.09.2015
Сообщений: 5
1

Настроить NAT для трафика из IPSec туннеля

05.12.2017, 15:50. Просмотров 387. Ответов 6
Метки нет (Все метки)

Добрый день!
1. Два офиса соединены IPSec туннелем, головной (192.168.0.0/24) и удаленный офис (192.168.1.0/24) (Cisco 3825)
2. В удалённом офисе провайдер в транке отдал интернет (VLAN 10) и сеть 10.0.0.0/24(VLAN 20) для доступа к SIP телефонии.
3. Подключиться к SIP серверу провайдера (10.0.0.20) надо из сети 192.168.0.0/24, но провайдер разрешил соединения только с адреса 10.0.0.10 (это адрес нашего интерфейса в VLAN 20). тут получается надо натировать все запросы от нас.
Не могу настроить NAT для трафика который приходит в удалённый офис через ipsec туннель, т.к. для ipsec нет интерфейса и прописать ip nat inside негде...
Как тут можно выйти из ситуации?
0
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
05.12.2017, 15:50
Ответы с готовыми решениями:

ipsec+NAT
День добрый, коллеги! Помогите решить задачку: есть два клиента, которые не...

Dynamic VTI + IPSec + NAT
Пытаюсь установить туннель с dynamic VTI. Т.е. на хабе имеем статический белый...

Перенаправление трафика с CISCO на внешний NAT
Подскажите плз как лучше настроить. Схема следующая, | ЛОКАЛЬНАЯ СЕТЬ --->...

Как настроить Vty и ipsec и ospf
помогите настроить vty и ipsec и ospf. ipsec между Router4 Router3 vty на...

Cisco 1841 настроить NAT
Здравствуйте! Не получается настроить NAT. Cisco и две сети (внутренняя и...

6
insect_87
Модератор
Эксперт по компьютерным сетям
4843 / 3926 / 803
Регистрация: 25.12.2012
Сообщений: 16,687
05.12.2017, 17:14 2
чет не въеду, вы используете чистый ipsec (site-to-site)? не ipsec и gre?
0
Korax
Эксперт по компьютерным сетям
587 / 310 / 74
Регистрация: 20.04.2014
Сообщений: 851
05.12.2017, 17:25 3
Цитата Сообщение от insect_87 Посмотреть сообщение
чет не ,въеду, вы используете чистый ipsec? не ipsec и gre?
ipsec бывает в туннельном режиме, когда дополнительный тунеллирующий протокол (gre) не нужен.

2marininpa
не совсем понятно, как и что вы там хотите устроить...
предположу: на удаленном офисе голосовой трафик хотите засунуть в ipsec туннель до головного офиса, там выйти и дальше пойти на SIP-сервер?
10.0.0.10 - в головном офисе?
0
insect_87
Модератор
Эксперт по компьютерным сетям
4843 / 3926 / 803
Регистрация: 25.12.2012
Сообщений: 16,687
05.12.2017, 17:29 4
Korax, так я и спрашиваю ТС - crypto-map значит использовал

Цитата Сообщение от Korax Посмотреть сообщение
не совсем понятно, как и что вы там хотите устроить...
предположу: на удаленном офисе голосовой трафик хотите засунуть в ipsec туннель до головного офиса, там выйти и дальше пойти на SIP-сервер?
10.0.0.10 - в головном офисе?
->10.0.0.10 - в удаленном офисе
Цитата Сообщение от marininpa Посмотреть сообщение
провайдер разрешил соединения только с адреса 10.0.0.10 (это адрес нашего интерфейса в VLAN 20). тут получается надо натировать все запросы от нас.
0
Korax
Эксперт по компьютерным сетям
587 / 310 / 74
Регистрация: 20.04.2014
Сообщений: 851
05.12.2017, 17:57 5
Цитата Сообщение от insect_87 Посмотреть сообщение
->10.0.0.10 - в удаленном офисе
тогда - наоборот?
голосовой трафик из главного офиса- в ipsec туннель, там вылезает и натится до sip-сервера?
0
marininpa
0 / 0 / 0
Регистрация: 21.09.2015
Сообщений: 5
05.12.2017, 18:24  [ТС] 6
>тогда - наоборот?
>голосовой трафик из главного офиса- в ipsec туннель, там вылезает и натится до sip-сервера?
да, всё верно.

>ipsec бывает в туннельном режиме, когда дополнительный тунеллирующий протокол (gre) не нужен.
Да, настроено без gre, т.к. удаленных офисов много и на большинстве нет поддержки gre

Добавлено через 2 минуты
Без NAT я могу маршрутизировать трафик в сеть 10.0.0.0/24, но провайдер против, т.к. ему придётся прописывать маршруты до нашей сети 192.168.0.0/24 и безопасники провайдера не разрешают.
0
insect_87
Модератор
Эксперт по компьютерным сетям
4843 / 3926 / 803
Регистрация: 25.12.2012
Сообщений: 16,687
13.12.2017, 07:47 7
marininpa, gre + ipsec нет возможности настроить?
0
13.12.2017, 07:47
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
13.12.2017, 07:47

Настроить nat (лаба в unetlab)
Компьютер-L2-Router-Inet(210.210.1.2/30). Я выполнил. Пробую другую схему....

ASA nat для outside интерфейса
Добрый день , имеется ASA версии 8.4, к ней подключена внутренняя сеть и сеть...

Настройка NAT для резервного доступа из вне
Доброго времени суток. Прежде всего прошу прощения, если создал тему не в том...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
7
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru