Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.55/22: Рейтинг темы: голосов - 22, средняя оценка - 4.55
ajax1980
0 / 0 / 0
Регистрация: 12.03.2012
Сообщений: 6
1

Выход через ipsec VPN в интернет через Cisco Router

12.03.2012, 20:42. Просмотров 4217. Ответов 10
Метки нет (Все метки)

Есть две локальные сети 192.168.1.0/24 и 192.168.2.0/24, между ними построен ipsec vpn. Как получить доступ с сети 192.168.1.0/24 через РОУТЕР2 на 8.8.8.8, то есть выход в интернет через роутер2? На GRE можно сделать, а как сделать при ipsec vpn

192.168.1.0/24-----РОУТЕР1---10.1.1.1 --------10.1.1.2---РОУТЕР2---192.168.2.0/24


Конфиг РОУТЕР2:
Код
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2

crypto ipsec transform-set GO esp-3des esp-md5-hmac
mode transport


crypto isakmp key cisco address 10.1.1.1


crypto map VPN 10 ipsec-isakmp
set peer 10.1.1.1
set transform-set GO
match address 101

access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 permit ip 192.168.0.0 0.0.255.255 host 8.8.8.8
ip nat inside sourse list 100 interface fastethernet 1 overload


interface fastethernet 1
ip address 10.1.1.2 255.255.255.252
ip nat outside
crypto map VPN

interface vlan 1
ip address 192.168.2.1 255.255.255.0
ip nat inside
0
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
12.03.2012, 20:42
Ответы с готовыми решениями:

Cisco ASA<->Cisco Router L2L VPN
Добрый день. Столкнулся с проблемой - не поднимается туннель между ASAv4 и R. Между ASAv4 и ASAv5 -...

Site to Site IPSec VPN CISCO891-K9 & Cisco RV120W Wireless-N VPN Firewall
Добрый день. Есть роутер CISCO891-K9 на котором есть один site to site vpn туннель с таким же...

Site to Site IPSec VPN CIsco 800 & Cisco SRP 500 series
Доброго времени суток. Есть филиал на котором установлена Cisco 881 и есть удаленная точка на...

vpn туннель ipsec с двумя cisco 871
Привет всем, сразу перейду к делу. Есть два офиса (А,Б), и есть два cisco 871. Я новичок в cisco....

VPN Statefull failover on Cisco Router
Короче нужно мне реализовать следующую схему. Два маршрутизатора Cisco обеднены в кластер,...

10
Jabbson
Эксперт по компьютерным сетям
3446 / 2491 / 777
Регистрация: 03.11.2009
Сообщений: 7,933
Записей в блоге: 3
12.03.2012, 21:51 2
Например, вот так:
R1
Router#show run
...
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp key cisco address 10.1.1.2
!
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
!
crypto map CMAP 10 ipsec-isakmp
set peer 10.1.1.2
set pfs group1
set security-association lifetime seconds 86400
set transform-set TSET
match address IPSEC-ACL
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
!
interface FastEthernet0/1
ip address 10.1.1.1 255.255.255.252
crypto map CMAP
!
ip route 0.0.0.0 0.0.0.0 10.1.1.2
!
ip access-list extended IPSEC-ACL
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
!
end

R2
Router#show run
...
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp key cisco address 10.1.1.1
!
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
!
crypto map CMAP 10 ipsec-isakmp
set peer 10.1.1.1
set pfs group1
set security-association lifetime seconds 86400
set transform-set TSET
match address IPSEC-ACL
!
interface FastEthernet0/0
ip address 192.168.2.1 255.255.255.0
ip nat inside
!
interface FastEthernet0/1
ip address 10.1.1.2 255.255.255.252
ip nat inside
crypto map CMAP
!
interface Serial0/0/0
ip address 170.80.90.100 255.255.255.0
ip nat outside
clock rate 128000
!
ip nat inside source list NAT-ACL interface Serial0/0/0 overload
!
ip route 0.0.0.0 0.0.0.0 Serial0/0/0
ip route 192.168.1.0 255.255.255.0 FastEthernet0/1
!
ip access-list extended NAT-ACL
permit ip 192.168.0.0 0.0.255.255 any
!
ip access-list extended IPSEC-ACL
permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
!
end
0
Миниатюры
Выход через ipsec VPN в интернет через Cisco Router  
ajax1980
0 / 0 / 0
Регистрация: 12.03.2012
Сообщений: 6
12.03.2012, 22:28  [ТС] 3
именно так, пользователь 192.168.1.10 должен конектится к 8.8.8.8 через ipsec vpn
0
Jabbson
Эксперт по компьютерным сетям
3446 / 2491 / 777
Регистрация: 03.11.2009
Сообщений: 7,933
Записей в блоге: 3
12.03.2012, 22:34 4
На обеих сторонах

R1 & R2
ip access-list extended IPSEC-ACL
permit ip any any


тогда весь трафик попадет в ipsec.
0
ajax1980
0 / 0 / 0
Регистрация: 12.03.2012
Сообщений: 6
12.03.2012, 23:51  [ТС] 5
не пробывал так permit ip any any , применял acl только сеть-сеть, а если сделать через loopback интерфейс?
Код
interface Loopback 0
 ip address 1.1.1.1 255.255.255.255
ip nat inside 


ip nat inside source list NAT-ACL interface Serial0/0/0 overload
ip access-list extended NAT-ACL
permit ip host 1.1.1.1 host 8.8.8.8
permit ip 192.168.0.0 0.0.255.255 any


трафик который нас интересует 
access-list 150 permit ip 192.168.1.0 0.0.0.255 host 8.8.8.8
route-map GO_TO_INTERNET permit 10
 match address 150
 set interface Loopback 0

interface Serial0/0/0
ip nat outside
ip policy route map GO_TO_INTERNET

[size="1"][color="grey"][I]Добавлено через 31 минуту[/I][/color][/size]
я извиняюсь,  схема будет  по другому

Конфиг роутера 2
Router2#show run
...
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp key cisco address 10.1.1.1
!
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
!
crypto map CMAP 10 ipsec-isakmp
set peer 10.1.1.1
set pfs group1
set security-association lifetime seconds 86400
set transform-set TSET
match address IPSEC-ACL
!
interface FastEthernet0/0
ip address 192.168.2.1 255.255.255.0
ip nat inside
!
Инет
[B]interface FastEthernet0/1
ip address 10.1.1.2 255.255.255.252
ip nat outside
crypto map CMAP[/B]
!

!
ip nat inside source list NAT-ACL interface FastEthernet0/1 overload
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1

!
ip access-list extended NAT-ACL
deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 192.168.0.0 0.0.255.255 any
!
ip access-list extended IPSEC-ACL
permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
!
end
0
Jabbson
Эксперт по компьютерным сетям
3446 / 2491 / 777
Регистрация: 03.11.2009
Сообщений: 7,933
Записей в блоге: 3
13.03.2012, 01:02 6
Цитата Сообщение от ajax1980 Посмотреть сообщение
не пробывал так permit ip any any , применял acl только сеть-сеть

ну, если обязательно должно быть сеть-сеть, то вместо
Код
permit ip any any
можно писать
Код
permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
это сеть-сеть, так?
0
ajax1980
0 / 0 / 0
Регистрация: 12.03.2012
Сообщений: 6
14.03.2012, 12:03  [ТС] 7
permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
такой вариант не подойдет так как crypto map CMAP настроен на несколько отдаленных подсетей, получиться если я так сделаю, то vpn ipsec не будет работать на другие подсети
0
Jabbson
Эксперт по компьютерным сетям
3446 / 2491 / 777
Регистрация: 03.11.2009
Сообщений: 7,933
Записей в блоге: 3
14.03.2012, 15:02 8
тогда попробуйте перед
permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
добавить deny c теми другими сетями.
0
ajax1980
0 / 0 / 0
Регистрация: 12.03.2012
Сообщений: 6
15.03.2012, 11:37  [ТС] 9
Хорошо, а как же быть с ip nat outside

interface FastEthernet0/1
ip address 10.1.1.2 255.255.255.252
ip nat outside
crypto map CMAP
0
Jabbson
Эксперт по компьютерным сетям
3446 / 2491 / 777
Регистрация: 03.11.2009
Сообщений: 7,933
Записей в блоге: 3
15.03.2012, 20:21 10
Что именно "как быть"? Как тут нат связан с туннелем?

Давайте, сформулируйте все правила - что и где должно ходить, что и где должно натироваться и какой именно трафик должен проходить туннелем и мы все быстро нарисуем.
0
gurlov
3 / 3 / 1
Регистрация: 27.05.2014
Сообщений: 369
14.04.2015, 23:56 11
Цитата Сообщение от Jabbson Посмотреть сообщение
Например, вот так:
R1
R2
Миниатюры
Я извиняюсь, конкретно эта схема и приложенные конфиги работоспособны? т.е хост 192.168.1.10 через VPN туннель видит и 192.168.2.10 и 8.8.8.8 ???
0
14.04.2015, 23:56
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
14.04.2015, 23:56

CallManager через vpn на cisco 2901
имеется сеть внутри которой стоит cisco callmanager, интернет зацеплен на роутер cisco 2901....

Создание VPN через Router
Интересует есть ли возможность создать VPN сервер с помощью маршрутизатора поддерживающего функцию...

Ошибка подключения через Cisco VPN Client
Добрый день. Ребята подскажите, в чем может быть проблема. Пытаюсь подключиться по протоколу...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
11
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru