Davor
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
|
|
1 | |
ipsec+NAT08.12.2012, 13:01. Просмотров 2925. Ответов 24
День добрый, коллеги!
Помогите решить задачку: есть два клиента, которые не согласовали политики безопасности между собой. Задача - выступить в роли прокладки между ними, подстраиваясь под политики каждой стороны. Во вложении - схема сети и конфиг. Необходимо, что бы оба сервера могли инициировать подключение. При этом что бы сервер А инициировал подключение на "белый" адрес, который бы транслировался в "серый" для достижения сервера В. А сервер В, в свою очередь, мог бы инициировать подключение на "серый" адрес, который бы транслировался в "белый". Так же необходимо, что бы "белый" адрес (для сервера А) отличался от адреса пира для ipsek. Может у кого то были подобные задачи... Конфиг, который предоставлен, не отработал. Туннели поднимаются, но NAT не срабатывает. Поправьте, что не так. Ну и вообще - возможно ли реализовать подобное на одной железке?
0
|
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
|
08.12.2012, 13:01 |
Ответы с готовыми решениями:
24
Dynamic VTI + IPSec + NAT Настроить NAT для трафика из IPSec туннеля ipsec VPN IPSec Tunnel Gre over ipsec |
Jabbson
![]() |
|
09.12.2012, 02:49 | 2 |
День добрый.
Да, это возможно. Буду краток, покажу сразу в действии: (в приложении - топология и проверка) server_a
ip address = 1.1.1.1 /24
default gateway = 1.1.1.2 r2
Код
crypto isakmp policy 10 encr 3des authentication pre-share group 2 crypto isakmp key AB address 1.1.2.2 crypto ipsec transform-set TSET esp-3des esp-sha-hmac crypto map CMAP1 1 ipsec-isakmp set peer 1.1.2.2 set transform-set TSET match address AB_ACL interface FastEthernet0/0 ip address 1.1.2.1 255.255.255.0 crypto map CMAP1 interface FastEthernet0/1 ip address 1.1.1.2 255.255.255.0 ip route 0.0.0.0 0.0.0.0 1.1.2.2 ip access-list extended AB_ACL permit ip host 1.1.1.1 host 3.3.3.2 r3
Код
crypto isakmp policy 10 encr 3des authentication pre-share group 2 crypto isakmp policy 20 hash md5 authentication pre-share crypto isakmp key AB address 1.1.2.1 crypto isakmp key BA address 2.2.2.1 crypto ipsec transform-set TSET esp-3des esp-sha-hmac crypto map CMAP1 1 ipsec-isakmp set peer 1.1.2.1 set transform-set TSET match address AB_ACL crypto map CMAP2 1 ipsec-isakmp set peer 2.2.2.1 set transform-set TSET match address BA_ACL interface FastEthernet0/0 ip address 1.1.2.2 255.255.255.0 ip nat inside crypto map CMAP1 interface FastEthernet0/1 ip address 2.2.2.2 255.255.255.0 ip nat outside crypto map CMAP2 ip route 1.1.1.1 255.255.255.255 1.1.2.1 ip route 3.3.3.2 255.255.255.255 2.2.2.1 ip nat inside source static 1.1.1.1 172.18.10.233 ip nat outside source static 2.2.3.1 3.3.3.2 ip access-list extended AB_ACL permit ip host 3.3.3.2 host 1.1.1.1 ip access-list extended BA_ACL permit ip host 172.18.10.233 host 2.2.3.1 r4
Код
crypto isakmp policy 20 hash md5 authentication pre-share crypto isakmp key BA address 2.2.2.2 crypto ipsec transform-set TSET esp-3des esp-sha-hmac crypto map CMAP1 2 ipsec-isakmp set peer 2.2.2.2 set transform-set TSET match address BA_ACL interface FastEthernet0/0 ip address 2.2.3.2 255.255.255.0 interface FastEthernet0/1 ip address 2.2.2.1 255.255.255.0 crypto map CMAP1 ip route 0.0.0.0 0.0.0.0 2.2.2.2 ip access-list extended BA_ACL permit ip host 2.2.3.1 host 172.18.10.233 server_b
ip address = 2.2.3.1 /24
default gateway = 2.2.3.2
1
|
Davor
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
|
|
09.12.2012, 21:11 [ТС] | 3 |
Спасибо. Но проблемка в том, что внешний интерфейс только один. И вот тут немного не ясно, как прикручивать NAT... Попробовал к Loopback, но что то не срабатывает
0
|
Davor
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
|
|
10.12.2012, 12:00 [ТС] | 6 |
туннель держит тот же самый роутер, на котором осуществляется NAT. И обязательные условия:
сервер А должен обращаться к адресу 3.3.3.2 и получать с этого же адреса ответ. Сервер В должен получать запросы от адреса 172.18.10.233 и обращаться на него же. Попробовал переделать конфиг, как посоветовали. Вот на такой. Может я что то не так понял? Но пакеты не проходят ни в одну сторону...
0
|
Davor
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
|
|
10.12.2012, 12:21 [ТС] | 8 |
0
|
Davor
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
|
|
10.12.2012, 12:40 [ТС] | 10 |
да, спасибо, вижу. Посмотрите, пожалуйста, мой конфиг (чуть выше), я там где то ошибся или в целом идею не так понял?
0
|
Jabbson
![]() |
|
10.12.2012, 12:53 | 11 |
Статика лишняя, кроме ласт резорта, проверьте туннели (статусы isakmp, ipsec), делайте дебаги пакетов, ната и icmp смотрите, что происходит, а что уже нет, каунтеры на туннелях. Плюс, Вы говорили, что обращение должно быть не на адрес, куда терминируется туннель.
0
|
Davor
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
|
|
10.12.2012, 13:02 [ТС] | 12 |
0
|
Jabbson
![]() |
|
10.12.2012, 13:06 | 13 |
может он и терминируется на 3.3.3.1, но в конфиге я вижу
Код
interface FastEthernet0/0 description Ipsec-2-AB ip address 3.3.3.2 255.255.255.0 ip nat enable duplex auto speed auto crypto map VPN
0
|
Davor
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
|
|
10.12.2012, 13:11 [ТС] | 14 |
0
|
Davor
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
|
|
10.12.2012, 13:21 [ТС] | 16 |
0
|
Jabbson
![]() |
|
10.12.2012, 13:26 | 17 |
Код
R3#show run | i ip nat source ip nat source static 2.2.3.1 3.3.3.2 ip nat source static 1.1.1.1 172.18.10.233 R3#show ip nat nvi translations Pro Source global Source local Destin local Destin global --- 172.18.10.233 1.1.1.1 --- --- --- 3.3.3.2 2.2.3.1 --- --- Код
R3# *Mar 1 00:58:27.595: NAT*: i: icmp (1.1.1.1, 15) -> (3.3.3.2, 15) [35] *Mar 1 00:58:27.595: NAT*: s=1.1.1.1->172.18.10.233, d=3.3.3.2 [35] *Mar 1 00:58:27.599: NAT*: s=172.18.10.233, d=3.3.3.2->2.2.3.1 [35] *Mar 1 00:58:27.815: NAT*: i: icmp (2.2.3.1, 15) -> (172.18.10.233, 15) [35] *Mar 1 00:58:27.815: NAT*: s=2.2.3.1->3.3.3.2, d=172.18.10.233 [35] *Mar 1 00:58:27.815: NAT*: s=3.3.3.2, d=172.18.10.233->1.1.1.1 [35] R3#show ip nat nvi translations Pro Source global Source local Destin local Destin global icmp 172.18.10.233:15 1.1.1.1:15 3.3.3.2:15 2.2.3.1:15 --- 172.18.10.233 1.1.1.1 --- --- --- 3.3.3.2 2.2.3.1 --- ---
1
|
Davor
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
|
|
11.12.2012, 13:46 [ТС] | 18 |
с натом вроде бы разобрался... туннели поднялись. Но пинги не пролезают. Вот такая картинка на нат трансляции
SPP-R2801#show ip nat nvi translations Pro Source global Source local Destin local Destin global icmp 3.3.3.2:35364 2.2.3.1:35364 172.18.10.233:35364 1.1.1.1:35364 --- 3.3.3.2 2.2.3.1 --- --- --- 172.18.10.233 1.1.1.1 --- --- А вот это - часть дебага icmp
0
|
Jabbson
![]() |
|
11.12.2012, 14:56 | 19 |
То есть мы видим трансляцию туда и обратно - значит проблема или роутинга или туннелирования. Сдается мне - роутинга. У Вас адрес на который обращается 1.1.1.1 и Ваш внешний интерфейс не из одной подсети?
0
|
Davor
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
|
|
11.12.2012, 15:08 [ТС] | 20 |
0
|
11.12.2012, 15:08 | |
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
|
11.12.2012, 15:08 |
VTI IPSec
Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |