Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 4.63/16: Рейтинг темы: голосов - 16, средняя оценка - 4.63
Davor
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
1

ipsec+NAT

08.12.2012, 13:01. Просмотров 2925. Ответов 24

День добрый, коллеги!
Помогите решить задачку: есть два клиента, которые не согласовали политики безопасности между собой. Задача - выступить в роли прокладки между ними, подстраиваясь под политики каждой стороны.
Во вложении - схема сети и конфиг.
Необходимо, что бы оба сервера могли инициировать подключение. При этом что бы сервер А инициировал подключение на "белый" адрес, который бы транслировался в "серый" для достижения сервера В. А сервер В, в свою очередь, мог бы инициировать подключение на "серый" адрес, который бы транслировался в "белый". Так же необходимо, что бы "белый" адрес (для сервера А) отличался от адреса пира для ipsek.
Может у кого то были подобные задачи... Конфиг, который предоставлен, не отработал. Туннели поднимаются, но NAT не срабатывает. Поправьте, что не так. Ну и вообще - возможно ли реализовать подобное на одной железке?
0
Миниатюры
ipsec+NAT  
Вложения
Тип файла: docx config.docx (14.5 Кб, 19 просмотров)
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
08.12.2012, 13:01
Ответы с готовыми решениями:

Dynamic VTI + IPSec + NAT
Пытаюсь установить туннель с dynamic VTI. Т.е. на хабе имеем статический белый IP, споук с...

Настроить NAT для трафика из IPSec туннеля
Добрый день! 1. Два офиса соединены IPSec туннелем, головной (192.168.0.0/24) и удаленный офис...

ipsec VPN
Добрый вечер уважаемые форумчане. Возник вопрос в настройке двух удаленных роутеров 1841. Пров дал...

IPSec Tunnel
Добрый день Есть некая абстрактная модель сети Есть два тунеля по DMVPN до региона.... 1...

Gre over ipsec
Здравствуйте коллеги может кто подскажет в чем может быть дело ) Задача: поднять шифрованый...

24
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,774
Записей в блоге: 3
09.12.2012, 02:49 2
День добрый.
Да, это возможно.
Буду краток, покажу сразу в действии:

(в приложении - топология и проверка)

server_a
ip address = 1.1.1.1 /24
default gateway = 1.1.1.2
r2
Код
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2

crypto isakmp key AB address 1.1.2.2

crypto ipsec transform-set TSET esp-3des esp-sha-hmac 

crypto map CMAP1 1 ipsec-isakmp 
 set peer 1.1.2.2
 set transform-set TSET 
 match address AB_ACL

interface FastEthernet0/0
 ip address 1.1.2.1 255.255.255.0
 crypto map CMAP1

interface FastEthernet0/1
 ip address 1.1.1.2 255.255.255.0

ip route 0.0.0.0 0.0.0.0 1.1.2.2

ip access-list extended AB_ACL
 permit ip host 1.1.1.1 host 3.3.3.2
r3
Код
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2

crypto isakmp policy 20
 hash md5
 authentication pre-share

crypto isakmp key AB address 1.1.2.1
crypto isakmp key BA address 2.2.2.1

crypto ipsec transform-set TSET esp-3des esp-sha-hmac 

crypto map CMAP1 1 ipsec-isakmp 
 set peer 1.1.2.1
 set transform-set TSET 
 match address AB_ACL

crypto map CMAP2 1 ipsec-isakmp 
 set peer 2.2.2.1
 set transform-set TSET 
 match address BA_ACL

interface FastEthernet0/0
 ip address 1.1.2.2 255.255.255.0
 ip nat inside
 crypto map CMAP1

interface FastEthernet0/1
 ip address 2.2.2.2 255.255.255.0
 ip nat outside
 crypto map CMAP2

ip route 1.1.1.1 255.255.255.255 1.1.2.1
ip route 3.3.3.2 255.255.255.255 2.2.2.1

ip nat inside source static 1.1.1.1 172.18.10.233
ip nat outside source static 2.2.3.1 3.3.3.2

ip access-list extended AB_ACL
 permit ip host 3.3.3.2 host 1.1.1.1

ip access-list extended BA_ACL
 permit ip host 172.18.10.233 host 2.2.3.1
r4
Код
crypto isakmp policy 20
 hash md5
 authentication pre-share

crypto isakmp key BA address 2.2.2.2

crypto ipsec transform-set TSET esp-3des esp-sha-hmac 

crypto map CMAP1 2 ipsec-isakmp 
 set peer 2.2.2.2
 set transform-set TSET 
 match address BA_ACL

interface FastEthernet0/0
 ip address 2.2.3.2 255.255.255.0

interface FastEthernet0/1
 ip address 2.2.2.1 255.255.255.0
 crypto map CMAP1

ip route 0.0.0.0 0.0.0.0 2.2.2.2

ip access-list extended BA_ACL
 permit ip host 2.2.3.1 host 172.18.10.233
server_b
ip address = 2.2.3.1 /24
default gateway = 2.2.3.2
1
Миниатюры
ipsec+NAT   ipsec+NAT   ipsec+NAT  

Davor
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
09.12.2012, 21:11  [ТС] 3
Спасибо. Но проблемка в том, что внешний интерфейс только один. И вот тут немного не ясно, как прикручивать NAT... Попробовал к Loopback, но что то не срабатывает
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,774
Записей в блоге: 3
09.12.2012, 23:42 4
Тогда через тот самый nvi.
0
Миниатюры
ipsec+NAT  
Вложения
Тип файла: txt R3.txt (1.8 Кб, 20 просмотров)
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,774
Записей в блоге: 3
10.12.2012, 00:00 5
а, ну и проверка:
0
Миниатюры
ipsec+NAT   ipsec+NAT  
Davor
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
10.12.2012, 12:00  [ТС] 6
Цитата Сообщение от Jabbson Посмотреть сообщение
Тогда через тот самый nvi.
туннель держит тот же самый роутер, на котором осуществляется NAT. И обязательные условия:
сервер А должен обращаться к адресу 3.3.3.2 и получать с этого же адреса ответ.
Сервер В должен получать запросы от адреса 172.18.10.233 и обращаться на него же.

Попробовал переделать конфиг, как посоветовали. Вот на такой. Может я что то не так понял? Но пакеты не проходят ни в одну сторону...
0
Вложения
Тип файла: txt config.txt (1.3 Кб, 12 просмотров)
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,774
Записей в блоге: 3
10.12.2012, 12:03 7
в моем конфиге все именно так и есть
продемонстрировать ip на конечных точках?
0
Davor
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
10.12.2012, 12:21  [ТС] 8
Цитата Сообщение от Jabbson Посмотреть сообщение
в моем конфиге все именно так и есть
продемонстрировать ip на конечных точках?
Если можно.
Хотя почему то у меня пакеты не проходят...
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,774
Записей в блоге: 3
10.12.2012, 12:36 9
Вот тут должно быть видно все.
0
Миниатюры
ipsec+NAT  
Davor
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
10.12.2012, 12:40  [ТС] 10
Цитата Сообщение от Jabbson Посмотреть сообщение
Вот тут должно быть видно все.
да, спасибо, вижу. Посмотрите, пожалуйста, мой конфиг (чуть выше), я там где то ошибся или в целом идею не так понял?
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,774
Записей в блоге: 3
10.12.2012, 12:53 11
Статика лишняя, кроме ласт резорта, проверьте туннели (статусы isakmp, ipsec), делайте дебаги пакетов, ната и icmp смотрите, что происходит, а что уже нет, каунтеры на туннелях. Плюс, Вы говорили, что обращение должно быть не на адрес, куда терминируется туннель.
0
Davor
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
10.12.2012, 13:02  [ТС] 12
Цитата Сообщение от Jabbson Посмотреть сообщение
Статика лишняя, кроме ласт резорта, проверьте туннели (статусы isakmp, ipsec), делайте дебаги пакетов, ната и icmp смотрите, что происходит, а что уже нет, каунтеры на туннелях. Плюс, Вы говорили, что обращение должно быть не на адрес, куда терминируется туннель.
да, туннель терминируется на 3.3.3.1, а обращение сервера идёт на 3.3.3.2
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,774
Записей в блоге: 3
10.12.2012, 13:06 13
может он и терминируется на 3.3.3.1, но в конфиге я вижу
Код
interface FastEthernet0/0
 description Ipsec-2-AB
 ip address 3.3.3.2 255.255.255.0
 ip nat enable
 duplex auto
 speed auto
 crypto map VPN
0
Davor
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
10.12.2012, 13:11  [ТС] 14
Цитата Сообщение от Jabbson Посмотреть сообщение
может он и терминируется на 3.3.3.1, но в конфиге я вижу
Код
interface FastEthernet0/0
 description Ipsec-2-AB
 ip address 3.3.3.2 255.255.255.0
 ip nat enable
 duplex auto
 speed auto
 crypto map VPN
опечатка... извиняюсь. Терминируется на 3.3.3.1. А обращение идёт на 3.3.3.2
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,774
Записей в блоге: 3
10.12.2012, 13:16 15
почему поменяны местами ip в нат стейтментах?
0
Davor
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
10.12.2012, 13:21  [ТС] 16
Цитата Сообщение от Jabbson Посмотреть сообщение
почему поменяны местами ip в нат стейтментах?
ip nat source static 3.3.3.2 2.2.3.1
ip nat source static 172.18.10.233 1.1.1.1
это? Local, Global. Верно же вроде
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,774
Записей в блоге: 3
10.12.2012, 13:26 17
Код
R3#show run | i ip nat source
ip nat source static 2.2.3.1 3.3.3.2
ip nat source static 1.1.1.1 172.18.10.233

R3#show ip nat nvi translations
Pro Source global      Source local       Destin  local      Destin  global
--- 172.18.10.233      1.1.1.1            ---                ---
--- 3.3.3.2            2.2.3.1            ---                ---
пускаем пинг и смотрим дебаг и снова трансляцию:
Код
R3#
*Mar  1 00:58:27.595: NAT*: i: icmp (1.1.1.1, 15) -> (3.3.3.2, 15) [35]
*Mar  1 00:58:27.595: NAT*: s=1.1.1.1->172.18.10.233, d=3.3.3.2 [35]
*Mar  1 00:58:27.599: NAT*: s=172.18.10.233, d=3.3.3.2->2.2.3.1 [35]
*Mar  1 00:58:27.815: NAT*: i: icmp (2.2.3.1, 15) -> (172.18.10.233, 15) [35]
*Mar  1 00:58:27.815: NAT*: s=2.2.3.1->3.3.3.2, d=172.18.10.233 [35]
*Mar  1 00:58:27.815: NAT*: s=3.3.3.2, d=172.18.10.233->1.1.1.1 [35]

R3#show ip nat nvi translations
Pro Source global      Source local       Destin  local      Destin  global
icmp 172.18.10.233:15  1.1.1.1:15         3.3.3.2:15         2.2.3.1:15
--- 172.18.10.233      1.1.1.1            ---                ---
--- 3.3.3.2            2.2.3.1            ---                ---
1
Davor
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
11.12.2012, 13:46  [ТС] 18
с натом вроде бы разобрался... туннели поднялись. Но пинги не пролезают. Вот такая картинка на нат трансляции

SPP-R2801#show ip nat nvi translations
Pro Source global Source local Destin local Destin global
icmp 3.3.3.2:35364 2.2.3.1:35364 172.18.10.233:35364 1.1.1.1:35364
--- 3.3.3.2 2.2.3.1 --- ---
--- 172.18.10.233 1.1.1.1 --- ---


А вот это - часть дебага icmp

.Dec 11 09:25:14.839: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature
.Dec 11 09:25:14.839: ICMP type=0, code=0, Stateful Inspection(4), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:14.839: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature
.Dec 11 09:25:14.839: ICMP type=0, code=0, Access List(28), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:14.843: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature
.Dec 11 09:25:14.843: ICMP type=0, code=0, IPSec input classification(33), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:14.843: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature
.Dec 11 09:25:14.843: ICMP type=0, code=0, MCI Check(66), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:14.843: FIBipv4-packet-proc: route packet from FastEthernet0/0 src 1.1.1.1 dst 3.3.3.2
.Dec 11 09:25:14.843: FIBfwd-proc: Default:3.3.3.2/32 recieve entry
.Dec 11 09:25:14.843: FIBipv4-packet-proc: packet routing failed
.Dec 11 09:25:14.843: IP: tableid=0, s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2 (FastEthernet0/0), routed via RIB
.Dec 11 09:25:14.843: FIBipv4-packet-proc: route packet from FastEthernet0/0 src 172.18.10.233 dst 2.2.3.1
.Dec 11 09:25:14.843: FIBipv4-packet-proc: packet routing succeeded
.Dec 11 09:25:14.843: IP: s=172.18.10.233 (FastEthernet0/0), d=2.2.3.1 (FastEthernet0/0), len 84, output feature
.Dec 11 09:25:14.843: ICMP type=0, code=0, Post-routing NAT NVI Output(19), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:14.843: IP: s=172.18.10.233 (FastEthernet0/0), d=2.2.3.1 (FastEthernet0/0), len 84, output feature
.Dec 11 09:25:14.843: ICMP type=0, code=0, Stateful Inspection(22), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:14.843: IP: s=172.18.10.233 (FastEthernet0/0), d=2.2.3.1 (FastEthernet0/0), len 84, rcvd local pkt
.Dec 11 09:25:14.843: ICMP type=0, code=0
.Dec 11 09:25:16.839: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature
.Dec 11 09:25:16.839: ICMP type=0, code=0, Stateful Inspection(4), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:16.839: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature
.Dec 11 09:25:16.839: ICMP type=0, code=0, Access List(28), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:16.839: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature
.Dec 11 09:25:16.843: ICMP type=0, code=0, IPSec input classification(33), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:16.843: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature
.Dec 11 09:25:16.843: ICMP type=0, code=0, MCI Check(66), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:16.843: FIBipv4-packet-proc: route packet from FastEthernet0/0 src 1.1.1.1 dst 3.3.3.2
.Dec 11 09:25:16.843: FIBfwd-proc: Default:3.3.3.2/32 recieve entry
.Dec 11 09:25:16.843: FIBipv4-packet-proc: packet routing failed
.Dec 11 09:25:16.843: IP: tableid=0, s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2 (FastEthernet0/0), routed via RIB
.Dec 11 09:25:16.843: FIBipv4-packet-proc: route packet from FastEthernet0/0 src 172.18.10.233 dst 2.2.3.1
.Dec 11 09:25:16.843: FIBipv4-packet-proc: packet routing succeeded
А это - кусочек дебага ната

.Dec 11 09:42:10.881: NAT*: i: icmp (2.2.3.1, 35364) -> (172.18.10.233, 35364) [0]
.Dec 11 09:42:10.881: NAT*: s=2.2.3.1->3.3.3.2, d=172.18.10.233 [0]
.Dec 11 09:42:10.881: NAT*: s=3.3.3.2, d=172.18.10.233->1.1.1.1 [0]
.Dec 11 09:42:10.941: NAT: i: icmp (1.1.1.1, 35364) -> (3.3.3.2, 35364) [18925]
.Dec 11 09:42:10.941: NAT: s=1.1.1.1->172.18.10.233, d=3.3.3.2 [18925]
.Dec 11 09:42:10.941: NAT: s=172.18.10.233, d=3.3.3.2->2.2.3.1 [18925]
.Dec 11 09:42:12.881: NAT*: i: icmp (2.2.3.1, 35364) -> (172.18.10.233, 35364) [0]
.Dec 11 09:42:12.881: NAT*: s=2.2.3.1->3.3.3.2, d=172.18.10.233 [0]
.Dec 11 09:42:12.881: NAT*: s=3.3.3.2, d=172.18.10.233->1.1.1.1 [0]
.Dec 11 09:42:12.941: NAT: i: icmp (1.1.1.1, 35364) -> (3.3.3.2, 35364) [18926]
.Dec 11 09:42:12.941: NAT: s=1.1.1.1->172.18.10.233, d=3.3.3.2 [18926]
.Dec 11 09:42:12.941: NAT: s=172.18.10.233, d=3.3.3.2->2.2.3.1 [18926]
.Dec 11 09:42:14.881: NAT*: i: icmp (2.2.3.1, 35364) -> (172.18.10.233, 35364) [0]
.Dec 11 09:42:14.881: NAT*: s=2.2.3.1->3.3.3.2, d=172.18.10.233 [0]
.Dec 11 09:42:14.881: NAT*: s=3.3.3.2, d=172.18.10.233->1.1.1.1 [0]
.Dec 11 09:42:14.941: NAT: i: icmp (1.1.1.1, 35364) -> (3.3.3.2, 35364) [18927]
.Dec 11 09:42:14.941: NAT: s=1.1.1.1->172.18.10.233, d=3.3.3.2 [18927]
.Dec 11 09:42:14.941: NAT: s=172.18.10.233, d=3.3.3.2->2.2.3.1 [18927]
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,774
Записей в блоге: 3
11.12.2012, 14:56 19
То есть мы видим трансляцию туда и обратно - значит проблема или роутинга или туннелирования. Сдается мне - роутинга. У Вас адрес на который обращается 1.1.1.1 и Ваш внешний интерфейс не из одной подсети?
0
Davor
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
11.12.2012, 15:08  [ТС] 20
Цитата Сообщение от Jabbson Посмотреть сообщение
То есть мы видим трансляцию туда и обратно - значит проблема или роутинга или туннелирования. Сдается мне - роутинга. У Вас адрес на который обращается 1.1.1.1 и Ваш внешний интерфейс не из одной подсети?
из одной. Внешний - 3.3.3.1\24, адрес на который обращается 1.1.1.1 - 3.3.3.2
0
11.12.2012, 15:08
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
11.12.2012, 15:08

VTI IPSec
Добрый день, имеется циска 2к серии. Настраиваю туннели по данному мануалу. Настраивал аналогичный...

Шифрование ipsec
Настраиваю шифрование ipsec, маршрутизация работает, но вот шифрование не работает выдает...

GRE over IPSEC
Здравствуйте. Прикрепляю схему, которую пытаюсь собрать в GNS. Скажите возможно ли на Cisco...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru