0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
|
|
1 | |
ipsec+NAT08.12.2012, 13:01. Показов 4246. Ответов 24
День добрый, коллеги!
Помогите решить задачку: есть два клиента, которые не согласовали политики безопасности между собой. Задача - выступить в роли прокладки между ними, подстраиваясь под политики каждой стороны. Во вложении - схема сети и конфиг. Необходимо, что бы оба сервера могли инициировать подключение. При этом что бы сервер А инициировал подключение на "белый" адрес, который бы транслировался в "серый" для достижения сервера В. А сервер В, в свою очередь, мог бы инициировать подключение на "серый" адрес, который бы транслировался в "белый". Так же необходимо, что бы "белый" адрес (для сервера А) отличался от адреса пира для ipsek. Может у кого то были подобные задачи... Конфиг, который предоставлен, не отработал. Туннели поднимаются, но NAT не срабатывает. Поправьте, что не так. Ну и вообще - возможно ли реализовать подобное на одной железке?
0
|
08.12.2012, 13:01 | |
Ответы с готовыми решениями:
24
Dynamic VTI + IPSec + NAT Настроить NAT для трафика из IPSec туннеля VTI IPSec ipsec VPN |
5898 / 3355 / 1035
Регистрация: 03.11.2009
Сообщений: 10,003
|
|
09.12.2012, 02:49 | 2 |
День добрый.
Да, это возможно. Буду краток, покажу сразу в действии: (в приложении - топология и проверка) server_a
ip address = 1.1.1.1 /24
default gateway = 1.1.1.2 r2
Код
crypto isakmp policy 10 encr 3des authentication pre-share group 2 crypto isakmp key AB address 1.1.2.2 crypto ipsec transform-set TSET esp-3des esp-sha-hmac crypto map CMAP1 1 ipsec-isakmp set peer 1.1.2.2 set transform-set TSET match address AB_ACL interface FastEthernet0/0 ip address 1.1.2.1 255.255.255.0 crypto map CMAP1 interface FastEthernet0/1 ip address 1.1.1.2 255.255.255.0 ip route 0.0.0.0 0.0.0.0 1.1.2.2 ip access-list extended AB_ACL permit ip host 1.1.1.1 host 3.3.3.2 r3
Код
crypto isakmp policy 10 encr 3des authentication pre-share group 2 crypto isakmp policy 20 hash md5 authentication pre-share crypto isakmp key AB address 1.1.2.1 crypto isakmp key BA address 2.2.2.1 crypto ipsec transform-set TSET esp-3des esp-sha-hmac crypto map CMAP1 1 ipsec-isakmp set peer 1.1.2.1 set transform-set TSET match address AB_ACL crypto map CMAP2 1 ipsec-isakmp set peer 2.2.2.1 set transform-set TSET match address BA_ACL interface FastEthernet0/0 ip address 1.1.2.2 255.255.255.0 ip nat inside crypto map CMAP1 interface FastEthernet0/1 ip address 2.2.2.2 255.255.255.0 ip nat outside crypto map CMAP2 ip route 1.1.1.1 255.255.255.255 1.1.2.1 ip route 3.3.3.2 255.255.255.255 2.2.2.1 ip nat inside source static 1.1.1.1 172.18.10.233 ip nat outside source static 2.2.3.1 3.3.3.2 ip access-list extended AB_ACL permit ip host 3.3.3.2 host 1.1.1.1 ip access-list extended BA_ACL permit ip host 172.18.10.233 host 2.2.3.1 r4
Код
crypto isakmp policy 20 hash md5 authentication pre-share crypto isakmp key BA address 2.2.2.2 crypto ipsec transform-set TSET esp-3des esp-sha-hmac crypto map CMAP1 2 ipsec-isakmp set peer 2.2.2.2 set transform-set TSET match address BA_ACL interface FastEthernet0/0 ip address 2.2.3.2 255.255.255.0 interface FastEthernet0/1 ip address 2.2.2.1 255.255.255.0 crypto map CMAP1 ip route 0.0.0.0 0.0.0.0 2.2.2.2 ip access-list extended BA_ACL permit ip host 2.2.3.1 host 172.18.10.233 server_b
ip address = 2.2.3.1 /24
default gateway = 2.2.3.2
1
|
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
|
|
09.12.2012, 21:11 [ТС] | 3 |
Спасибо. Но проблемка в том, что внешний интерфейс только один. И вот тут немного не ясно, как прикручивать NAT... Попробовал к Loopback, но что то не срабатывает
0
|
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
|
|
10.12.2012, 12:00 [ТС] | 6 |
туннель держит тот же самый роутер, на котором осуществляется NAT. И обязательные условия:
сервер А должен обращаться к адресу 3.3.3.2 и получать с этого же адреса ответ. Сервер В должен получать запросы от адреса 172.18.10.233 и обращаться на него же. Попробовал переделать конфиг, как посоветовали. Вот на такой. Может я что то не так понял? Но пакеты не проходят ни в одну сторону...
0
|
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
|
|
10.12.2012, 12:21 [ТС] | 8 |
0
|
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
|
|
10.12.2012, 12:40 [ТС] | 10 |
да, спасибо, вижу. Посмотрите, пожалуйста, мой конфиг (чуть выше), я там где то ошибся или в целом идею не так понял?
0
|
5898 / 3355 / 1035
Регистрация: 03.11.2009
Сообщений: 10,003
|
|
10.12.2012, 12:53 | 11 |
Статика лишняя, кроме ласт резорта, проверьте туннели (статусы isakmp, ipsec), делайте дебаги пакетов, ната и icmp смотрите, что происходит, а что уже нет, каунтеры на туннелях. Плюс, Вы говорили, что обращение должно быть не на адрес, куда терминируется туннель.
0
|
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
|
|
10.12.2012, 13:02 [ТС] | 12 |
0
|
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
|
|
10.12.2012, 13:11 [ТС] | 14 |
0
|
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
|
|
10.12.2012, 13:21 [ТС] | 16 |
0
|
5898 / 3355 / 1035
Регистрация: 03.11.2009
Сообщений: 10,003
|
|
10.12.2012, 13:26 | 17 |
Код
R3#show run | i ip nat source ip nat source static 2.2.3.1 3.3.3.2 ip nat source static 1.1.1.1 172.18.10.233 R3#show ip nat nvi translations Pro Source global Source local Destin local Destin global --- 172.18.10.233 1.1.1.1 --- --- --- 3.3.3.2 2.2.3.1 --- --- Код
R3# *Mar 1 00:58:27.595: NAT*: i: icmp (1.1.1.1, 15) -> (3.3.3.2, 15) [35] *Mar 1 00:58:27.595: NAT*: s=1.1.1.1->172.18.10.233, d=3.3.3.2 [35] *Mar 1 00:58:27.599: NAT*: s=172.18.10.233, d=3.3.3.2->2.2.3.1 [35] *Mar 1 00:58:27.815: NAT*: i: icmp (2.2.3.1, 15) -> (172.18.10.233, 15) [35] *Mar 1 00:58:27.815: NAT*: s=2.2.3.1->3.3.3.2, d=172.18.10.233 [35] *Mar 1 00:58:27.815: NAT*: s=3.3.3.2, d=172.18.10.233->1.1.1.1 [35] R3#show ip nat nvi translations Pro Source global Source local Destin local Destin global icmp 172.18.10.233:15 1.1.1.1:15 3.3.3.2:15 2.2.3.1:15 --- 172.18.10.233 1.1.1.1 --- --- --- 3.3.3.2 2.2.3.1 --- ---
1
|
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
|
|
11.12.2012, 13:46 [ТС] | 18 |
с натом вроде бы разобрался... туннели поднялись. Но пинги не пролезают. Вот такая картинка на нат трансляции
SPP-R2801#show ip nat nvi translations Pro Source global Source local Destin local Destin global icmp 3.3.3.2:35364 2.2.3.1:35364 172.18.10.233:35364 1.1.1.1:35364 --- 3.3.3.2 2.2.3.1 --- --- --- 172.18.10.233 1.1.1.1 --- --- А вот это - часть дебага icmp
0
|
0 / 0 / 0
Регистрация: 01.11.2010
Сообщений: 16
|
|
11.12.2012, 15:08 [ТС] | 20 |
0
|
11.12.2012, 15:08 | |
11.12.2012, 15:08 | |
Помогаю со студенческими работами здесь
20
Шифрование ipsec IPSec Tunnel Gre over ipsec GRE over IPSEC Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |