@Liksx

День добрый


10.10.10.0\24 в Организации А
10.10.10.0\24 в Организации Б

Между ними, нужно создать впн тунель на асах.

Цель:
хосту 10.10.10.1 из А нужно пройти к хосту 10.10.10.1 из Б


Как правильно организовать? и где заNATить?

0

@Korax

http://www.cisco.com/c/en/us/t... eogre.html
http://habrahabr.ru/sandbox/57753/
?

0

@Liksx

как выполнить на роутерах я предствляю, сделать тунель

Затем если наши сетки совпадают с двух сторон, то я бы действовал так

Сначала определил бы по каким айпи мы будем общаться
1. Например Организация А пропишет у себа ip route 11.11.11.1 через тунель гре
2. На Стороне организации Б я бы сделал статик нат, отправил бы пакеты которые идут на 11.11.11.1 к 10.10.10.1
3. На Стороне Организации Б сделал бы ip route 12.12.12.1 через тунель гре
4. Сделать статик нат на Стороне А который бы форвадил пакеты назначенные 12.12.12.1 в 10.10.10.1

В итоге я бы получил, возможность работы ПК с одинаковыми ИП адресами, просто Организация А писалабы хост как 11.11.11.1, а организация Б писалабы хост 12.12.12.1

я как то так понимаю...

Но на асе не так понятно, там какие то протектед нетворк и екстернел нетворк.... когда создаешь Site to Site VPN

0

@Korax

А так там еще и адреса одинаковые могут быть?
Тогда как вы таблицы маршрутизации узлов представляете?

0

@Liksx

Продолжаем, сильно не пинайте





ASA 1

object network LOCAL
subnet 192.168.1.0 255.255.255.0

object network LOCAL-MAPPED
subnet 192.168.20.0 255.255.255.0

object network REMOTE-MAPPED
subnet 192.168.10.0 255.255.255.0

nat (inside,outside) source static LOCAL LOCAL-MAPPED destination static REMOTE-MAPPED REMOTE-MAPPED
access-list l2l extended permit ip object LOCAL-MAPPED object REMOTE-MAPPED
crypto ipsec ikev1 transform-set STRONG esp-aes-256 esp-sha-hmac
crypto ikev1 policy 10
authentication pre-share
encryption aes-256
hash sha
group 2


crypto map CMAP 10 match address l2l
crypto map CMAP 10 set peer 10.1.1.1
crypto map CMAP 10 set ikev1 transform-set STRONG

crypto map CMAP int outside
crypto ikev1 enable outside

tunnel-group 10.1.1.1 type ipsec-l2l

tunnel-group 10.1.1.1 ipsec-attributes
ikev1 pre-shared-key cisco


ASA2

object network LOCAL
subnet 192.168.1.0 255.255.255.0

object network LOCAL-MAPPED
subnet 192.168.10.0 255.255.255.0

object network REMOTE-MAPPED
subnet 192.168.20.0 255.255.255.0

nat (inside,outside) source static LOCAL LOCAL-MAPPED destination static REMOTE-MAPPED REMOTE-MAPPED
access-list l2l extended permit ip object LOCAL-MAPPED object REMOTE-MAPPED
crypto ipsec ikev1 transform-set STRONG esp-aes-256 esp-sha-hmac
crypto ikev1 policy 10
authentication pre-share
encryption aes-256
hash sha
group 2

crypto map CMAP 10 match address l2l
crypto map CMAP 10 set peer 10.1.2.1
crypto map CMAP 10 set ikev1 transform-set STRONG

crypto map CMAP int outside
crypto ikev1 enable outside

tunnel-group 10.1.2.1 type ipsec-l2l

tunnel-group 10.1.2.1 ipsec-attributes
ikev1 pre-shared-key cisco


При такой конфигурации, я добиваюсь того, что пингуя 192.168.1.1 я пингую локальный роутер, а если пингую 192.168.20.1\192.168.10.1 то уже противоположный

Результат достигнут, с перекрытием сетей

НО! не могу понять....

1. Как сделать, тоже самое, но для такой схемы сети.



2. Нужно иметь доступ только p2p между этими компами ( то есть только 2 ПК из этих сетей могут общаться ) остальные ПК, даже из этого же диапазона, не должны проходить через тунель.

Куда копать?

0

@Liksx

немного разобрался...

ASA1


ASA2



но с CL2 не пингуется... 192.168.20.1.... а CL1 все ок..

где косяк?

на ASA2

ciscoasa# show nat
Manual NAT Policies (Section 1)
1 (inside) to (outside) source static LOCAL LOCAL-MAPPED destination static REMOTE-MAPPED REMOTE-MAPPED
translate_hits = 24, untranslate_hits = 87

Миниатюры

 

0

@Liksx

Всем спасибо, разобрался. Основным камнем предкновения был АКЛ, очередность отработки сначала NAT правило, только потом ACL

Поэтому в ACL нужно указывать сеть не реальную, а в какую будем транслировать для другой стороны.

0