ipsec+NAT

@Davor · Регистрация: 01.11.2010

Студворк — интернет-сервис помощи студентам

День добрый, коллеги!
Помогите решить задачку: есть два клиента, которые не согласовали политики безопасности между собой. Задача - выступить в роли прокладки между ними, подстраиваясь под политики каждой стороны.
Во вложении - схема сети и конфиг.
Необходимо, что бы оба сервера могли инициировать подключение. При этом что бы сервер А инициировал подключение на "белый" адрес, который бы транслировался в "серый" для достижения сервера В. А сервер В, в свою очередь, мог бы инициировать подключение на "серый" адрес, который бы транслировался в "белый". Так же необходимо, что бы "белый" адрес (для сервера А) отличался от адреса пира для ipsek.
Может у кого то были подобные задачи... Конфиг, который предоставлен, не отработал. Туннели поднимаются, но NAT не срабатывает. Поправьте, что не так. Ну и вообще - возможно ли реализовать подобное на одной железке?

Jabbson · 09.12.2012, 02:49

День добрый.
Да, это возможно.
Буду краток, покажу сразу в действии:

(в приложении - топология и проверка)

server_a

ip address = 1.1.1.1 /24
default gateway = 1.1.1.2

r2

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
 
crypto isakmp key AB address 1.1.2.2
 
crypto ipsec transform-set TSET esp-3des esp-sha-hmac 
 
crypto map CMAP1 1 ipsec-isakmp 
 set peer 1.1.2.2
 set transform-set TSET 
 match address AB_ACL
 
interface FastEthernet0/0
 ip address 1.1.2.1 255.255.255.0
 crypto map CMAP1
 
interface FastEthernet0/1
 ip address 1.1.1.2 255.255.255.0
 
ip route 0.0.0.0 0.0.0.0 1.1.2.2
 
ip access-list extended AB_ACL
 permit ip host 1.1.1.1 host 3.3.3.2

r3

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
 
crypto isakmp policy 20
 hash md5
 authentication pre-share
 
crypto isakmp key AB address 1.1.2.1
crypto isakmp key BA address 2.2.2.1
 
crypto ipsec transform-set TSET esp-3des esp-sha-hmac 
 
crypto map CMAP1 1 ipsec-isakmp 
 set peer 1.1.2.1
 set transform-set TSET 
 match address AB_ACL
 
crypto map CMAP2 1 ipsec-isakmp 
 set peer 2.2.2.1
 set transform-set TSET 
 match address BA_ACL
 
interface FastEthernet0/0
 ip address 1.1.2.2 255.255.255.0
 ip nat inside
 crypto map CMAP1
 
interface FastEthernet0/1
 ip address 2.2.2.2 255.255.255.0
 ip nat outside
 crypto map CMAP2
 
ip route 1.1.1.1 255.255.255.255 1.1.2.1
ip route 3.3.3.2 255.255.255.255 2.2.2.1
 
ip nat inside source static 1.1.1.1 172.18.10.233
ip nat outside source static 2.2.3.1 3.3.3.2
 
ip access-list extended AB_ACL
 permit ip host 3.3.3.2 host 1.1.1.1
 
ip access-list extended BA_ACL
 permit ip host 172.18.10.233 host 2.2.3.1

r4

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
crypto isakmp policy 20
 hash md5
 authentication pre-share
 
crypto isakmp key BA address 2.2.2.2
 
crypto ipsec transform-set TSET esp-3des esp-sha-hmac 
 
crypto map CMAP1 2 ipsec-isakmp 
 set peer 2.2.2.2
 set transform-set TSET 
 match address BA_ACL
 
interface FastEthernet0/0
 ip address 2.2.3.2 255.255.255.0
 
interface FastEthernet0/1
 ip address 2.2.2.1 255.255.255.0
 crypto map CMAP1
 
ip route 0.0.0.0 0.0.0.0 2.2.2.2
 
ip access-list extended BA_ACL
 permit ip host 2.2.3.1 host 172.18.10.233

server_b

ip address = 2.2.3.1 /24
default gateway = 2.2.3.2

@Davor · 09.12.2012, 21:11 **[ТС]**

Спасибо. Но проблемка в том, что внешний интерфейс только один. И вот тут немного не ясно, как прикручивать NAT... Попробовал к Loopback, но что то не срабатывает

Jabbson · 09.12.2012, 23:42

Тогда через тот самый nvi.

Jabbson · 10.12.2012, 00:00

а, ну и проверка:

@Davor · 10.12.2012, 12:00 **[ТС]**

Сообщение от Jabbson

Тогда через тот самый nvi.

туннель держит тот же самый роутер, на котором осуществляется NAT. И обязательные условия:
сервер А должен обращаться к адресу 3.3.3.2 и получать с этого же адреса ответ.
Сервер В должен получать запросы от адреса 172.18.10.233 и обращаться на него же.

Попробовал переделать конфиг, как посоветовали. Вот на такой. Может я что то не так понял? Но пакеты не проходят ни в одну сторону...

Jabbson · 10.12.2012, 12:03

в моем конфиге все именно так и есть
продемонстрировать ip на конечных точках?

@Davor · 10.12.2012, 12:21 **[ТС]**

Сообщение от Jabbson

в моем конфиге все именно так и есть
продемонстрировать ip на конечных точках?

Если можно.
Хотя почему то у меня пакеты не проходят...

Jabbson · 10.12.2012, 12:36

Вот тут должно быть видно все.

@Davor · 10.12.2012, 12:40 **[ТС]**

Сообщение от Jabbson

Вот тут должно быть видно все.

да, спасибо, вижу. Посмотрите, пожалуйста, мой конфиг (чуть выше), я там где то ошибся или в целом идею не так понял?

Jabbson · 10.12.2012, 12:53

Статика лишняя, кроме ласт резорта, проверьте туннели (статусы isakmp, ipsec), делайте дебаги пакетов, ната и icmp смотрите, что происходит, а что уже нет, каунтеры на туннелях. Плюс, Вы говорили, что обращение должно быть не на адрес, куда терминируется туннель.

@Davor · 10.12.2012, 13:02 **[ТС]**

Сообщение от Jabbson

Статика лишняя, кроме ласт резорта, проверьте туннели (статусы isakmp, ipsec), делайте дебаги пакетов, ната и icmp смотрите, что происходит, а что уже нет, каунтеры на туннелях. Плюс, Вы говорили, что обращение должно быть не на адрес, куда терминируется туннель.

да, туннель терминируется на 3.3.3.1, а обращение сервера идёт на 3.3.3.2

Jabbson · 10.12.2012, 13:06

может он и терминируется на 3.3.3.1, но в конфиге я вижу

Code
1
2
3
4
5
6
7
interface FastEthernet0/0
 description Ipsec-2-AB
 ip address 3.3.3.2 255.255.255.0
 ip nat enable
 duplex auto
 speed auto
 crypto map VPN

@Davor · 10.12.2012, 13:11 **[ТС]**

Сообщение от Jabbson

может он и терминируется на 3.3.3.1, но в конфиге я вижу

Code
1
2
3
4
5
6
7
interface FastEthernet0/0
 description Ipsec-2-AB
 ip address 3.3.3.2 255.255.255.0
 ip nat enable
 duplex auto
 speed auto
 crypto map VPN

опечатка... извиняюсь. Терминируется на 3.3.3.1. А обращение идёт на 3.3.3.2

Jabbson · 10.12.2012, 13:16

почему поменяны местами ip в нат стейтментах?

@Davor · 10.12.2012, 13:21 **[ТС]**

Сообщение от Jabbson

почему поменяны местами ip в нат стейтментах?

ip nat source static 3.3.3.2 2.2.3.1
ip nat source static 172.18.10.233 1.1.1.1

это? Local, Global. Верно же вроде

Jabbson · 10.12.2012, 13:26

Code
1
2
3
4
5
6
7
8
R3#show run | i ip nat source
ip nat source static 2.2.3.1 3.3.3.2
ip nat source static 1.1.1.1 172.18.10.233
 
R3#show ip nat nvi translations
Pro Source global      Source local       Destin  local      Destin  global
--- 172.18.10.233      1.1.1.1            ---                ---
--- 3.3.3.2            2.2.3.1            ---                ---

пускаем пинг и смотрим дебаг и снова трансляцию:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
R3#
*Mar  1 00:58:27.595: NAT*: i: icmp (1.1.1.1, 15) -> (3.3.3.2, 15) [35]
*Mar  1 00:58:27.595: NAT*: s=1.1.1.1->172.18.10.233, d=3.3.3.2 [35]
*Mar  1 00:58:27.599: NAT*: s=172.18.10.233, d=3.3.3.2->2.2.3.1 [35]
*Mar  1 00:58:27.815: NAT*: i: icmp (2.2.3.1, 15) -> (172.18.10.233, 15) [35]
*Mar  1 00:58:27.815: NAT*: s=2.2.3.1->3.3.3.2, d=172.18.10.233 [35]
*Mar  1 00:58:27.815: NAT*: s=3.3.3.2, d=172.18.10.233->1.1.1.1 [35]
 
R3#show ip nat nvi translations
Pro Source global      Source local       Destin  local      Destin  global
icmp 172.18.10.233:15  1.1.1.1:15         3.3.3.2:15         2.2.3.1:15
--- 172.18.10.233      1.1.1.1            ---                ---
--- 3.3.3.2            2.2.3.1            ---                ---

@Davor · 11.12.2012, 13:46 **[ТС]**

с натом вроде бы разобрался... туннели поднялись. Но пинги не пролезают. Вот такая картинка на нат трансляции

SPP-R2801#show ip nat nvi translations
Pro Source global Source local Destin local Destin global
icmp 3.3.3.2:35364 2.2.3.1:35364 172.18.10.233:35364 1.1.1.1:35364
--- 3.3.3.2 2.2.3.1 --- ---
--- 172.18.10.233 1.1.1.1 --- ---

А вот это - часть дебага icmp

.Dec 11 09:25:14.839: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature
.Dec 11 09:25:14.839: ICMP type=0, code=0, Stateful Inspection(4), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:14.839: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature
.Dec 11 09:25:14.839: ICMP type=0, code=0, Access List(28), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:14.843: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature
.Dec 11 09:25:14.843: ICMP type=0, code=0, IPSec input classification(33), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:14.843: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature
.Dec 11 09:25:14.843: ICMP type=0, code=0, MCI Check(66), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:14.843: FIBipv4-packet-proc: route packet from FastEthernet0/0 src 1.1.1.1 dst 3.3.3.2
.Dec 11 09:25:14.843: FIBfwd-proc: Default:3.3.3.2/32 recieve entry
.Dec 11 09:25:14.843: FIBipv4-packet-proc: packet routing failed
.Dec 11 09:25:14.843: IP: tableid=0, s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2 (FastEthernet0/0), routed via RIB
.Dec 11 09:25:14.843: FIBipv4-packet-proc: route packet from FastEthernet0/0 src 172.18.10.233 dst 2.2.3.1
.Dec 11 09:25:14.843: FIBipv4-packet-proc: packet routing succeeded
.Dec 11 09:25:14.843: IP: s=172.18.10.233 (FastEthernet0/0), d=2.2.3.1 (FastEthernet0/0), len 84, output feature
.Dec 11 09:25:14.843: ICMP type=0, code=0, Post-routing NAT NVI Output(19), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:14.843: IP: s=172.18.10.233 (FastEthernet0/0), d=2.2.3.1 (FastEthernet0/0), len 84, output feature
.Dec 11 09:25:14.843: ICMP type=0, code=0, Stateful Inspection(22), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:14.843: IP: s=172.18.10.233 (FastEthernet0/0), d=2.2.3.1 (FastEthernet0/0), len 84, rcvd local pkt
.Dec 11 09:25:14.843: ICMP type=0, code=0
.Dec 11 09:25:16.839: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature
.Dec 11 09:25:16.839: ICMP type=0, code=0, Stateful Inspection(4), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:16.839: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature
.Dec 11 09:25:16.839: ICMP type=0, code=0, Access List(28), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:16.839: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature
.Dec 11 09:25:16.843: ICMP type=0, code=0, IPSec input classification(33), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:16.843: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature
.Dec 11 09:25:16.843: ICMP type=0, code=0, MCI Check(66), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:16.843: FIBipv4-packet-proc: route packet from FastEthernet0/0 src 1.1.1.1 dst 3.3.3.2
.Dec 11 09:25:16.843: FIBfwd-proc: Default:3.3.3.2/32 recieve entry
.Dec 11 09:25:16.843: FIBipv4-packet-proc: packet routing failed
.Dec 11 09:25:16.843: IP: tableid=0, s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2 (FastEthernet0/0), routed via RIB
.Dec 11 09:25:16.843: FIBipv4-packet-proc: route packet from FastEthernet0/0 src 172.18.10.233 dst 2.2.3.1
.Dec 11 09:25:16.843: FIBipv4-packet-proc: packet routing succeeded

А это - кусочек дебага ната

.Dec 11 09:42:10.881: NAT*: i: icmp (2.2.3.1, 35364) -> (172.18.10.233, 35364) [0]
.Dec 11 09:42:10.881: NAT*: s=2.2.3.1->3.3.3.2, d=172.18.10.233 [0]
.Dec 11 09:42:10.881: NAT*: s=3.3.3.2, d=172.18.10.233->1.1.1.1 [0]
.Dec 11 09:42:10.941: NAT: i: icmp (1.1.1.1, 35364) -> (3.3.3.2, 35364) [18925]
.Dec 11 09:42:10.941: NAT: s=1.1.1.1->172.18.10.233, d=3.3.3.2 [18925]
.Dec 11 09:42:10.941: NAT: s=172.18.10.233, d=3.3.3.2->2.2.3.1 [18925]
.Dec 11 09:42:12.881: NAT*: i: icmp (2.2.3.1, 35364) -> (172.18.10.233, 35364) [0]
.Dec 11 09:42:12.881: NAT*: s=2.2.3.1->3.3.3.2, d=172.18.10.233 [0]
.Dec 11 09:42:12.881: NAT*: s=3.3.3.2, d=172.18.10.233->1.1.1.1 [0]
.Dec 11 09:42:12.941: NAT: i: icmp (1.1.1.1, 35364) -> (3.3.3.2, 35364) [18926]
.Dec 11 09:42:12.941: NAT: s=1.1.1.1->172.18.10.233, d=3.3.3.2 [18926]
.Dec 11 09:42:12.941: NAT: s=172.18.10.233, d=3.3.3.2->2.2.3.1 [18926]
.Dec 11 09:42:14.881: NAT*: i: icmp (2.2.3.1, 35364) -> (172.18.10.233, 35364) [0]
.Dec 11 09:42:14.881: NAT*: s=2.2.3.1->3.3.3.2, d=172.18.10.233 [0]
.Dec 11 09:42:14.881: NAT*: s=3.3.3.2, d=172.18.10.233->1.1.1.1 [0]
.Dec 11 09:42:14.941: NAT: i: icmp (1.1.1.1, 35364) -> (3.3.3.2, 35364) [18927]
.Dec 11 09:42:14.941: NAT: s=1.1.1.1->172.18.10.233, d=3.3.3.2 [18927]
.Dec 11 09:42:14.941: NAT: s=172.18.10.233, d=3.3.3.2->2.2.3.1 [18927]

Jabbson · 11.12.2012, 14:56

То есть мы видим трансляцию туда и обратно - значит проблема или роутинга или туннелирования. Сдается мне - роутинга. У Вас адрес на который обращается 1.1.1.1 и Ваш внешний интерфейс не из одной подсети?

@Davor · 11.12.2012, 15:08 **[ТС]**

Сообщение от Jabbson

То есть мы видим трансляцию туда и обратно - значит проблема или роутинга или туннелирования. Сдается мне - роутинга. У Вас адрес на который обращается 1.1.1.1 и Ваш внешний интерфейс не из одной подсети?

из одной. Внешний - 3.3.3.1\24, адрес на который обращается 1.1.1.1 - 3.3.3.2

Новые блоги и статьи Все статьи Все блоги /
Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .
Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025	Расскажи мне о Мире, бродяга kumehtar 12.11.2025 — Расскажи мне о Мире, бродяга, Ты же видел моря и метели. Как сменялись короны и стяги, Как эпохи стрелою летели. - Этот мир — это крылья и горы, Снег и пламя, любовь и тревоги, И бескрайние. . .

@Davor 0 / 0 / 0 Регистрация: 01.11.2010 Сообщений: 16
	09.12.2012, 21:11 [ТС]
	Спасибо. Но проблемка в том, что внешний интерфейс только один. И вот тут немного не ясно, как прикручивать NAT... Попробовал к Loopback, но что то не срабатывает 0

Jabbson 5906 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	10.12.2012, 00:00
	а, ну и проверка: Миниатюры 0

Jabbson 5906 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	10.12.2012, 12:03
	в моем конфиге все именно так и есть продемонстрировать ip на конечных точках? 0

Jabbson 5906 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	10.12.2012, 12:36
	Вот тут должно быть видно все. Миниатюры 0

Jabbson 5906 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	10.12.2012, 12:53
	Статика лишняя, кроме ласт резорта, проверьте туннели (статусы isakmp, ipsec), делайте дебаги пакетов, ната и icmp смотрите, что происходит, а что уже нет, каунтеры на туннелях. Плюс, Вы говорили, что обращение должно быть не на адрес, куда терминируется туннель. 0

Jabbson 5906 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	10.12.2012, 13:16
	почему поменяны местами ip в нат стейтментах? 0

Jabbson 5906 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	11.12.2012, 14:56
	То есть мы видим трансляцию туда и обратно - значит проблема или роутинга или туннелирования. Сдается мне - роутинга. У Вас адрес на который обращается 1.1.1.1 и Ваш внешний интерфейс не из одной подсети? 0