The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
static nat + RA VPN, !*! buzz_tuman, 26-Дек-06, 16:48  [смотреть все]
Ситауация такая:
Есть маршрутизатор 2600.
Есть статическая трансляция:
interface FastEthernet0
  ip address 100.1.1.1 255.255.255.0
  ip nat outside
  crypto map cmap
!
interface FastEthernet1
  ip address 2.2.2.1 255.255.255.0
  ip nat inside
!
ip nat inside source static tcp 2.2.2.2 80 100.1.1.2 80 extendable

Смысл ее в том, чтобы внутренний сервер 2.2.2.2 по порту 80 был виден под внешним адресом 100.1.1.2.
В то же время есть удаленные пользователи, для которых на этом же маршрутизаторе настроен RA VPN (конфиг стандартный - не в этом суть). Эти пользователи также должны получать доступ к этому серверу по порту 80.
В итоге VPN-пользователи доступ к этому серверу по 80 порту получить не могут.
Получается следующее:
- VPN-пользователь обращается к серверу по адресу 2.2.2.2;
- пакет достигает сервера, сервер шлет ответ;
- ответный пакет обрабатывается правилом; трансляции и его источник меняется на 100.1.1.2;
- этот пакет приходит на VPN-клиент и отбрасывается им как не соответствующий заданной политике.
Что делать? В какую сторону смотреть?
Варианты которые не подходят:
- поменять порт на сервере для VPN клиентов (или для внешних пользователей);
- отказаться от VPN.

Ответить | Сообщить модератору
  • static nat + RA VPN, !*! asavenkov, 17:18 , 26-Дек-06 (1)
    >Ситауация такая:
    >Есть маршрутизатор 2600.
    >Есть статическая трансляция:
    >interface FastEthernet0
    >  ip address 100.1.1.1 255.255.255.0
    >  ip nat outside
    >  crypto map cmap
    >!
    >interface FastEthernet1
    >  ip address 2.2.2.1 255.255.255.0
    >  ip nat inside
    >!
    >ip nat inside source static tcp 2.2.2.2 80 100.1.1.2 80 extendable
    >
    >Смысл ее в том, чтобы внутренний сервер 2.2.2.2 по порту 80 был
    >виден под внешним адресом 100.1.1.2.
    >В то же время есть удаленные пользователи, для которых на этом же
    >маршрутизаторе настроен RA VPN (конфиг стандартный - не в этом суть).
    >Эти пользователи также должны получать доступ к этому серверу по порту
    >80.
    >В итоге VPN-пользователи доступ к этому серверу по 80 порту получить не
    >могут.
    >Получается следующее:
    >- VPN-пользователь обращается к серверу по адресу 2.2.2.2;
    >- пакет достигает сервера, сервер шлет ответ;
    >- ответный пакет обрабатывается правилом; трансляции и его источник меняется на 100.1.1.2;
    >
    >- этот пакет приходит на VPN-клиент и отбрасывается им как не соответствующий
    >заданной политике.
    >Что делать? В какую сторону смотреть?
    >Варианты которые не подходят:
    >- поменять порт на сервере для VPN клиентов (или для внешних пользователей);
    >
    >- отказаться от VPN.


    Функция NAT выполняется перед инкапсуляцией в IPSEC или туннель. Для того что бы запихивать этот трафик в туннель надо это прописать на удаленных точках.

    Ответить | Сообщить модератору
    • static nat + RA VPN, !*! buzz_tuman, 17:41 , 26-Дек-06 (2)
      >>Ситауация такая:
      >>Есть маршрутизатор 2600.
      >>Есть статическая трансляция:
      >>interface FastEthernet0
      >>  ip address 100.1.1.1 255.255.255.0
      >>  ip nat outside
      >>  crypto map cmap
      >>!
      >>interface FastEthernet1
      >>  ip address 2.2.2.1 255.255.255.0
      >>  ip nat inside
      >>!
      >>ip nat inside source static tcp 2.2.2.2 80 100.1.1.2 80 extendable
      >>
      >>Смысл ее в том, чтобы внутренний сервер 2.2.2.2 по порту 80 был
      >>виден под внешним адресом 100.1.1.2.
      >>В то же время есть удаленные пользователи, для которых на этом же
      >>маршрутизаторе настроен RA VPN (конфиг стандартный - не в этом суть).
      >>Эти пользователи также должны получать доступ к этому серверу по порту
      >>80.
      >>В итоге VPN-пользователи доступ к этому серверу по 80 порту получить не
      >>могут.
      >>Получается следующее:
      >>- VPN-пользователь обращается к серверу по адресу 2.2.2.2;
      >>- пакет достигает сервера, сервер шлет ответ;
      >>- ответный пакет обрабатывается правилом; трансляции и его источник меняется на 100.1.1.2;
      >>
      >>- этот пакет приходит на VPN-клиент и отбрасывается им как не соответствующий
      >>заданной политике.
      >>Что делать? В какую сторону смотреть?
      >>Варианты которые не подходят:
      >>- поменять порт на сервере для VPN клиентов (или для внешних пользователей);
      >>
      >>- отказаться от VPN.
      >
      >
      >Функция NAT выполняется перед инкапсуляцией в IPSEC или туннель. Для того что
      >бы запихивать этот трафик в туннель надо это прописать на удаленных
      >точках.
      Поясните, если не сложно, на каких точках я это должен прописывать.
      На удаленных точках сейчас пихается в туннель все, и это с учтом приведенной выше трансляции создает проблему когда я пытаюсь обратиться по VPN на 80-порт этого сервера.

      Ответить | Сообщить модератору
      • static nat + RA VPN, !*! asavenkov, 10:29 , 27-Дек-06 (3)
        >>>Ситауация такая:
        >>>Есть маршрутизатор 2600.
        >>>Есть статическая трансляция:
        >>>interface FastEthernet0
        >>>  ip address 100.1.1.1 255.255.255.0
        >>>  ip nat outside
        >>>  crypto map cmap
        >>>!
        >>>interface FastEthernet1
        >>>  ip address 2.2.2.1 255.255.255.0
        >>>  ip nat inside
        >>>!
        >>>ip nat inside source static tcp 2.2.2.2 80 100.1.1.2 80 extendable
        >>>
        >>>Смысл ее в том, чтобы внутренний сервер 2.2.2.2 по порту 80 был
        >>>виден под внешним адресом 100.1.1.2.
        >>>В то же время есть удаленные пользователи, для которых на этом же
        >>>маршрутизаторе настроен RA VPN (конфиг стандартный - не в этом суть).
        >>>Эти пользователи также должны получать доступ к этому серверу по порту
        >>>80.
        >>>В итоге VPN-пользователи доступ к этому серверу по 80 порту получить не
        >>>могут.
        >>>Получается следующее:
        >>>- VPN-пользователь обращается к серверу по адресу 2.2.2.2;
        >>>- пакет достигает сервера, сервер шлет ответ;
        >>>- ответный пакет обрабатывается правилом; трансляции и его источник меняется на 100.1.1.2;
        >>>
        >>>- этот пакет приходит на VPN-клиент и отбрасывается им как не соответствующий
        >>>заданной политике.
        >>>Что делать? В какую сторону смотреть?
        >>>Варианты которые не подходят:
        >>>- поменять порт на сервере для VPN клиентов (или для внешних пользователей);
        >>>
        >>>- отказаться от VPN.
        >>
        >>
        >>Функция NAT выполняется перед инкапсуляцией в IPSEC или туннель. Для того что
        >>бы запихивать этот трафик в туннель надо это прописать на удаленных
        >>точках.
        >Поясните, если не сложно, на каких точках я это должен прописывать.
        >На удаленных точках сейчас пихается в туннель все, и это с учтом
        >приведенной выше трансляции создает проблему когда я пытаюсь обратиться по VPN
        >на 80-порт этого сервера.

        Т.к. весь трафик шифруется, то логичнее коннектиться к внешнему адресу сервера. Если ВПН статичны, то на роутере где НАТ и ВПН в АСЛ лист ВПНа надо добавить трафик от сервера до сетей доступных через ВПН. Примерно так для роутера с НАТом и ВПНом:
        access list extention VNP
        permint  ip LAN_M LAN_R
        permint  tcp host Pub_Ser eq 80 LAN_R

        Где
        LAN_M - сеть за роутером с ВПН и НАТОМ
        LAN_R - сеть удаленной площадки
        Pub_Ser - публичный адрес серера

        Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру