The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
IPSEC и NAT - видимо проблема с access-listами?.., !*! kirill_gera, 25-Июн-08, 15:38  [смотреть все]
Добрый день!

Имеется циска 1841. На ней поднят IPSEC с другим офисом и NAT.
Проблема - не идут пинги с этой самой циски в удаленную сеть. Все остальные пинги проходят.
При этом если в качестве интерфейса для пингования принудительно указываю внутренный - все проходит отлично.

Есть подозрение что она просто гонит свой траффик через внешний интерфейс...

Как правильно решить эту проблему?

Заранее Огромное Спасибо!


Конфа:

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ciscotest
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
ip cef
!
!
!
!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key key address <внешний адрес другого офиса>
!
crypto ipsec security-association lifetime seconds 28800
!
crypto ipsec transform-set TS1 esp-3des esp-md5-hmac
!
crypto map CRYPTO 1 ipsec-isakmp
set peer <внешний адрес другого офиса>
set transform-set TS1
set pfs group2
match address TUNNEL
!
!
!
!
interface FastEthernet0/0
descripton Internet
ip address <внешний айпишник>
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map CRYPTO
!
interface FastEthernet0/1
descripion Internal Network
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 <гейт провайдера>
!
!
no ip http server
no ip http secure-server
ip nat inside source list NATLIST interface FastEthernet0/0 overload
!
ip access-list extended NATLIST
deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 <внутренная подсеть другого офиса>
permit ip 192.168.1.0 0.0.0.255 any
ip access-list extended TUNNEL
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 <внутренная подсеть другого офиса>
!
!
!
!
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
login
!
scheduler allocate 20000 1000
end

Ответить | Сообщить модератору
  • IPSEC и NAT - видимо проблема с access-listами?.., !*! CrAzOiD, 16:08 , 25-Июн-08 (1)
    >[оверквотинг удален]
    >!
    >!
    >!
    >line con 0
    >line aux 0
    >line vty 0 4
    > login
    >!
    >scheduler allocate 20000 1000
    >end

    а зачем вам хождение внешних адресов в туннеле?

    Ответить | Сообщить модератору
    • IPSEC и NAT - видимо проблема с access-listами?.., !*! kirill_gera, 16:15 , 25-Июн-08 (2)
      >а зачем вам хождение внешних адресов в туннеле?

      внешних - незачем.
      абсолютно.


      хотелось бы чтобы с циски мог нормально пройти пинг до внутреннего адреса сети другого офиса.

      Ответить | Сообщить модератору
      • IPSEC и NAT - видимо проблема с access-listами?.., !*! CrAzOiD, 16:41 , 25-Июн-08 (3)
        >>а зачем вам хождение внешних адресов в туннеле?
        >
        >внешних - незачем.
        >абсолютно.
        >
        >
        >хотелось бы чтобы с циски мог нормально пройти пинг до внутреннего адреса
        >сети другого офиса.

        ну так вы же пишите что при правильном указании сорса для адреса пинг проходит
        в чем тогда проблема?

        Ответить | Сообщить модератору
        • IPSEC и NAT - видимо проблема с access-listами?.., !*! SergTel, 16:51 , 25-Июн-08 (4)
          >[оверквотинг удален]
          >>внешних - незачем.
          >>абсолютно.
          >>
          >>
          >>хотелось бы чтобы с циски мог нормально пройти пинг до внутреннего адреса
          >>сети другого офиса.
          >
          >ну так вы же пишите что при правильном указании сорса для адреса
          >пинг проходит
          >в чем тогда проблема?

          проблема в отсутствии описания маршрута до сети
          по дефолту и идет через Fa0/0

          Ответить | Сообщить модератору
          • IPSEC и NAT - видимо проблема с access-listами?.., !*! kirill_gera, 17:19 , 25-Июн-08 (5)
            >проблема в отсутствии описания маршрута до сети
            >по дефолту и идет через Fa0/0

            хм. а как его правильно прописать, не подскажите?
            попробовал "ip route 192.168.2.0 255.255.255.0 interface fa 0/1" - не помогло.

            Ответить | Сообщить модератору
          • IPSEC и NAT - видимо проблема с access-listами?.., !*! CrAzOiD, 17:26 , 25-Июн-08 (6)
            >[оверквотинг удален]
            >>>
            >>>хотелось бы чтобы с циски мог нормально пройти пинг до внутреннего адреса
            >>>сети другого офиса.
            >>
            >>ну так вы же пишите что при правильном указании сорса для адреса
            >>пинг проходит
            >>в чем тогда проблема?
            >
            >проблема в отсутствии описания маршрута до сети
            >по дефолту и идет через Fa0/0

            до какой сети у вас нет маршрута?
            что-то вы загадками говорите...
            Кроме этого, не забывайте что вы описали ACL в которых указали какие пакеты попадают в туннель
            а еще есть удаленная сторона и почему вы считает что она будет вам внешние адреса обратно в туннель кидать?

            Вообщем странного хотите и странно все описываете....

            Ответить | Сообщить модератору
            • IPSEC и NAT - видимо проблема с access-listами?.., !*! SergTel, 19:33 , 25-Июн-08 (7)
              >>[оверквотинг удален]
              >>>>
              >до какой сети у вас нет маршрута?
              >что-то вы загадками говорите...
              >Кроме этого, не забывайте что вы описали ACL в которых указали какие
              >пакеты попадают в туннель
              >а еще есть удаленная сторона и почему вы считает что она будет
              >вам внешние адреса обратно в туннель кидать?
              >
              >Вообщем странного хотите и странно все описываете....

              А туннель есть?
              я в конфиге такого интерфейса не увидел


              Ответить | Сообщить модератору
              • IPSEC и NAT - видимо проблема с access-listами?.., !*! kirill_gera, 21:04 , 25-Июн-08 (8)
                >[оверквотинг удален]
                >>что-то вы загадками говорите...
                >>Кроме этого, не забывайте что вы описали ACL в которых указали какие
                >>пакеты попадают в туннель
                >>а еще есть удаленная сторона и почему вы считает что она будет
                >>вам внешние адреса обратно в туннель кидать?
                >>
                >>Вообщем странного хотите и странно все описываете....
                >
                >А туннель есть?
                >я в конфиге такого интерфейса не увидел

                его и нет
                есть просто IPSEC-шифрование

                интересует как настроить циску так, чтобы она кидала свой пинг в удаленную сеть и получала ответ.

                Ответить | Сообщить модератору
                • IPSEC и NAT - видимо проблема с access-listами?.., !*! SergTel, 06:02 , 26-Июн-08 (9)
                  >[оверквотинг удален]
                  >>>Вообщем странного хотите и странно все описываете....
                  >>
                  >>А туннель есть?
                  >>я в конфиге такого интерфейса не увидел
                  >
                  >его и нет
                  >есть просто IPSEC-шифрование
                  >
                  >интересует как настроить циску так, чтобы она кидала свой пинг в удаленную
                  >сеть и получала ответ.

                  дать двум рутерам статику с указанием интерфейса куда отправлять пакеты


                  Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру