The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
IPSEC + NAT, !*! zzzzzak, 11-Июн-09, 14:17  [смотреть все]
Привет всем!!!
Ситуация такая:
два маршрутизатора, меду ними ipip туннель. На этот туннель наложен ipsec.
примерно так:

Router1(int tunnel0)-----ipsec-----Router2(int tunnel0)

Конфигурация зеркальная на маршрутизаторах:
interface tunnel 0
ip address ....
tunnel source ...
tunnel dest ...
tunnel mode ipip
crypto map MAP

ip route .... tunnel 0

Кога трафик приходит на один из маршрутизаторов - его надо натить. Соответственно пишу на интерфейсе tunnel 0:

ip nat inside

И бац, проблема - трафик не натится. Если с интерфейса убрать крипто мап, оставить туннель чисто ipip - трафик натится, все клево. Стоит трафик зашифровать - нат кажет фигу.

Люди добрые, никто не знает в чем может быть проблема???

Заранее спасибо за ответыю

Ответить | Сообщить модератору
  • IPSEC + NAT, !*! Николай, 17:48 , 12-Июн-09 (1)
    >[оверквотинг удален]
    >
    >ip nat inside
    >
    >И бац, проблема - трафик не натится. Если с интерфейса убрать крипто
    >мап, оставить туннель чисто ipip - трафик натится, все клево. Стоит
    >трафик зашифровать - нат кажет фигу.
    >
    >Люди добрые, никто не знает в чем может быть проблема???
    >
    >Заранее спасибо за ответыю

    1. почему выбрана такая конструкция, а не  
    tunnel mode ipsec ipv4
    tunnel protection ipsec profile ИМЯ
    2. Что хотите натить тунельнолье окончание или трафик внутри тунеля (может это и ответ ;))?

    Ответить | Сообщить модератору
    • IPSEC + NAT, !*! zzzzzak, 11:31 , 13-Июн-09 (2)
      >1. почему выбрана такая конструкция, а не
      > tunnel mode ipsec ipv4
      > tunnel protection ipsec profile ИМЯ

      Потому что на одной из сторон иос версии 12.2, и он не умеет делать туннели ipsec ipv4.

      >2. Что хотите натить тунельнолье окончание или трафик внутри тунеля (может это
      >и ответ ;))?

      Натить надо именно тот трафик, который шифруется внутри туннеля. Расширю немного схему:

      subnet1--Router1(int tunnel0)---ipsec---(int tunnel0)Router2--ROUTERX(firewall)--subnetx

      Клиенты из subnet1 должны обращаться к неким ресурсам из subnetx. Но т.к. на ROUTERX стоит файрвол, он разрешает только те адреса, в которые должны натится адреса из subnet1 на ROUTER2. На ROUTER2 создан пул адресов, которые разрешены на ROUTERX.
      Вот меня и мучает вопрос, почему трафик не натится, если на interface tunnel вешать крипто мап?


      Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру