The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
IPSec site2site + ISA nat, !*! Евгений, 25-Мрт-10, 13:34  [смотреть все]
Добрый день.

Есть необходимость реализовать следующую схему:

LAN 10.0.0.0/8 --- ISA 192.168.249.253/30----- 192.168.249.254/30 Cisco 3828 -------- Cisco ----- LAN 192.168.100.0/24

Весь трафик из интернета необходимо натить на ISA (там много корпоративных правил), при этом весь трафик для удаленных подразделений должен маршрутизироваться Cisco3825.
Задача вроде бы тривиальна, но получается все это запустить только по одиночке.
Если не указывать строчку с ip nat inside **** то филиалы подключаются на "ура". Если включить эту строчку (ip nat inside **) компы из локальной сети выходят в инет, но сразу пропадает связь с филиалами.
Если есть какие-либо идеи - welcome.  Есть подозрение на access-lists.

access-list 105 deny   ip 172.16.0.0 0.15.255.255 192.168.100.0 0.0.0.255
access-list 105 deny   ip 10.0.0.0 0.255.255.255 192.168.100.0 0.0.0.255
access-list 105 permit ip host 192.168.249.253 any
access-list 105 deny   ip any any

access-list 123 permit ip 10.0.0.0 0.255.255.255 192.168.100.32 0.0.0.15
access-list 123 permit ip 172.16.0.0 0.15.255.255 192.168.100.32 0.0.0.15

route-map nonat permit 10
match ip address 105

ip nat inside source static 192.168.249.253 195.xx.xxx.x route-map nonat

Заранее спасибо.

Ответить | Сообщить модератору
  • IPSec site2site + ISA nat, !*! Pve1, 18:12 , 25-Мрт-10 (1)
    Аксес лист 105 у вас не правильный.
    Как я понимаю надо сделать так:
    deny ip any 10.0.0.0/8
    deny ip any 192.168.0.0/16
    deny ip any 172.16.0.0/12
    permit host ISA any

    Тем самым весь трафик на внутренние адреса пойдет без ната.
    А в интернет - с натом.


    Ваше правило
    access-list 105 permit ip host 192.168.249.253 any
    разрешает всем пакетам с исы идти через нат.

    А вообще, как я понимаю, весь трафик натится в любом случае?
    Ест нат в филиалы не нуже - надо на ису и рутер  заводить дополнительный интерфейс.
    Тогда такие проблемы в принципе не возникнут.

    Ответить | Сообщить модератору
    • IPSec site2site + ISA nat, !*! Евгений, 19:13 , 25-Мрт-10 (2)
      >[оверквотинг удален]
      >
      >
      >Ваше правило
      >access-list 105 permit ip host 192.168.249.253 any
      >разрешает всем пакетам с исы идти через нат.
      >
      >А вообще, как я понимаю, весь трафик натится в любом случае?
      >Ест нат в филиалы не нуже - надо на ису и рутер
      > заводить дополнительный интерфейс.
      >Тогда такие проблемы в принципе не возникнут.

      Если можно - поподробней вашу идею.
      На текущий момент у Cisco есть интерфейс и в 10.0.0.0/8 подсеть и в подсеть с ИСА.

      Логика такая: Выход в интернет должна иметь только ИСА, потому как на ней много правил, разрешающих интернет по протоколам/группам, публикуются сервера в интеренет и т.п.
      Роутинг между подсетями филиалов и офиса должна осуществлять Cisco.

      Спасибо за ответ.. сегодня/завтра попробую.

      Ответить | Сообщить модератору
      • IPSec site2site + ISA nat, !*! Pve1, 21:43 , 25-Мрт-10 (3)
        >[оверквотинг удален]
        >Если можно - поподробней вашу идею.
        >На текущий момент у Cisco есть интерфейс и в 10.0.0.0/8 подсеть и
        >в подсеть с ИСА.
        >
        >Логика такая: Выход в интернет должна иметь только ИСА, потому как на
        >ней много правил, разрешающих интернет по протоколам/группам, публикуются сервера в интеренет
        >и т.п.
        >Роутинг между подсетями филиалов и офиса должна осуществлять Cisco.
        >
        >Спасибо за ответ.. сегодня/завтра попробую.

        Просто по нарисованной схеме я понял, что весь внутренний лан подключен к исе без прямого выхода на роутер.  И весь трафик проходит через ису. И соответственно предложил 2 интерфейса между исой и рутером. На одном нат - в интернет. На другом роутинг в впн-каналы. Тогда и роут-мап не нужен, т.к. нат на 1-м интерфейсе.

        Но раз рутер подключен напрямую в 10.0.0.0 сетку - то это очевидно излишне.
        Я правильно понял, что в вашей 10.0.0.0.24 сетке - рутер является шлюзом по умолчанию.
        А интернет трафик перенаправляется на ису файервол-клиентом по socks-proxy? При этом иса шлюзом не является?
        В этом случае все должно работать с предложенным мной ACL.


        Ответить | Сообщить модератору
      • IPSec site2site + ISA nat, !*! Valery12, 14:38 , 26-Мрт-10 (4)
        >Если можно - поподробней вашу идею.
        >На текущий момент у Cisco есть интерфейс и в 10.0.0.0/8 подсеть и
        >в подсеть с ИСА.

        я поступил проще, взял дополнительный белый IP
        первый на интерфейсе роутера на нем DMVPN с крипто-мап для связи с филиалами
        а второй для ИСА
        и уже для него
        ip nat pool ISA хх.хх.хх.хх хх.хх.хх.хх netmask 255.255.255.252
        ip nat inside source list 70 pool ISA overload
        ip nat inside source static 10.0.0.40 хх.хх.хх.хх extendable
        access-list 70 permit 10.0.0.40

        ip nat inside source static 10.0.0.40 хх.хх.хх.хх extendable
        можно заменить указав только разрешенные из-вне протоколы, ну и не забыть поправить входящий акцесс-лист

        Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру