 VPN IPSec + NAT + Routing,  masterok, 25-Июл-11, 22:18 [смотреть все]Здравствуйте уважаемые коллеги! Вот такая задачка у меня уж все мозги высушил.
Есть сервак на стороне у провайдера где крутятся мои сервисы, есть мой рутер cisco 2821 с кторым мне необходимо настроить VPN но причем провайдер хочет видеть шифрованные пакеты на сервак от моего имени (то есть с сорс адресом = моим внешним ИП и дст адресом нужный мне сервер) эта задача вроде решилась методом натинга, сначала я шифрую трафик от моего внешнего адреса до сервака у провайдера а потом начу любой серый адрес на мой внешний и все работает. Но проблема еще в том что есть партнеры компании которым также нужен сервис что вертится на серваке у провайдера, а условие провайдера чтобы я стал впн шлюзом для своих партнеров - создавал тунели с партнерами и кидал их запросы на сервак от своего имени (в сорс адресе пакета должен быть мой внешний адрес). Создаю тунели с партнерами и канал на провайдера падает, это еще не считая того что пакеты еще надо рутить до провайдера. На каждого партнера завожу отдельную запись в криптомапах crypto map VPN 1,2,3.... security policy тоже по отдельным последовательностям. Не работает нивкакую, конфиги жаль на данный момент не могу приложить но сэмплы при необходимости предоставлю. Буду рад совету!
[ISP]----vpn-----[ME]-------vpn------partner1
| |
| |--------vpn------partner2
[srv] | ....
|--------vpn------partnerN
|
- VPN IPSec + NAT + Routing, dmitry, 12:03 , 28-Июл-11 (1)
>[оверквотинг удален]
> |
> |
> |
> |--------vpn------partner2
> [srv]
> |
>
> ....
>
> |--------vpn------partnerN конфиг бы...
- VPN IPSec + NAT + Routing, masterok, 13:48 , 29-Июл-11 (2)
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto isakmp key 123456 address 79.170.x.x
crypto isakmp key testtest address 89.28.y.y
crypto isakmp aggressive-mode disable
!
!
crypto ipsec transform-set MY_SET esp-3des esp-sha-hmac
mode transport
!
crypto map VPN 5 ipsec-isakmp
description Crypto map sequence to Moldcell
set peer 79.170.x.x
set transform-set MY_SET
match address MY_MGMT
crypto map VPN 10 ipsec-isakmp
description Crypto map sequence to Partners
set peer 89.28.y.y
set transform-set MY_SET
match address PARTNERS
!
!
!
ip ssh authentication-retries 2
ip ssh version 2
!
!
!
!
interface Loopback0
description Management VPN inteface to turkcell
ip address 192.168.20.1 255.255.255.255
ip nat outside
ip virtual-reassembly
!
interface Loopback1
description Staff VPN interface to turkcell
ip address 192.168.30.1 255.255.255.255
ip virtual-reassembly
!
interface Loopback2
description VPN interface to Partners
ip address 192.168.35.1 255.255.255.255
!
interface GigabitEthernet0/0
description WAN Interface
ip address 89.29.*.*
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
crypto map VPN
!
interface GigabitEthernet0/1
description LAN Interface
ip address 192.168.4.254 255.255.255.0
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
duplex auto
speed auto
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 89.28.53.1
no ip http server
no ip http secure-server
!
!
!
ip access-list extended MY_MGMT
permit ip host 192.168.20.1 host 192.168.101.150
permit ip host 192.168.20.1 host 192.168.101.145
permit ip host 192.168.20.1 host 192.168.101.146
permit ip host 192.168.30.1 host 192.168.101.151
deny ip any any
ip access-list extended PARTNERS
permit ip host 192.168.35.1 host 10.201.24.254
deny ip any any
!Вот конфиг, 2 тунеля поднял но теперь задача чтобы партнер стучался ко мне на адрес 192,168,35,1 и попадал на 192,168,101,151 (это адрес сервера у провайдера)
Помогите плиз очень надо!!!
|
Версия для распечатки
