 NAT+VPN,  Mikhail, 25-Июн-03, 19:19 [смотреть все]Есть cisco 1721:
1 Ethernet0 (ext_ip)
1 FastEthernet0 (int_ip)
...
Задача: ловить трафик с опр. адреса (int_ip), NATить его (выпускать, например, от имени ext_ip_1), закидывать обратно на ext_ip, шифровать, выкидывать с ext_ip на следующий VPN-роутер.
Смысл такой: та сторона - не наша, дальше - их забота расшифровать и прокинуть куда нужно. Соотв., меняемся парами адресов (vpn-router & public-router) и работаем. При этом нужно не срубить остальной выходящий трафик, который просто проходит через ext_ip с NATом, в т.ч. ssh на ext_ip, через который это все и конфигурится (доступа к консоли нет :-( ).
Как стОит это сделать - поднять на Ethernet0 'ip address ext_ip_1 secondary' и дальше через роутинг? Или subinterfaces? Или есть более прямые и/или надежные/обкатанные методы? Может, кто ваял такое и может поделиться?
|
- NAT+VPN, ВОЛКА, 20:51 , 25-Июн-03 (1)
можно просто поднять IPSec между двумя VPN роутерами...а можно поднять ещё и раутинг между цисками через GRE тунель.
если нужно,то зашифровать этот тунель IPsec'ом. Если хотим немного уменьшить оверхед, то использовать транспортную моду IPSec'а.
- NAT+VPN, A Clockwork Orange, 09:18 , 26-Июн-03 (2)
>можно просто поднять IPSec между двумя VPN роутерами...
>
>а можно поднять ещё и раутинг между цисками через GRE тунель.
>если нужно,то зашифровать этот тунель IPsec'ом. Если хотим немного уменьшить оверхед, то
>использовать транспортную моду IPSec'а.
Где можно об этом почитать?
- NAT+VPN, ВОЛКА, 12:44 , 26-Июн-03 (4)
вы не поверите, www.cisco.com :))
- NAT+VPN, Mikhail, 10:32 , 26-Июн-03 (3)
Нет, я не о том. Сейчас есть:
#sh run
...
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 7200
crypto isakmp key ... address ...
...
crypto isakmp peer address ...
...
crypto ipsec transform-set ...
crypto map crmap 1 ipsec-isakmp
set peer ...
set transform-set ...
match address 101
...
interface Ethernet0
description Internet
ip address XXX.XXX.XXX.2 255.255.255.0
ip access-group input in
ip access-group output out
ip nat outside
half-duplex
crypto map crmap
no cdp enable
...
interface FastEthernet0
description Local
ip address 192.168.0.1 255.255.255.0
ip access-group input_int in
ip nat inside
speed auto
no keepalive
no cdp enable
...
ip nat pool oload XXX.XXX.XXX.2 XXX.XXX.XXX.2 prefix-length 24
ip nat inside source list 7 pool oload overload
ip classless
ip route 0.0.0.0 0.0.0.0 Ethernet0
ip route <ext_router> <ext_vpn>
...
ip access-list extended 101
permit ip host XXX.XXX.XXX.3 host <ext_vpn>
...
вроде, так.
Таким образом, все, что идет от хоста XXX.XXX.XXX.3 на <ext_vpn>, шифруется и уходит именно туда (проверено, работает в другой сетке).
Все остальное должно просто НАТиться и уходить наружу от имени XXX.XXX.XXX.2. И все ОК (если нигде не ошибся), пока XXX.XXX.XXX.3 - другая машина. Так вот задача - поднять XXX.XXX.XXX.3 на Ethernet0 и чтобы работало так же. Осложняется тем, что я тоже через Ethernet0 по ssh работаю, экспериментировать опасно. Некоторые наметки есть, но нет уверенности.
|
Версия для распечатки
