- NAT через туннель.... HELP!!,
 pwn, 21:06 , 21-Дек-04 (1)ти оффисов...
>построил туннель-работает, поднял ipsec-работает, но внутренние сети друг друга не видят, видимо
>нужен NAT Зачем? должна работать обычная статическая маршрутизация. Скорее всего
проблема в настроках компов, вы им шлюз на роутеры хотя бы прописали?
попробуйте прогнать трассу с компа в одной локали на комп в другой локали подключенной через тунель, и посмотрите где заткнется :) Если на самом первом хопе то явно компы не знают где искать "соседнюю" сеть :)
- NAT через туннель.... HELP!!, chart, 09:57 , 22-Дек-04 (2)
нет, компы знают...все собственно работает только без шифрования, поднимая шифрование нужно изменить access-list на адреса внешн.(s0)
....в этом случае шиврование поднимается но естесно врутр сети не видят друг друга..... поэтому переброску пакетов наверное нужно сделать через НАТ...может так к примеру ip nat inside source static 10.10.221.? <адрес s0 с другого конца тунеля>
я не уверен....так будет рвботать? или как лучше?
- NAT через туннель.... HELP!!, pwn, 11:22 , 22-Дек-04 (3)
>нет, компы знают...все собственно работает только без шифрования, поднимая шифрование нужно изменить
>access-list на адреса внешн.(s0)
>....в этом случае шиврование поднимается но естесно врутр сети не видят друг друга..... поэтому переброску пакетов наверное нужно сделать через НАТ...может так к примеру ip nat inside source static 10.10.221.? <адрес s0 с другого конца тунеля>
>я не уверен....так будет рвботать? или как лучше? А нафига вы подымаете шифрование как трафика до тунеля так и после него уже инкапуслированного в ГРЕ? interface Tunnel0
crypto map vpn -???? interface Serial0
crypto map vpn Помоему уж что-то одно - либо шифруете уже инкапсулированный в ГРЕ тунель на сериале либо шифруете до инкапсуляции трафик локалей на интерфейсе тунеля. Если шифровать сам тунель то access-list 101 остается в том виде как есть если шифровать траф до инкапсуляции то 101 лист должен содержать адреса лвс и в принципе можно шифровать не апсалютно весь траф по тунелю а только определенный, попадающий под 101-й лист... По идее если убрать шифрование и у вас все работает через обычный нешифрованный ГРЕ то просто включение шифрования на сериале должно никак не отразиться на работе вааще. За исключением того что через WAN поедет уже шифрованный ГРЕ.
- NAT через туннель.... HELP!!, ВОЛКА, 11:33 , 22-Дек-04 (4)
вы не правы...
так оно должно работать...
криптомап вешается на тунельный и на физический интерфейс.
- NAT через туннель.... HELP!!, ВОЛКА, 11:37 , 22-Дек-04 (5)
давайте выберем два компа для тестов...
покажите вывод ipconfig /all с этих комповтакже запустите ping
ping 10.10.223.3 source 10.10.221.251
- NAT через туннель.... HELP!!, chart, 11:45 , 22-Дек-04 (6)
ping 10.10.223.3 source 10.10.221.251 проходят (это sec ip адреса интерфейсов E0 на обоих концах туннеля) , собственно у меня все сейчас работает сети видят друг друга и т.д. но не поднимается ipsec потому как в access-list должны быть ip source и destination туннеляесли я меняю адреса то туннель шифруется и все ок, но естесно сеть 10.10.221.0 перестает видить 10.10.223.0
- NAT через туннель.... HELP!!, jomb, 13:39 , 22-Дек-04 (8)
>помогите разобраться с NAT
>нужно организовать шифр.туннель между оффисами, причем в туннеле должны быть
>связанны внутренние сети оффисов...
>построил туннель-работает, поднял ipsec-работает, но внутренние сети друг друга не видят, видимо
>нужен NAT
>
>Тоесть нужно связать по шифрованному туннелю 10.10.221.0 и 10.10.223.0
>
>на обоих рутерах
>s0 - внешний ip
>e0 - внешний и внутренний ip addr sec
>
>конфиг рутера 1
>--------------------------------------------------------------------------------------------
>crypto isakmp policy 1
> hash md5
> authentication pre-share
>crypto isakmp key cisco123 address 82.82.82.82
>!
>crypto ipsec transform-set strong esp-3des esp-md5-hmac
>!
>crypto map vpn 10 ipsec-isakmp
> set peer 82.82.82.82
> set transform-set strong
> match address 101
>!
>interface Tunnel0
> ip address 192.168.1.1 255.255.255.252
> tunnel source Serial0/0
> tunnel destination 82.82.82.82
> crypto map vpn
>!
> interface FastEthernet0/0
> ip address 10.10.221.251 255.255.255.0 secondary
> ip address 217.69.200.213 255.255.255.252
>
>interface Serial0/0
> ip address 217.69.223.6 255.255.255.252
> crypto map vpn
>
>ip route 10.10.223.0 255.255.255.0 Tunnel0
>
>access-list 101 permit gre host 217.69.223.6 host 82.82.82.82
>---------------------------------------------------------------------------------------------
>
>роутер 2
>
>crypto isakmp policy 1
> hash md5
> authentication pre-share
>crypto isakmp key cisco123 address 217.69.223.6
>!
>!
>crypto ipsec transform-set strong esp-3des esp-md5-hmac
>!
>crypto map vpn 10 ipsec-isakmp
> set peer 217.69.223.6
> set transform-set strong
> match address 101
>
>interface Tunnel0
> ip address 192.168.1.2 255.255.255.252
> no keepalive
> tunnel source Serial0
> tunnel destination 217.69.223.6
> crypto map vpn
>
>interface Ethernet0
> ip address 10.10.223.3 255.255.255.0 secondary
> ip address 62.62.133.133 255.255.255.252
>
>interface Serial0
> ip address 82.82.82.82 255.255.255.252
> crypto map vpn
>
>ip route 10.10.0.0 255.255.0.0 Tunnel0
>
>access-list 101 permit gre host 82.82.82.82 host 217.69.223.6
>
>помогите с натом, плиз...неполучается Я бы предложил отказатсья от тунеля, можно сделать гораздо проще
1 рутер
---------
crypto isakmp policy 1
hash md5
authentication pre-share
group 2
crypto isakmp key cisco123 address 82.82.82.82
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer 82.82.82.82
set transform-set strong
match address 101
!
interface Serial0/0
ip address 217.69.223.6 255.255.255.252
crypto map vpn
!
access-list 101 permit ip 10.10.221.0 0.0.0.255 10.10.223.0 0.0.0.255 -----------------------
Рутер 2
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 217.69.223.6
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer 217.69.223.6
set transform-set strong
match address 101
!
interface Serial0
ip address 82.82.82.82 255.255.255.252
crypto map vpn access-list 101 permit ip 10.10.223.0 0.0.0.255 10.10.221.0 0.0.0.255
- NAT через туннель.... HELP!!, chart, 13:46 , 22-Дек-04 (9)
да, но разве шифрование поддержится в данном случае? по факту меняется только правило с gre на ip и с хоста на сеть....что это дает? расскажите пожалуйста
- NAT через туннель.... HELP!!, jomb, 14:14 , 22-Дек-04 (10)
>да, но разве шифрование поддержится в данном случае? по факту меняется только
>правило с gre на ip и с хоста на сеть....что
>это дает? расскажите пожалуйста
по дефолту все
пакеты уходят через внешний интерфейс на внешнем интерфейсе есть crypto mapи циска проверяет что в crypto map должно попасть согласно 101 access-list
поподая в 101 access-list весь ip трафик будет матчится шифроваться
в 101 access-list должна быть src network to dst network, а не src host to dst network !
- NAT через туннель.... HELP!!, chart, 15:52 , 22-Дек-04 (12)
сделал как на вашем примере....
даю команды
sh crypto isakmp sa
sh crypto ipsec sa
sh crypto engine connect activeПУСТО!!!! шифрования нет!
- NAT через туннель.... HELP!!, jomb, 17:14 , 22-Дек-04 (13)
>сделал как на вашем примере....
>даю команды
>sh crypto isakmp sa
>sh crypto ipsec sa
>sh crypto engine connect active
>
>ПУСТО!!!! шифрования нет!
покажите debug crypto isakmp
debug crypto ipsec
Что за IOS что за циска sh run plzz
- NAT через туннель.... HELP!!, chart, 17:33 , 22-Дек-04 (14)
cisco 2610 и 805
ios 12.2
по debug ничего не показывает...!
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 82.82.82.82
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer 82.82.82.82
set transform-set strong
match address 101
!
!
!
!
!
!
!
interface Tunnel0
ip address 192.168.1.1 255.255.255.252
tunnel source Serial0/0
tunnel destination 82.142.136.210
crypto map vpn
!
interface FastEthernet0/0
ip address 10.10.221.251 255.255.255.0 secondary
logging event subif-link-status
speed auto
full-duplex
no cdp enable
no mop enabled
!
interface Serial0/0
ip address 217.69.223.6 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
no fair-queue
no cdp enable
crypto map vpn
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 217.69.223.5
ip route 10.10.223.0 255.255.255.0 Tunnel0 !
no ip http server
no ip http secure-server
!
! access-list 101 permit ip 10.10.223.0 0.0.0.255 10.10.221.0 0.0.0.255
- NAT через туннель.... HELP!!, ВОЛКА, 17:56 , 22-Дек-04 (15)
- NAT через туннель.... HELP!!, chart, 18:10 , 22-Дек-04 (17)
конфиг 1
ip cef
ip name-server 217.69.192.135
ip name-server 217.69.192.133
ip audit notify log
ip audit po max-events 100
ip ssh break-string
no ftp-server write-enable
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 82.82.82.82!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer 82.142.136.210
set transform-set strong
match address 101
!
interface Tunnel0
ip address 192.168.1.1 255.255.255.252
tunnel source Serial0/0
tunnel destination 82.142.136.210
crypto map vpn
!
interface FastEthernet0/0
ip address 10.10.221.251 255.255.255.0 secondary
logging event subif-link-status
speed auto
full-duplex
no cdp enable
no mop enabled
!
interface Serial0/0
ip address 217.69.223.6 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
no fair-queue
no cdp enable
crypto map vpn
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 217.69.223.5
ip route 10.10.223.0 255.255.255.0 Tunnel0
!
! access-list 102 permit gre host 217.69.223.6 host 82.82.82.82 ---------------------------------------------------------------- конфиг 2 clock timezone Msk 3
ip subnet-zero
!
ip name-server 194.85.129.80
ip name-server 194.85.128.10
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco123 address 217.69.223.6
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
mode transport
!
crypto map vpn 10 ipsec-isakmp
set peer 217.69.223.6
set transform-set strong
match address 101
!
!
!
!
interface Tunnel0
ip address 192.168.2.2 255.255.255.252
no keepalive
tunnel source Serial0
tunnel destination 217.69.223.6
crypto map vpn
!
interface Ethernet0
ip address 10.10.224.3 255.255.255.0 secondary
no ip mroute-cache
!
interface Serial0
ip address 82.82.82.82 255.255.255.252
no ip mroute-cache
no fair-queue
crypto map vpn
!
ip classless
ip route 0.0.0.0 0.0.0.0 194.85.147.53
ip route 10.10.0.0 255.255.0.0 Tunnel0
no ip http server
ip pim bidir-enable
!
! access-list 101 permit gre host 82.82.82.82 host 217.69.223.6 ПРИ ТАКОМ КОНФИГЕ ТУННЕЛЬ РАБОТАЕТ, IPSEC ПОДНИМАЕТСЯ ...НО, НУЖНО ЧТОБ ВИДИЛИСЬ ВНУТРЕННИЕ СЕТКИ (10.10.221.0 должна видить 10.10.223.0) и строки типа ip route 10.10.0.0 255.255.0.0 Tunnel0 не помогают
- NAT через туннель.... HELP!!, jomb, 18:02 , 22-Дек-04 (16)
>cisco 2610 и 805
>ios 12.2
>по debug ничего не показывает...
>
>
>
>!
>!
>crypto isakmp policy 1
> hash md5
> authentication pre-share
>crypto isakmp key cisco123 address 82.82.82.82
>!
>!
>crypto ipsec transform-set strong esp-3des esp-md5-hmac
>!
>crypto map vpn 10 ipsec-isakmp
> set peer 82.82.82.82
> set transform-set strong
> match address 101
>!
>!
>!
>!
>!
>!
>!
>interface Tunnel0
> ip address 192.168.1.1 255.255.255.252
> tunnel source Serial0/0
> tunnel destination 82.142.136.210
> crypto map vpn
Убери интерфейс >!
>interface FastEthernet0/0
> ip address 10.10.221.251 255.255.255.0 secondary
> logging event subif-link-status
> speed auto
> full-duplex
> no cdp enable
> no mop enabled
>!
>interface Serial0/0
> ip address 217.69.223.6 255.255.255.252
> no ip redirects
> no ip unreachables
> no ip proxy-arp
> no fair-queue
> no cdp enable
> crypto map vpn
>!
>!
>ip classless
>ip route 0.0.0.0 0.0.0.0 217.69.223.5 >ip route 10.10.223.0 255.255.255.0 Tunnel0
Удали этот роут >!
>no ip http server
>no ip http secure-server
>!
>!
>
>access-list 101 permit ip 10.10.223.0 0.0.0.255 10.10.221.0 0.0.0.255
access-list 101 permit ip 10.10.221.0 0.0.0.255 10.10.222.0 0.0.0.255
(src->dst)
|
Версия для распечатки
NAT через туннель.... HELP!!, 
