forum.opennet.ru - "IPSEC + NAT" (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"IPSEC + NAT"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"IPSEC + NAT"		+/–
Сообщение от zzzzzak (ok) on 11-Июн-09, 14:17
Привет всем!!! Ситуация такая: два маршрутизатора, меду ними ipip туннель. На этот туннель наложен ipsec. примерно так: Router1(int tunnel0)-----ipsec-----Router2(int tunnel0) Конфигурация зеркальная на маршрутизаторах: interface tunnel 0 ip address .... tunnel source ... tunnel dest ... tunnel mode ipip crypto map MAP ip route .... tunnel 0 Кога трафик приходит на один из маршрутизаторов - его надо натить. Соответственно пишу на интерфейсе tunnel 0: ip nat inside И бац, проблема - трафик не натится. Если с интерфейса убрать крипто мап, оставить туннель чисто ipip - трафик натится, все клево. Стоит трафик зашифровать - нат кажет фигу. Люди добрые, никто не знает в чем может быть проблема??? Заранее спасибо за ответыю
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

IPSEC + NAT, Николай, 17:48 , 12-Июн-09, (1)

IPSEC + NAT, zzzzzak, 11:31 , 13-Июн-09, (2)

IPSEC + NAT, zzzzzak, 15:24 , 15-Июн-09, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "IPSEC + NAT" +/–

Сообщение от Николай (??) on 12-Июн-09, 17:48

>[оверквотинг удален]
>
>ip nat inside
>
>И бац, проблема - трафик не натится. Если с интерфейса убрать крипто
>мап, оставить туннель чисто ipip - трафик натится, все клево. Стоит
>трафик зашифровать - нат кажет фигу.
>
>Люди добрые, никто не знает в чем может быть проблема???
>
>Заранее спасибо за ответыю
1. почему выбрана такая конструкция, а не
tunnel mode ipsec ipv4
tunnel protection ipsec profile ИМЯ
2. Что хотите натить тунельнолье окончание или трафик внутри тунеля (может это и ответ ;))?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "IPSEC + NAT" +/–

Сообщение от zzzzzak (??) on 13-Июн-09, 11:31

>1. почему выбрана такая конструкция, а не
> tunnel mode ipsec ipv4
> tunnel protection ipsec profile ИМЯ
Потому что на одной из сторон иос версии 12.2, и он не умеет делать туннели ipsec ipv4.
>2. Что хотите натить тунельнолье окончание или трафик внутри тунеля (может это
>и ответ ;))?
Натить надо именно тот трафик, который шифруется внутри туннеля. Расширю немного схему:
subnet1--Router1(int tunnel0)---ipsec---(int tunnel0)Router2--ROUTERX(firewall)--subnetx
Клиенты из subnet1 должны обращаться к неким ресурсам из subnetx. Но т.к. на ROUTERX стоит файрвол, он разрешает только те адреса, в которые должны натится адреса из subnet1 на ROUTER2. На ROUTER2 создан пул адресов, которые разрешены на ROUTERX.
Вот меня и мучает вопрос, почему трафик не натится, если на interface tunnel вешать крипто мап?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "IPSEC + NAT" +/–

Сообщение от zzzzzak (ok) on 15-Июн-09, 15:24

Люди добрые, кто ж подскажет, как занатить такой трафик???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "IPSEC + NAT"		+/–
Сообщение от Николай (??) on 12-Июн-09, 17:48
>[оверквотинг удален] > >ip nat inside > >И бац, проблема - трафик не натится. Если с интерфейса убрать крипто >мап, оставить туннель чисто ipip - трафик натится, все клево. Стоит >трафик зашифровать - нат кажет фигу. > >Люди добрые, никто не знает в чем может быть проблема??? > >Заранее спасибо за ответыю 1. почему выбрана такая конструкция, а не tunnel mode ipsec ipv4 tunnel protection ipsec profile ИМЯ 2. Что хотите натить тунельнолье окончание или трафик внутри тунеля (может это и ответ ;))?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "IPSEC + NAT"		+/–
	Сообщение от zzzzzak (??) on 13-Июн-09, 11:31
	>1. почему выбрана такая конструкция, а не > tunnel mode ipsec ipv4 > tunnel protection ipsec profile ИМЯ Потому что на одной из сторон иос версии 12.2, и он не умеет делать туннели ipsec ipv4. >2. Что хотите натить тунельнолье окончание или трафик внутри тунеля (может это >и ответ ;))? Натить надо именно тот трафик, который шифруется внутри туннеля. Расширю немного схему: subnet1--Router1(int tunnel0)---ipsec---(int tunnel0)Router2--ROUTERX(firewall)--subnetx Клиенты из subnet1 должны обращаться к неким ресурсам из subnetx. Но т.к. на ROUTERX стоит файрвол, он разрешает только те адреса, в которые должны натится адреса из subnet1 на ROUTER2. На ROUTER2 создан пул адресов, которые разрешены на ROUTERX. Вот меня и мучает вопрос, почему трафик не натится, если на interface tunnel вешать крипто мап?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "IPSEC + NAT"		+/–
	Сообщение от zzzzzak (ok) on 15-Июн-09, 15:24
	Люди добрые, кто ж подскажет, как занатить такой трафик???
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]