форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"NAT+VPN"
Сообщение от Mikhail on 25-Июн-03, 19:19  (MSK)
Есть cisco 1721:             1 Ethernet0 (ext_ip) 1 FastEthernet0 (int_ip) ... Задача: ловить трафик с опр. адреса (int_ip), NATить его (выпускать, например, от имени ext_ip_1), закидывать обратно на ext_ip, шифровать, выкидывать с ext_ip на следующий VPN-роутер. Смысл такой: та сторона - не наша, дальше - их забота расшифровать и прокинуть куда нужно. Соотв., меняемся парами адресов (vpn-router & public-router) и работаем. При этом нужно не срубить остальной выходящий трафик, который просто проходит через ext_ip с NATом, в т.ч. ssh на ext_ip, через который это все и конфигурится (доступа к консоли нет :-( ). Как стОит это сделать - поднять на Ethernet0 'ip address ext_ip_1 secondary' и дальше через роутинг? Или subinterfaces? Или есть более прямые и/или надежные/обкатанные методы? Может, кто ваял такое и может поделиться?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "NAT+VPN"
Сообщение от ВОЛКА on 25-Июн-03, 20:51  (MSK)
можно просто поднять IPSec между двумя VPN роутерами... а можно поднять ещё и раутинг между цисками через GRE тунель. если нужно,то зашифровать этот тунель IPsec'ом. Если хотим немного уменьшить оверхед, то использовать транспортную моду IPSec'а.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "NAT+VPN"
	Сообщение от A Clockwork Orange on 26-Июн-03, 09:18  (MSK)
	>можно просто поднять IPSec между двумя VPN роутерами... > >а можно поднять ещё и раутинг между цисками через GRE тунель. >если нужно,то зашифровать этот тунель IPsec'ом. Если хотим немного уменьшить оверхед, то >использовать транспортную моду IPSec'а. Где можно об этом почитать?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "NAT+VPN"
	Сообщение от ВОЛКА on 26-Июн-03, 12:44  (MSK)
	вы не поверите, www.cisco.com :))
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "NAT+VPN"
	Сообщение от Mikhail on 26-Июн-03, 10:32  (MSK)
	Нет, я не о том. Сейчас есть: #sh run ... crypto isakmp policy 1 encr 3des                                                           hash md5                                                             authentication pre-share                                             group 2                                                             lifetime 7200                                                       crypto isakmp key ... address ... ... crypto isakmp peer address ... ... crypto ipsec transform-set ... crypto map crmap 1 ipsec-isakmp                                         set peer ... set transform-set ...                                               match address 101 ... interface Ethernet0                         description Internet         ip address XXX.XXX.XXX.2 255.255.255.0     ip access-group input in                 ip access-group output out               ip nat outside                             half-duplex   crypto map crmap                               no cdp enable                             ... interface FastEthernet0                     description Local     ip address 192.168.0.1 255.255.255.0     ip access-group input_int in                 ip nat inside                             speed auto                                 no keepalive                               no cdp enable                             ... ip nat pool oload XXX.XXX.XXX.2 XXX.XXX.XXX.2 prefix-length 24           ip nat inside source list 7 pool oload overload                   ip classless                                                     ip route 0.0.0.0 0.0.0.0 Ethernet0 ip route <ext_router> <ext_vpn>                               ... ip access-list extended 101   permit ip host XXX.XXX.XXX.3 host <ext_vpn> ... вроде, так. Таким образом, все, что идет от хоста XXX.XXX.XXX.3 на <ext_vpn>, шифруется и уходит именно туда (проверено, работает в другой сетке).                       Все остальное должно просто НАТиться и уходить наружу от имени XXX.XXX.XXX.2. И все ОК (если нигде не ошибся), пока XXX.XXX.XXX.3 - другая машина. Так вот задача - поднять XXX.XXX.XXX.3 на Ethernet0 и чтобы работало так же. Осложняется тем, что я тоже через Ethernet0 по ssh работаю, экспериментировать опасно. Некоторые наметки есть, но нет уверенности.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.