Проблема в следующем. В локалке 1 есть Cisco1721 , на ней настроен НАТ и ipsec тоннель на cisco2610, которая в локалке 2, тоннель идет через интернет.
На один из компов поставили программу-клиент, которая общается с сервером из локалки 2, по ipsec. так вот общаться то программа должна, но не общается. Поставили вместо 1721 FreeBSD с НАТом - все работает, вернули 1721 на место -не работает программа. Путем экспериментов выяснили, что если убрать настроенный тоннель (убрал crypto map MAP1 с Ethernet0 см. конфиг), то прога начинает работать. то есть работает либо тоннель, либо прога. можно ли сделать так, чтоб и то и другое работало.
Вот конфиг:
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key KEY address 1.1.1.1
!
!
crypto ipsec transform-set KEYSEC esp-des esp-md5-hmac
!
crypto map MAP1 10 ipsec-isakmp
set peer 1.1.1.1
set transform-set KEYSEC
match address IPSEC
!
!
!
!
interface Ethernet0
ip address 2.2.2.2 255.255.255.252
ip nat outside
no ip mroute-cache
full-duplex
crypto map MAP1
!
interface FastEthernet0
ip address 172.30.33.254 255.255.255.0
ip nat inside
no ip mroute-cache
speed auto
full-duplex
!
ip nat inside source list PAT interface Ethernet0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 2.2.2.1
no ip http server
no ip http secure-server
!
!
!
ip access-list extended IPSEC
permit ip 3.3.3.0 0.0.0.255 4.4.4.0 0.0.3.255
ip access-list extended PAT
deny ip 3.3.3.0 0.0.0.255 4.4.4.0 0.0.3.255
permit ip 3.3.3.0 0.0.0.255 any
адрес сервера для проги не попадает в ACL IPSEC, т.е по идее должен натиться. тут тоже непонятки. Сначала, при инициализации проги она общалась с сервером через нат (договариваются о ключах и все такое), но как только договорились так пакеты через 1721 пройти не могут. А иногда и иничиализация через нат не проходит (смотрел по show ip nat translations)
|
Вариант для распечатки
Маршрутизаторы CISCO и др. оборудование. (Public)
(??) on
18-Июл-05, 18:14 (MSK)
