URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 12372
[ Назад ]

Исходное сообщение
"static nat + RA VPN"
Отправлено buzz_tuman , 26-Дек-06 16:48

Ситауация такая:
Есть маршрутизатор 2600.
Есть статическая трансляция:
interface FastEthernet0
  ip address 100.1.1.1 255.255.255.0
  ip nat outside
  crypto map cmap
!
interface FastEthernet1
  ip address 2.2.2.1 255.255.255.0
  ip nat inside
!
ip nat inside source static tcp 2.2.2.2 80 100.1.1.2 80 extendable
Смысл ее в том, чтобы внутренний сервер 2.2.2.2 по порту 80 был виден под внешним адресом 100.1.1.2.
В то же время есть удаленные пользователи, для которых на этом же маршрутизаторе настроен RA VPN (конфиг стандартный - не в этом суть). Эти пользователи также должны получать доступ к этому серверу по порту 80.
В итоге VPN-пользователи доступ к этому серверу по 80 порту получить не могут.
Получается следующее:
- VPN-пользователь обращается к серверу по адресу 2.2.2.2;
- пакет достигает сервера, сервер шлет ответ;
- ответный пакет обрабатывается правилом; трансляции и его источник меняется на 100.1.1.2;
- этот пакет приходит на VPN-клиент и отбрасывается им как не соответствующий заданной политике.
Что делать? В какую сторону смотреть?
Варианты которые не подходят:
- поменять порт на сервере для VPN клиентов (или для внешних пользователей);
- отказаться от VPN.

Содержание

static nat + RA VPN,asavenkov, 17:18 , 26-Дек-06
- static nat + RA VPN,buzz_tuman, 17:41 , 26-Дек-06
  - static nat + RA VPN,asavenkov, 10:29 , 27-Дек-06

Сообщения в этом обсуждении

"static nat + RA VPN"
Отправлено asavenkov , 26-Дек-06 17:18

>Ситауация такая:
>Есть маршрутизатор 2600.
>Есть статическая трансляция:
>interface FastEthernet0
>  ip address 100.1.1.1 255.255.255.0
>  ip nat outside
>  crypto map cmap
>!
>interface FastEthernet1
>  ip address 2.2.2.1 255.255.255.0
>  ip nat inside
>!
>ip nat inside source static tcp 2.2.2.2 80 100.1.1.2 80 extendable
>
>Смысл ее в том, чтобы внутренний сервер 2.2.2.2 по порту 80 был
>виден под внешним адресом 100.1.1.2.
>В то же время есть удаленные пользователи, для которых на этом же
>маршрутизаторе настроен RA VPN (конфиг стандартный - не в этом суть).
>Эти пользователи также должны получать доступ к этому серверу по порту
>80.
>В итоге VPN-пользователи доступ к этому серверу по 80 порту получить не
>могут.
>Получается следующее:
>- VPN-пользователь обращается к серверу по адресу 2.2.2.2;
>- пакет достигает сервера, сервер шлет ответ;
>- ответный пакет обрабатывается правилом; трансляции и его источник меняется на 100.1.1.2;
>
>- этот пакет приходит на VPN-клиент и отбрасывается им как не соответствующий
>заданной политике.
>Что делать? В какую сторону смотреть?
>Варианты которые не подходят:
>- поменять порт на сервере для VPN клиентов (или для внешних пользователей);
>
>- отказаться от VPN.

Функция NAT выполняется перед инкапсуляцией в IPSEC или туннель. Для того что бы запихивать этот трафик в туннель надо это прописать на удаленных точках.

"static nat + RA VPN"
Отправлено buzz_tuman , 26-Дек-06 17:41

>>Ситауация такая:
>>Есть маршрутизатор 2600.
>>Есть статическая трансляция:
>>interface FastEthernet0
>>  ip address 100.1.1.1 255.255.255.0
>>  ip nat outside
>>  crypto map cmap
>>!
>>interface FastEthernet1
>>  ip address 2.2.2.1 255.255.255.0
>>  ip nat inside
>>!
>>ip nat inside source static tcp 2.2.2.2 80 100.1.1.2 80 extendable
>>
>>Смысл ее в том, чтобы внутренний сервер 2.2.2.2 по порту 80 был
>>виден под внешним адресом 100.1.1.2.
>>В то же время есть удаленные пользователи, для которых на этом же
>>маршрутизаторе настроен RA VPN (конфиг стандартный - не в этом суть).
>>Эти пользователи также должны получать доступ к этому серверу по порту
>>80.
>>В итоге VPN-пользователи доступ к этому серверу по 80 порту получить не
>>могут.
>>Получается следующее:
>>- VPN-пользователь обращается к серверу по адресу 2.2.2.2;
>>- пакет достигает сервера, сервер шлет ответ;
>>- ответный пакет обрабатывается правилом; трансляции и его источник меняется на 100.1.1.2;
>>
>>- этот пакет приходит на VPN-клиент и отбрасывается им как не соответствующий
>>заданной политике.
>>Что делать? В какую сторону смотреть?
>>Варианты которые не подходят:
>>- поменять порт на сервере для VPN клиентов (или для внешних пользователей);
>>
>>- отказаться от VPN.
>
>
>Функция NAT выполняется перед инкапсуляцией в IPSEC или туннель. Для того что
>бы запихивать этот трафик в туннель надо это прописать на удаленных
>точках.
Поясните, если не сложно, на каких точках я это должен прописывать.
На удаленных точках сейчас пихается в туннель все, и это с учтом приведенной выше трансляции создает проблему когда я пытаюсь обратиться по VPN на 80-порт этого сервера.

"static nat + RA VPN"
Отправлено asavenkov , 27-Дек-06 10:29

>>>Ситауация такая:
>>>Есть маршрутизатор 2600.
>>>Есть статическая трансляция:
>>>interface FastEthernet0
>>>  ip address 100.1.1.1 255.255.255.0
>>>  ip nat outside
>>>  crypto map cmap
>>>!
>>>interface FastEthernet1
>>>  ip address 2.2.2.1 255.255.255.0
>>>  ip nat inside
>>>!
>>>ip nat inside source static tcp 2.2.2.2 80 100.1.1.2 80 extendable
>>>
>>>Смысл ее в том, чтобы внутренний сервер 2.2.2.2 по порту 80 был
>>>виден под внешним адресом 100.1.1.2.
>>>В то же время есть удаленные пользователи, для которых на этом же
>>>маршрутизаторе настроен RA VPN (конфиг стандартный - не в этом суть).
>>>Эти пользователи также должны получать доступ к этому серверу по порту
>>>80.
>>>В итоге VPN-пользователи доступ к этому серверу по 80 порту получить не
>>>могут.
>>>Получается следующее:
>>>- VPN-пользователь обращается к серверу по адресу 2.2.2.2;
>>>- пакет достигает сервера, сервер шлет ответ;
>>>- ответный пакет обрабатывается правилом; трансляции и его источник меняется на 100.1.1.2;
>>>
>>>- этот пакет приходит на VPN-клиент и отбрасывается им как не соответствующий
>>>заданной политике.
>>>Что делать? В какую сторону смотреть?
>>>Варианты которые не подходят:
>>>- поменять порт на сервере для VPN клиентов (или для внешних пользователей);
>>>
>>>- отказаться от VPN.
>>
>>
>>Функция NAT выполняется перед инкапсуляцией в IPSEC или туннель. Для того что
>>бы запихивать этот трафик в туннель надо это прописать на удаленных
>>точках.
>Поясните, если не сложно, на каких точках я это должен прописывать.
>На удаленных точках сейчас пихается в туннель все, и это с учтом
>приведенной выше трансляции создает проблему когда я пытаюсь обратиться по VPN
>на 80-порт этого сервера.
Т.к. весь трафик шифруется, то логичнее коннектиться к внешнему адресу сервера. Если ВПН статичны, то на роутере где НАТ и ВПН в АСЛ лист ВПНа надо добавить трафик от сервера до сетей доступных через ВПН. Примерно так для роутера с НАТом и ВПНом:
access list extention VNP
permint  ip LAN_M LAN_R
permint  tcp host Pub_Ser eq 80 LAN_R
Где
LAN_M - сеть за роутером с ВПН и НАТОМ
LAN_R - сеть удаленной площадки
Pub_Ser - публичный адрес серера