URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 14217
[ Назад ]

Исходное сообщение
"IPSec туннель между подсетью и точкой (Zyxel 334 и Cisco 1751)"

Отправлено Илья , 15-Авг-07 15:45 
Доброго времени суток!

Был закуплен простенький роутер для филиала Zyxel 334, умеющий прокидывать IPSec туннель только к одному IP адресу.

Попытался настроить cisco на такой туннель - столкнулся с тем, что туннель по логам на Zyxel и Cisco устанавливается, но пинги до нужного хопа не идут. Может быть для peer - site туннеля нужны другие настройки?

Локальная сеть - 192.168.0/24
Удалёная - 192.168.3/24, хост с которым должен быть туннель - 192.168.3.99

sh ru


!
! Last configuration change at 22:42:14 UTC Tue Aug 14 2007 by root
! NVRAM config last updated at 22:51:23 UTC Mon Aug 6 2007 by root
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname CiscoOffice
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxxxxxxxx
!
username root secret 5 xxxxx
memory-size iomem 20
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
aaa new-model
!
!
aaa authentication login admins local
aaa session-id common
ip subnet-zero
!
!
ip domain name cisco.e.local
ip host corp.e.ru 192.168.0.82
ip name-server xxx

!
ip cef
ip inspect name lan-out tcp timeout 3600
ip inspect name lan-out udp timeout 15
ip inspect name lan-out ftp timeout 3600
ip inspect name lan-out smtp timeout 3600
ip inspect name lan-out icmp timeout 15
ip audit po max-events 100
no ftp-server write-enable
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
lifetime 3600
crypto isakmp key ltI04uBQ4o address aaa.aaa.aaa.aaa
crypto isakmp keepalive 380 10
!
!
crypto ipsec transform-set cm-transformset-1 esp-3des esp-sha-hmac
!
!
crypto map cm-goldentelecom local-address Ethernet1/0

crypto map cm-goldentelecom 4 ipsec-isakmp
set peer aaa.aaa.aaa.aaa
set transform-set cm-transformset-1
match address vpn_storage_main
!
!
interface FastEthernet0/0
description LAN
ip address 192.168.0.21 255.255.255.0
ip nat inside
ip flow ingress
ip inspect lan-out in
speed auto
no cdp enable
!
interface Ethernet1/0
description Goldentelecom
ip address bbb.bbb.bbb.bbb 255.255.255.252
ip access-group wan-in in
ip nat outside
full-duplex
fair-queue
no cdp enable
crypto map cm-goldentelecom
!
ip nat inside source list NAT_TO_ISP_GOLDEN interface Ethernet1/0 overload

ip classless
ip route 0.0.0.0 0.0.0.0 ccc.ccc.ccc.ccc
no ip http server
no ip http secure-server
!
ip dns server
!
!
ip access-list extended NAT_TO_ISP_GOLDEN
deny   ip any 10.0.0.0 0.255.255.255
deny   ip any 172.16.0.0 0.15.255.255
deny   ip any 192.168.0.0 0.0.255.255
deny   ip any 212.12.0.0 0.0.255.255
permit ip 192.168.0.0 0.0.0.255 any
deny   ip any any log
ip access-list extended vpn_storage_main
permit ip 192.168.0.0 0.0.0.255 host 192.168.3.99
ip access-list extended wan-in
permit icmp any any
permit esp any any
permit udp any any eq isakmp
deny   ip any any log
logging trap debugging
logging facility local1
logging 192.168.0.151
no cdp run
!
!
line con 0
line aux 0
line vty 0 4
session-timeout 15
exec-timeout 0 0
login authentication admins
transport input ssh
!
end


Содержание

Сообщения в этом обсуждении
"IPSec туннель между подсетью и точкой (Zyxel 334 и Cisco 175..."
Отправлено bfc , 16-Авг-07 12:26 
Тунель между 334-м и циско у меня не работатает. Это глюк 334-го, занимался ими год назад. Тунель устанавливается а пакеты в тунель зухель не бросает. Это хорошо видно сниффером. Попытка общаться с суппортом Зухель.ру ни к чему не привела. Обновление прошивки с тем же результатом. Они говорят что 334-й с зеволами работает без проблем. Плюнул взял длинки 804-е, заработало с полпика.  

"IPSec туннель между подсетью и точкой (Zyxel 334 и Cisco 175..."
Отправлено LexeION , 16-Янв-08 04:41 
Если тема еще не устарела....
У меня тунель работал между P-334 и cisco877. По крайней мере пинг от
компа в удаленной локалке на компы в сеть центрального офиса ходил без проблем.
Другой трафик не пробовал, не было необходимости, так чисто из любопытства...
Но у меня на зухе в 1-й фазе ike стоял DES+MD5, а во 2-й AH+MD5, а не ESP как у тебя.
Ну, и мапить надо точно одинаково с обоих сторон. Если на цыске permit ip 192.168.0.0 0.0.0.255 host 192.168.3.99, то на зухе тоже в полях начало-конец  192.168.0.0 255.255.255.0 должно. А в конфиге цыски я криминала не вижу...

"IPSec туннель между подсетью и точкой (Zyxel 334 и Cisco 175..."
Отправлено radiogen , 21-Янв-08 20:06 
>[оверквотинг удален]
>пинг от
>компа в удаленной локалке на компы в сеть центрального офиса ходил без
>проблем.
>Другой трафик не пробовал, не было необходимости, так чисто из любопытства...
>Но у меня на зухе в 1-й фазе ike стоял DES+MD5, а
>во 2-й AH+MD5, а не ESP как у тебя.
>Ну, и мапить надо точно одинаково с обоих сторон. Если на цыске
>permit ip 192.168.0.0 0.0.0.255 host 192.168.3.99, то на зухе тоже в
>полях начало-конец  192.168.0.0 255.255.255.0 должно. А в конфиге цыски я
>криминала не вижу...

Вопрос:
Имеются два офиса (назовем их офис A(Zyxel P334) и офис B(DI-804HV)) подключенных к Интернету через PPTP.Офис B(DI-804HV) имеет статический IP . Между этими офисами установлен VPN-туннель через IPSec. Точка входа одиночный компьютер за Zyxel и выход на всю подсеть офиса B(DI-804HV).
Как сделать так, чтобы компьютер офиса А работал в Интернете через офис В? Т.е. как можно направить весь трафик из офиса А в офис В через VPN-туннель, для того чтобы потом перенаправить его в Интернет?

исходные данные для Zyxel P334 (Офис А)
ZyNOS Firmware Version: V3.60(JJ.9) | 05/11/2007
Wan: aaa.aaa.aaa.aaa
Lan: 192.168.11.1

IPSec
Local Addr IP Single: 192.168.11.33
Remote Address Start: 0.0.0.0
Remote Address End/Mask: 0.0.0.0
Secure Gateway Address: bbb.bbb.bbb.bbb
Encapsulation Mode: Tunnel
IPSec Protocol: ESP
Pre-Shared Key: ****
Encryption Algorithm: 3DES
Authentication Algorithm: MD5
---------------------------------------

исходные данные для DI-804HV (Офис В) - Главный
Firmware Version: V1.50, Wed, Nov 14 2007
Wan: bbb.bbb.bbb.bbb
Lan: 192.168.0.1

IPSec
Local Subnet: 0.0.0.0
Local Netmask: 0.0.0.0
Remote Subnet: 192.168.11.33
Remote Netmask: 255.255.255.255
Remote Gateway: aaa.aaa.aaa.aaa
Encapsulation Mode: Tunnel
IPSec Protocol: ESP
Pre-Shared Key: ****
Encryption Algorithm: 3DES
Authentication Algorithm: MD5
---------------------------------------------
туннель создается, компьютер за zyxel с IP 192.168.11.33 пингует удаленную сеть, но на самом нет интернета. как можно направить весь трафик из офиса А в офис В через VPN-туннель, для того чтобы потом перенаправить его в Интернет и иметь внешний IP рутера DLink bbb.bbb.bbb.bbb ? посоветуйте !



"IPSec туннель между подсетью и точкой (Zyxel 334 и Cisco 175..."
Отправлено LexeION , 22-Янв-08 07:12 

>Как сделать так, чтобы компьютер офиса А работал в Интернете через офис
>В? Т.е. как можно направить весь трафик из офиса А в
>офис В через VPN-туннель, для того чтобы потом перенаправить его в
>Интернет?
>

Я не имел дела с DI-804HV, т.е. возможностей его не знаю, но в принципе, IMHO для того чтобы из офиса A попасть в Инет, нужно где то этот офис заNATить (т.е в офисе B). С другой стороны, NAT работает между интерфейсами, обьявленными как inside и outside, как известно. Т.е.трафик с ip 192.168.11.33 должен сначала попасть на inside интерфейс рутера DI-804HV. Если на DI-804HV есть возможность настроить политику маршрутизации таким образом, чтобы трафик приходящий из VPN тунеля сначала рутился на inside интерфейс, то наверно это сработает. Иначе, увы...


"IPSec туннель между подсетью и точкой (Zyxel 334 и Cisco 175..."
Отправлено radiogen , 23-Янв-08 00:59 

>Я не имел дела с DI-804HV, т.е. возможностей его не знаю, но
>в принципе, IMHO для того чтобы из офиса A попасть в
>Инет, нужно где то этот офис заNATить (т.е в офисе B).
>С другой стороны, NAT работает между интерфейсами, обьявленными как inside и
>outside, как известно. Т.е.трафик с ip 192.168.11.33 должен сначала попасть на
>inside интерфейс рутера DI-804HV. Если на DI-804HV есть возможность настроить политику
>маршрутизации таким образом, чтобы трафик приходящий из VPN тунеля сначала рутился
>на inside интерфейс, то наверно это сработает. Иначе, увы...

спасибо за мудрый совет. я почему то не додумался что узкое место тут может быть в Dlink. маршрутизацию в Dlink прописать можно, вообщем сейчас испытаю еще один вариант.


"IPSec туннель между подсетью и точкой (Zyxel 334 и Cisco 175..."
Отправлено шпщпщ , 13-Фев-09 20:03 
Подскажите можно ли на Zyxel 334 так настроить VPN чтоб с компьютера на WinXP через WAN попасть во внутреннюю сеть. Типа тоннель только между компом и роутером.....
Спасибо.

"IPSec туннель между подсетью и точкой (Zyxel 334 и Cisco 175..."
Отправлено LexeON , 03-Апр-09 17:03 
>Подскажите можно ли на Zyxel 334 так настроить VPN чтоб с компьютера
>на WinXP через WAN попасть во внутреннюю сеть. Типа тоннель только
>между компом и роутером.....
>Спасибо.

Если вопрос еще актуален... - я думаю, что возможно ipsec тунель между компом и зухом и поднимется. Но ПРЯМОЙ доступ ко всем компам во внутренней сети через зух все равно не получить. Потому что на этом зухе ipsec сделан так, что может выпустить в ipsec туннель только один комп из своей локалки. Но если этим компом будет, например, RAS сервер,
то с WinXP можно настроить еще одно соединение (например PPTP)уже на RAS сервер, внутри уже установленного ipsec тунеля и уже через RAS получить доступ ко все локалке. Изврат, конечно,
но возможно сработает.