cisco1811имеется сервер в центральном офисе, к нему требуется обеспечить доступ как по впн-каналам из других офисов, так и доступ по порту для разного рода пунктов
для определенности в качестве сервиса возьмем терминал (rdp 3389)
так вот при пробросе порта с внешнего ip на порт сервера во внутренней сети доступ по впн каналам обламывается. убираешь маппинг-работает, добавляешь - не работаеткусочки лога
(в данной конфигурации используются "кривые" порты, т.е. на внешнем интерфейсе исп 80, а транслируется на 3389, если прямые -- тоже самое)во всех акцес-листах на все дени стоит log, но дропов по моему поводу не наблюдаю
external_ip -- мой внешний ip
external_gw - ik.p
192.168.8.0 - сетка за циской1811
192.168.2.0 - сетка длинком804IP NAT detailed debugging is on
IP NAT PORT debugging is on
IP NAT IPsec debugging is onломлюсь на порт
NAT*: o: tcp (vpn-end, 65421) -> (external_ip, 80) [43992]
NAT*: TCP s=65421, d=80->3389
NAT*: s=vpn-end, d=external_ip->192.168.8.6 [43992]
NAT*: i: tcp (192.168.8.6, 3389) -> (vpn-end, 65421) [22244]
NAT*: TCP s=3389->80, d=65421
NAT*: s=192.168.8.6->external_ip, d=vpn-end [22244]
NAT*: o: tcp (vpn-end, 65421) -> (external_ip, 80) [44007]ломлюсь на порт через впн
NAT*: i: tcp (192.168.8.6, 3389) -> (192.168.2.2, 23089) [22388]
NAT*: i: tcp (192.168.8.6, 3389) -> (192.168.2.2, 23089) [22388]
NAT*: TCP s=3389->80, d=23089
NAT*: s=192.168.8.6->external_ip, d=192.168.2.2 [22388]
NAT*: i: tcp (192.168.8.6, 3389) -> (192.168.2.2, 23089) [22390]
NAT*: TCP s=3389->80, d=23089
NAT*: s=192.168.8.6->external_ip, d=192.168.2.2 [22390]собственно это все что есть показать
акцес-лист:
access-list 1 permit 192.168.8.0 0.0.0.255
access-list 100 deny ip external_gw 0.0.0.7 any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 permit ip 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.8.0 0.0.0.255
access-list 101 permit udp host vpn-end host external_ip eq non500-isakmp
access-list 101 permit udp host vpn-end host external_ip eq isakmp
access-list 101 permit esp host vpn-end host external_ip
access-list 101 permit ahp host vpn-end host external_ip
access-list 101 permit udp host 212.44.130.6 eq domain host external_ip
access-list 101 permit tcp any host external_ip eq www
access-list 101 deny ip 192.168.8.0 0.0.0.255 any
access-list 101 permit icmp any host external_ip echo-reply
access-list 101 permit icmp any host external_ip time-exceeded
access-list 101 permit icmp any host external_ip unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip any any
access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.8.0 0.0.0.255
access-list 102 deny ip 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 102 permit ip 192.168.8.0 0.0.0.255 any
access-list 2000 permit ip 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 2000 permit ip 192.168.2.0 0.0.0.255 192.168.8.0 0.0.0.255акцес-лист незатейливо сбацан СДМ-ом, приведен без ремарок
куда рыть?
>[оверквотинг удален]
>access-list 101 deny ip any any
>access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.8.0 0.0.0.255
>access-list 102 deny ip 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255
>access-list 102 permit ip 192.168.8.0 0.0.0.255 any
>access-list 2000 permit ip 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255
>access-list 2000 permit ip 192.168.2.0 0.0.0.255 192.168.8.0 0.0.0.255
>
>акцес-лист незатейливо сбацан СДМ-ом, приведен без ремарок
>
>куда рыть?http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/produ...
Смотрел?
посмотрел. это не то по-моему. в любом случае не работает (set nat demux)
>посмотрел. это не то по-моему. в любом случае не работает (set nat
>demux)А по-моему самое оно :)
Чтоб работало - там версии ИОС-а указаны.
12.3(11)T4 This feature was introduced.
12.4(1) This feature was integrated into Release 12.4(1).
у меня 12.4(6)T3, иначе б и попробовать не удалосьв статье речь идет о клиентах, которые коннектятся виндовским ipsec к циске. а у меня просто ломятся по адрес:порт без vpn, ppp, pptp, вообще без всего. плюс до сервера к которому они ломятся проложены vpn-каналы (ipsec-site-to-site). так вот если на порт сервера сделан проброс порта с внешнего адреса, то клиенты, приходящие по впн-каналам сервиса не видят. причем как видно deny нигде нет. а еще что заметно, в логе нат отсутствуют пакеты от 192.168.2.2 к 192.168.8.6
>[оверквотинг удален]
>
>у меня 12.4(6)T3, иначе б и попробовать не удалось
>
>в статье речь идет о клиентах, которые коннектятся виндовским ipsec к циске.
>а у меня просто ломятся по адрес:порт без vpn, ppp, pptp,
>вообще без всего. плюс до сервера к которому они ломятся проложены
>vpn-каналы (ipsec-site-to-site). так вот если на порт сервера сделан проброс порта
>с внешнего адреса, то клиенты, приходящие по впн-каналам сервиса не видят.
>причем как видно deny нигде нет. а еще что заметно, в
>логе нат отсутствуют пакеты от 192.168.2.2 к 192.168.8.6Это самое оно.
У меня такое было - мейл-сервер за НАТ-ом и несколько IPSEC туннелей , один из которых теминировался на внешнем интерфейсе (где НАТ). Так вот из "внешнего" туннеля на мейл-сервер было не попасть.
ну не работает nat demux, писал жеможет статью не ту подсказал? в ней совсем не про то говориться: если из удаленной сети виндовским ipsec приконнектиться к циске, то второй клиент из той сети поломает связь
nat demux близак по смыслу к NAt и PAT, там конфигурация совсем другая.
>ну не работает nat demux, писал же
>
>может статью не ту подсказал? в ней совсем не про то говориться:
>если из удаленной сети виндовским ipsec приконнектиться к циске, то второй
>клиент из той сети поломает связь
>
>nat demux близак по смыслу к NAt и PAT, там конфигурация совсем
>другая.Note
If you do not have IPSec enabled, or you do not have a NAT or PAT server, you can have multiple Windows clients connect to a LNS without this command enabled.Из этого я делаю вывод, что есть бага при одновременном NAT/PAT и IPSEC. Конкретный пример касается Win клиентов, у меня их не было, а два коннекта не работали. Я вышел из положения поменяв топологию, второй вариант - открывать кейс. У меня такой возможности нет, пришлось идти по первому варинту.
AlexDv, ну вот с этого надо было и начинать, что у тебя была такая же ситуация, статья тебе не помогла, несмотря на твои заключения, и лечение было в изменении топологиия сейчас сеть менять не могу. мне нужно решение и с нат и впн
>AlexDv, ну вот с этого надо было и начинать, что у тебя
>была такая же ситуация, статья тебе не помогла, несмотря на твои
>заключения, и лечение было в изменении топологииЯ set nat demux не пробовал, мне было проще почту завернуть через другой сервер.
>
>я сейчас сеть менять не могу. мне нужно решение и с нат
>и впнНу если nat demux не помогает - тогда только и остается менять топологию.
Crypto map перевесить или например на RDP-сервере добавить второй IP и ходить на него без NAT.
херушки вам а не топологию менять :)
остается только читать
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...надо впн иcключать из ната
ip nat inside source static tcp 192.168.5.6 1494 aaa.bbb.ccc.ddd 1494 route-map nonat extendable
route-map nonat permit 10
match ip address 102где АЦЛ 102 -- описавает впн:
access-list 102 deny ip 192.168.5.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 102 deny ip 192.168.5.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 102 permit ip 192.168.5.0 0.0.0.255 anyв статье для этого заводится специальный АЦЛ, но я его завел (150), а после перегрузки он сбросился, хотя match ip address 150 остался, потом подправил на match ip address 102
и все ОК
а nat demux, хоть тебе и показался похожим, из другой оперы.
>херушки вам а не топологию менять :)
>остается только читать
>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
>
>надо впн иcключать из ната
>
>ip nat inside source static tcp 192.168.5.6 1494 aaa.bbb.ccc.ddd 1494 route-map nonat
>extendable
>А ведь верно, для динамического НАТ-а у меня был роут-мап, а для статического не было :(