URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 17012
[ Назад ]

Исходное сообщение
"Пакеты из VLANa проходят мимо правил NATa"

Отправлено gagaba , 26-Авг-08 08:21 
Здравствуйте.

Есть такая схема: есть два маршрутизатора 2821(Офис А) и 2801(Офис Б). Задача - настроить между лок.сетями за ними VPN канал и выпустить юзеров из Офиса Б в инет через Офис А. (Между офисами оптика, выделенный канал прова).

К офису А подходит два оптических линка, один интернет, другой - выделенный канал до офиса Б. На 2821 установлена плата расширения на 4 switch порта. Так как на эти порты айпи не навешаешь, пришлось сперва его заворачивать в VLAN и уже с ним делать тунель.

Добился работы тунеля между офисами. Все прозрачно, все работает. Обмен данными между офисами идет. Но не могу выпустить офис Б в инет. Проверил тспдампом на шлюзе за 2821 - туда проходят пакеты из сети Б не натированные, соответственно шлюз не знает куда ответить. В sh ip nat translations * только айпи сетки А, сеть Б туда почему то не попадает. В debug ip nat тоже тишина.

Между маршрутизаторами локальная сеть 10.10.10.0/30, 10.10.10.1 - 2821, 10.10.10.2 - 2801

Прошу посмотреть что делаю не так:

Конфиг 2821 (Офис А):

...
ip subnet-zero
no ip source-route
!
crypto isakmp policy 20
encr aes 256
authentication pre-share
crypto isakmp key xxx address 10.10.10.2
!
!
crypto ipsec transform-set nsk-fed esp-aes 256 esp-sha-hmac
!
crypto map tunnelmap 10 ipsec-isakmp
set peer 10.10.10.2
set transform-set nsk-fed
match address 101
!
!
interface Tunnel1
description VLAN(Fed)
ip unnumbered Vlan2
tunnel source Vlan2
tunnel destination 10.10.10.2
tunnel checksum
crypto map tunnelmap
!
interface GigabitEthernet0/0
description outside
ip address ?.?.?.? ?.?.?.?
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip nat enable
no ip virtual-reassembly
duplex auto
speed auto
no cdp enable
crypto map tunnelmap
!
interface GigabitEthernet0/1
description inside$ETH-LAN$
ip address 192.168.10.240 255.255.255.0
ip nat inside
no ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
!
interface FastEthernet0/3/0
description VLAN
switchport access vlan 2
no cdp enable
crypto map tunnelmap
!
interface FastEthernet0/3/1
shutdown
!
interface FastEthernet0/3/2
shutdown
!
interface FastEthernet0/3/3
shutdown
!
interface Vlan1
no ip address
!
interface Vlan2
ip address 10.10.10.1 255.255.255.252
ip nat inside
ip nat enable
no ip virtual-reassembly
crypto map tunnelmap
!
ip classless
ip route 0.0.0.0 0.0.0.0 INET_GATE
ip route 0.0.0.0 0.0.0.0 Null0 255
ip route 192.168.30.0 255.255.255.0 Tunnel1
!
ip nat inside source list 120 interface GigabitEthernet0/0 overload
!
access-list 101 permit gre host 10.10.10.1 host 10.10.10.2
access-list 120 deny   ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
access-list 120 permit ip 10.10.10.0 0.0.0.3 any
access-list 120 permit ip 192.168.10.0 0.0.0.255 any
access-list 120 permit ip 192.168.30.0 0.0.0.255 any


#sh ip route
Gateway of last resort is INET_GATE to network 0.0.0.0

S    192.168.30.0/24 is directly connected, Tunnel1
C    192.168.10.0/24 is directly connected, GigabitEthernet0/1
S    192.168.40.0/24 is directly connected, Tunnel3
     10.0.0.0/30 is subnetted, 1 subnets
C       10.10.10.0 is directly connected, Vlan2
S    192.168.50.0/24 is directly connected, Tunnel2
     INET_SUBNET/26 is subnetted, 1 subnets
C       INET_GATE is directly connected, GigabitEthernet0/0
S*   0.0.0.0/0 [1/0] via INET_GATE

Настроены еще два тунеля, через GigabitEthernet0/0, их настройку приводить не стал.

2801, как понимаю, работает исправно. Но если надо - конфиг выложу.
Сейчас маршрутизаторы стоят рядом и подключены напрямую, не через канал, так что пров не причем.

Допускаю, что просто чего-то не вижу в упор, но уже просто глаз замылен, еще и сроки поджимают...

Заранее благодарю за помощь.


Содержание

Сообщения в этом обсуждении
"Пакеты из VLANa проходят мимо правил NATa"
Отправлено vorch , 26-Авг-08 11:55 
Очень хотелось бы увидеть конфиг Cisco 2801 (Офис Б).
Уберите crypto map tunnelmap с интерфеса Tunnel1, я понимаю что он там все равно не работает, потому что внутри тоннеля GRE не ходит, поскольку GRE - это сам тоннель, но смотрится нехорошо.
Где вы ловили тспдампом пакеты? Натится должны только пакеты, имеющие дестинейшн вне локальных сетей. Возможно кое-что пряснится, когда приведете конфиг офиса Б.

"Пакеты из VLANa проходят мимо правил NATa"
Отправлено gagaba , 26-Авг-08 13:08 
УРА! Проблема решена! Все оказалось просто!

Я прописывал ip nat inside на интерфейсе Vlan2, а надо было прописывать на Tunnel1!!
Как понимаю, пакеты из него грубо говоря "не выходили" и сразу шли на внешний интерфейс.

interface Tunnel1
description VLAN(Fed)
ip unnumbered Vlan2
ip nat inside     <---------- ДОБАВИЛ
tunnel source Vlan2
tunnel destination 10.10.10.2
tunnel checksum
crypto map tunnelmap
!
interface FastEthernet0/3/0
description VLAN
switchport access vlan 2
no cdp enable
crypto map tunnelmap
!
interface Vlan2
ip address 10.10.10.1 255.255.255.252
ip nat inside  <-------- УБРАЛ
no ip virtual-reassembly
crypto map tunnelmap
!

Пустяк это или нет, но я на этом очень много времени потерял. Благо на мысль натолкнули, хоть и случайно :)

По поводу crypto map tunnelmap
я брал пример из 'Cisco IOS in a Nutshell'
>interface Tunnel1
>ip unnumbered Serial0
>tunnel source Serial0
>tunnel destination 192.168.2.1
>tunnel checksum
>! Apply the crypto map to the tunnel
>crypto map tunnelmap

!
>interface Serial0
>ip address 192.168.1.1 255.255.255.0
>! Don't forget to apply the crypto map here
>crypto map tunnelmap

т.е., как понимаю, для того чтобы канал был шифрованным, надо прописывать. Я на всякий случай прописал и на езернете и на влане, может достаточно только на влане.

тспдампом я проверял на шлюзе, через который большая циска (2821 офис А) ходит в инет. И пинговал его соответственно. Там внешние интернетовские айпи, как и у 2821.

Для полноты картины и в помощь тем кто будет сталкиваться даю конфиг 2801. Если будут замечания, критика, пожелания - с радостью выслушаю.

...
ip subnet-zero
no ip source-route
ip cef
!
!
crypto isakmp policy 20
encr aes 256
authentication pre-share
crypto isakmp key xxx address 10.10.10.1
!
!
crypto ipsec transform-set set esp-aes 256 esp-sha-hmac
!
crypto map tunnelmap 10 ipsec-isakmp
set peer 10.10.10.1
set transform-set set
match address 101
!
!
!
interface Tunnel1
ip unnumbered FastEthernet0/0
tunnel source FastEthernet0/0
tunnel destination 10.10.10.1
tunnel checksum
crypto map tunnelmap
!
interface FastEthernet0/0
description outside (VLAN)
ip address 10.10.10.2 255.255.255.252
no ip redirects
no ip proxy-arp
duplex auto
speed auto
no cdp enable
crypto map tunnelmap
!
interface FastEthernet0/1
description inside
ip address 192.168.30.240 255.255.255.0
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 Tunnel1
ip route 0.0.0.0 0.0.0.0 Null0 255
!
access-list 101 permit gre host 10.10.10.2 host 10.10.10.1

Политики доступа еще не прорабатывали, так что тут они не отражены.

Thanks for feedback -)