URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 20744
[ Назад ]

Исходное сообщение
"IPSec site2site + ISA nat"
Отправлено Евгений , 25-Мрт-10 13:34

Добрый день.
Есть необходимость реализовать следующую схему:
LAN 10.0.0.0/8 --- ISA 192.168.249.253/30----- 192.168.249.254/30 Cisco 3828 -------- Cisco ----- LAN 192.168.100.0/24
Весь трафик из интернета необходимо натить на ISA (там много корпоративных правил), при этом весь трафик для удаленных подразделений должен маршрутизироваться Cisco3825.
Задача вроде бы тривиальна, но получается все это запустить только по одиночке.
Если не указывать строчку с ip nat inside **** то филиалы подключаются на "ура". Если включить эту строчку (ip nat inside **) компы из локальной сети выходят в инет, но сразу пропадает связь с филиалами.
Если есть какие-либо идеи - welcome.  Есть подозрение на access-lists.
access-list 105 deny   ip 172.16.0.0 0.15.255.255 192.168.100.0 0.0.0.255
access-list 105 deny   ip 10.0.0.0 0.255.255.255 192.168.100.0 0.0.0.255
access-list 105 permit ip host 192.168.249.253 any
access-list 105 deny   ip any any
access-list 123 permit ip 10.0.0.0 0.255.255.255 192.168.100.32 0.0.0.15
access-list 123 permit ip 172.16.0.0 0.15.255.255 192.168.100.32 0.0.0.15
route-map nonat permit 10
match ip address 105
ip nat inside source static 192.168.249.253 195.xx.xxx.x route-map nonat
Заранее спасибо.

Содержание

IPSec site2site + ISA nat,Pve1, 18:12 , 25-Мрт-10
- IPSec site2site + ISA nat,Евгений, 19:13 , 25-Мрт-10
  - IPSec site2site + ISA nat,Pve1, 21:43 , 25-Мрт-10
  - IPSec site2site + ISA nat,Valery12, 14:38 , 26-Мрт-10

Сообщения в этом обсуждении

"IPSec site2site + ISA nat"
Отправлено Pve1 , 25-Мрт-10 18:12

Аксес лист 105 у вас не правильный.
Как я понимаю надо сделать так:
deny ip any 10.0.0.0/8
deny ip any 192.168.0.0/16
deny ip any 172.16.0.0/12
permit host ISA any
Тем самым весь трафик на внутренние адреса пойдет без ната.
А в интернет - с натом.

Ваше правило
access-list 105 permit ip host 192.168.249.253 any
разрешает всем пакетам с исы идти через нат.
А вообще, как я понимаю, весь трафик натится в любом случае?
Ест нат в филиалы не нуже - надо на ису и рутер заводить дополнительный интерфейс.
Тогда такие проблемы в принципе не возникнут.

"IPSec site2site + ISA nat"
Отправлено Евгений , 25-Мрт-10 19:13

>[оверквотинг удален]
>
>
>Ваше правило
>access-list 105 permit ip host 192.168.249.253 any
>разрешает всем пакетам с исы идти через нат.
>
>А вообще, как я понимаю, весь трафик натится в любом случае?
>Ест нат в филиалы не нуже - надо на ису и рутер
> заводить дополнительный интерфейс.
>Тогда такие проблемы в принципе не возникнут.
Если можно - поподробней вашу идею.
На текущий момент у Cisco есть интерфейс и в 10.0.0.0/8 подсеть и в подсеть с ИСА.
Логика такая: Выход в интернет должна иметь только ИСА, потому как на ней много правил, разрешающих интернет по протоколам/группам, публикуются сервера в интеренет и т.п.
Роутинг между подсетями филиалов и офиса должна осуществлять Cisco.
Спасибо за ответ.. сегодня/завтра попробую.

"IPSec site2site + ISA nat"
Отправлено Pve1 , 25-Мрт-10 21:43

>[оверквотинг удален]
>Если можно - поподробней вашу идею.
>На текущий момент у Cisco есть интерфейс и в 10.0.0.0/8 подсеть и
>в подсеть с ИСА.
>
>Логика такая: Выход в интернет должна иметь только ИСА, потому как на
>ней много правил, разрешающих интернет по протоколам/группам, публикуются сервера в интеренет
>и т.п.
>Роутинг между подсетями филиалов и офиса должна осуществлять Cisco.
>
>Спасибо за ответ.. сегодня/завтра попробую.
Просто по нарисованной схеме я понял, что весь внутренний лан подключен к исе без прямого выхода на роутер. И весь трафик проходит через ису. И соответственно предложил 2 интерфейса между исой и рутером. На одном нат - в интернет. На другом роутинг в впн-каналы. Тогда и роут-мап не нужен, т.к. нат на 1-м интерфейсе.

Но раз рутер подключен напрямую в 10.0.0.0 сетку - то это очевидно излишне.
Я правильно понял, что в вашей 10.0.0.0.24 сетке - рутер является шлюзом по умолчанию.
А интернет трафик перенаправляется на ису файервол-клиентом по socks-proxy? При этом иса шлюзом не является?
В этом случае все должно работать с предложенным мной ACL.

"IPSec site2site + ISA nat"
Отправлено Valery12 , 26-Мрт-10 14:38

>Если можно - поподробней вашу идею.
>На текущий момент у Cisco есть интерфейс и в 10.0.0.0/8 подсеть и
>в подсеть с ИСА.
я поступил проще, взял дополнительный белый IP
первый на интерфейсе роутера на нем DMVPN с крипто-мап для связи с филиалами
а второй для ИСА
и уже для него
ip nat pool ISA хх.хх.хх.хх хх.хх.хх.хх netmask 255.255.255.252
ip nat inside source list 70 pool ISA overload
ip nat inside source static 10.0.0.40 хх.хх.хх.хх extendable
access-list 70 permit 10.0.0.40
ip nat inside source static 10.0.0.40 хх.хх.хх.хх extendable
можно заменить указав только разрешенные из-вне протоколы, ну и не забыть поправить входящий акцесс-лист