URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 21007
[ Назад ]

Исходное сообщение
"NAT over ipsec tunnel"
Отправлено sergeyf , 13-Май-10 15:22

XX.XX.XX.XX наша внутр сеть
СС.CC.CC.1 наш внешний айпи
XX.XX.XX.1 внутр айпи маршрутки
YY.YY.YY.1 айпи тунн интерфейса
YY.YY.YY.YY сеть тунн интерфейса
AA.AA.AA.1 внешний айпи удаленной маршрутки (WAN)
BB.BB.BB.BB удаленная внутренняя сеть
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 5
crypto isakmp key KKKEEEYYYYYY address AA.AA.AA.1
!
crypto ipsec transform-set auth_bbb esp-aes 256 esp-sha-hmac
!
crypto map bbb 10 ipsec-isakmp
set peer AA.AA.AA.1
set transform-set auth_bbb
set pfs group5
match address bbbb
!
interface Tunnel0
description IPSEC Tunnel
ip address YY.YY.YY.1 255.255.255.0
no ip mroute-cache
tunnel source FastEthernet4
tunnel destination AA.AA.AA.1
crypto map bbb
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description OUT INTERFACE
ip address СС.CC.CC.1 255.255.255.248
ip route-cache flow
duplex auto
speed auto
crypto ipsec df-bit clear
!
interface Vlan1
description LAN_LOCAL
ip address XX.XX.XX.1 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 СС.CC.CC.1
ip route BB.BB.BB.BB 255.255.255.0 Tunnel0
!
no ip http server
no ip http secure-server
!
ip access-list extended bbbb
permit ip YY.YY.YY.YY 0.0.0.255 BB.BB.BB.BB 0.0.0.255
!
Как настроить НАТ через TUNNEL 0?
т.е. сделать так чтобы все запросы приходящие с сети XX.XX.XX.XX в удаленную сеть BB.BB.BB.BB трансформировались через нат с адресом отправителя YY.YY.YY.1
пинг с маршрутки идет нормально.
Удаленная маршрутка мне не доступна.

Содержание

NAT over ipsec tunnel,j_vw, 20:05 , 13-Май-10
- NAT over ipsec tunnel,sergeyf, 06:36 , 14-Май-10
  - NAT over ipsec tunnel,sergeyf, 06:56 , 17-Май-10
NAT over ipsec tunnel,Аноним, 17:23 , 17-Май-10
- NAT over ipsec tunnel,sergeyf, 17:51 , 17-Май-10
- NAT over ipsec tunnel,sergeyf, 19:41 , 17-Май-10
  - NAT over ipsec tunnel,alecx, 20:41 , 17-Май-10
    - NAT over ipsec tunnel,sergeyf, 20:56 , 17-Май-10
      - NAT over ipsec tunnel,alecx, 21:05 , 17-Май-10
        
        NAT over ipsec tunnel,sergeyf, 21:09 , 17-Май-10
        
        NAT over ipsec tunnel,alecx, 21:16 , 17-Май-10
        
        NAT over ipsec tunnel,sergeyf, 07:40 , 21-Май-10
        
        NAT over ipsec tunnel,misher, 12:55 , 15-Июн-10
        
        NAT over ipsec tunnel,sergeyf, 13:00 , 15-Июн-10
        
        NAT over ipsec tunnel,Николай, 15:36 , 15-Июн-10
        
        NAT over ipsec tunnel,misher, 15:37 , 21-Июн-10
        
        NAT over ipsec tunnel,sergeyf, 16:03 , 21-Июн-10
        
        NAT over ipsec tunnel,misher, 17:08 , 21-Июн-10

Сообщения в этом обсуждении

"NAT over ipsec tunnel"
Отправлено j_vw , 13-Май-10 20:05

А вариант nat inside na VLAN 1 и nat outside на TUN не работает?
С соответствующим ACL...

"NAT over ipsec tunnel"
Отправлено sergeyf , 14-Май-10 06:36

>
>А вариант nat inside na VLAN 1 и nat outside на TUN
>не работает?
>С соответствующим ACL...
нет пробовал не получилось

"NAT over ipsec tunnel"
Отправлено sergeyf , 17-Май-10 06:56

SOS!!!!
Помогите кто может!!!

"NAT over ipsec tunnel"
Отправлено Аноним , 17-Май-10 17:23

В такой схеме не будет работать. Нужно криптовать Тунель не crypto map, а tunnel protection ipsec. И настроивать обычный NAT overload.

"NAT over ipsec tunnel"
Отправлено sergeyf , 17-Май-10 17:51

>В такой схеме не будет работать. Нужно криптовать Тунель не crypto map,
>а tunnel protection ipsec. И настроивать обычный NAT overload.
спасибо за ответ
можно кусочек примера если не трудно?

"NAT over ipsec tunnel"
Отправлено sergeyf , 17-Май-10 19:41

>В такой схеме не будет работать. Нужно криптовать Тунель не crypto map,
>а tunnel protection ipsec. И настроивать обычный NAT overload.
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 5
crypto isakmp key KKEEYYYYYY address remote_host_ip
crypto isakmp keepalive 10
crypto ipsec transform-set TS1 esp-aes 256 esp-sha-hmac
crypto ipsec profile PROFILE1
set transform-set TS1
set pfs group5
interface Tunnel0
ip address YY.YY.YY.1 255.255.255.0
ip nat outside
ip virtual-reassembly
no ip mroute-cache
tunnel source Fastethernet4
tunnel destination AA.AA.AA.1
tunnel mode ipsec ipv4
tunnel protection ipsec profile PROFILE1
interface Vlan1
description LAN_LOCAL
ip address XX.XX.XX.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip nat inside source list nating interface Tunnel0 overload
Сделал так, но похоже шифрование не пошло судя по дебагу
ISAKMP:(1010):deleting node 232274360 error TRUE reason "Delete Larval"
2010-05-17 21:14:51    Local7.Debug    4341: *Mar  3 06:36:31.559: ISAKMP:(1010):deleting node 990746009 error FALSE reason "Informational (in) state 1"
2010-05-17 21:14:51    Local7.Debug    4342: *Mar  3 06:36:31.559: ISAKMP:(1010):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY
2010-05-17 21:14:51    Local7.Debug    4343: *Mar  3 06:36:31.559: ISAKMP:(1010):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE
ПОМОГИТЕ!!!

"NAT over ipsec tunnel"
Отправлено alecx , 17-Май-10 20:41

1 фаза не согласовывается. Это isakmp policy и ключи. Внимательно смотри конфиг на обоих роутерах. Он должен быть симметричным.
crypto isakmp policy 10
  authentication pre-share
  encr aes 256
  group 5
!
crypto isakmp key 0 SECRETKEY address $IP_ADDRESS_REMOTE
!
crypto ipsec transform-set TS1 esp-aes 256 esp-sha-hmac
  mode transport
!
crypto ipsec profile PROFILE1
set transform-set TS1
!
interface Tunnel0
tunnel mode gre
tunnel protection ipsec profile PROFILE1
!

"NAT over ipsec tunnel"
Отправлено sergeyf , 17-Май-10 20:56

Удаленная сторона мне не доступна.
На моей стороне связь же согласовывается с первоначальным конфигом в самом верху темы. А почему этот конфиг не идет не понятно.
>[оверквотинг удален]
>crypto ipsec transform-set TS1 esp-aes 256 esp-sha-hmac
> mode transport
>!
>crypto ipsec profile PROFILE1
> set transform-set TS1
>!
>interface Tunnel0
> tunnel mode gre
> tunnel protection ipsec profile PROFILE1
>!

"NAT over ipsec tunnel"
Отправлено alecx , 17-Май-10 21:05

В первом конфиге шифрование строится на крипто картах. Нельзя с одной стороны повесить map с тунельным шифрованием, а с другой protection с транпортным. В случае crypto map тунель устанавливает сам IKE на интерфейсе Virtual-Access, в нем и идет траффик, но к нему обычный конфиг с натом применять нельзя. Для использование NAT тебе нужен именно транспортное шифрование внутри GRE с обоих сторон.

"NAT over ipsec tunnel"
Отправлено sergeyf , 17-Май-10 21:09

спасибо за разъяснения.
я не могу воздействовать на вторую сторону.
Может быть есть какие то другие варианты использования крипто карт совместно с НАТ?
>В первом конфиге шифрование строится на крипто картах. Нельзя с одной стороны
>повесить map с тунельным шифрованием, а с другой protection с транпортным.
>В случае crypto map тунель устанавливает сам IKE на интерфейсе Virtual-Access,
>в нем и идет траффик, но к нему обычный конфиг с
>натом применять нельзя. Для использование NAT тебе нужен именно транспортное
>шифрование внутри GRE с обоих сторон.

"NAT over ipsec tunnel"
Отправлено alecx , 17-Май-10 21:16

>спасибо за разъяснения.
>я не могу воздействовать на вторую сторону.
>Может быть есть какие то другие варианты использования крипто карт совместно с
>НАТ?
Я такого не встречал.
Теоретически: можно попробовать натить оверлоадом в IP туннеля и в аксес листе для ipsec указать permit ip IP_TUNNEL BB.BB.BB.BB 0.0.0.255 Ну, по крайней мере подумать в этом направление. К сожалению, сейчас проверить такой способ не могу.
И в вашей схеме происходит никому не нужная двойная инкапсуляция трафика. Сначала в GRE, потом в IKE.

"NAT over ipsec tunnel"
Отправлено sergeyf , 21-Май-10 07:40

>[оверквотинг удален]
>>Может быть есть какие то другие варианты использования крипто карт совместно с
>>НАТ?
>
>Я такого не встречал.
>Теоретически: можно попробовать натить оверлоадом в IP туннеля и в аксес листе
>для ipsec указать permit ip IP_TUNNEL BB.BB.BB.BB 0.0.0.255 Ну, по крайней
>мере подумать в этом направление. К сожалению, сейчас проверить такой способ
>не могу.
> И в вашей схеме происходит никому не нужная двойная инкапсуляция трафика.
>Сначала в GRE, потом в IKE.
не вышло.
У кого нибудь есть еще идеи?

"NAT over ipsec tunnel"
Отправлено misher , 15-Июн-10 12:55

>У кого нибудь есть еще идеи?
У самого возникла такая же задача: есть Cisco VPN Client, они получают IP из пула. И эти IP мне в одну из сторон надо пронатить в туннельный адрес.
Но никак не могу понять. ip nat enable не помогает.

"NAT over ipsec tunnel"
Отправлено sergeyf , 15-Июн-10 13:00

>>У кого нибудь есть еще идеи?
>
>У самого возникла такая же задача: есть Cisco VPN Client, они получают
>IP из пула. И эти IP мне в одну из сторон
>надо пронатить в туннельный адрес.
>
>Но никак не могу понять. ip nat enable не помогает.
Задачи схожие у нас. Жду решения :)

"NAT over ipsec tunnel"
Отправлено Николай , 15-Июн-10 15:36

>>>У кого нибудь есть еще идеи?
>>
>>У самого возникла такая же задача: есть Cisco VPN Client, они получают
>>IP из пула. И эти IP мне в одну из сторон
>>надо пронатить в туннельный адрес.
>>
>>Но никак не могу понять. ip nat enable не помогает.
>
>Задачи схожие у нас. Жду решения :)
Задачи схожие реализация разная.
по вашей задаче
для задачи 2. Есть Cisco VPN Client, они получают IP из пула - можно застрелиться задача не решаема по идеологически тупой реализации построения тунеля и даже если в crypto ipsec client ezvpn "вывести в виртуал темплейт" или некуй луббек - хрен железка пустит сконфигурить его - он недоступен.
>>А вариант nat inside na VLAN 1 и nat outside на TUN
>>не работает?
>>С соответствующим ACL...
> нет пробовал не получилось
Почему не получилось? Чем дебажили что не так? в ацл на нат счетчики срабатывали? Маршрутизиции я вашей тоже не увидел.

"NAT over ipsec tunnel"
Отправлено misher , 21-Июн-10 15:37

>для задачи 2. Есть Cisco VPN Client, они получают IP из пула
>- можно застрелиться задача не решаема по идеологически тупой реализации построения
>тунеля и даже если в crypto ipsec client ezvpn "вывести в
>виртуал темплейт" или некуй луббек - хрен железка пустит сконфигурить его
>- он недоступен.
Как оказалось, задача решаемая и я ее решил:
interface Virtual-Template2 type tunnel
description ForVPNClient
ip unnumbered FastEthernet0/0
ip nat inside
ip virtual-reassembly
tunnel mode ipsec ipv4
tunnel protection ipsec profile EasyVPN
crypto ipsec profile EasyVPN
set transform-set transform-1
crypto isakmp profile FromRestaurant
   match identity group restaurant
   client authentication list userlist
   isakmp authorization list grouplist
   client configuration address respond
   virtual-template 2
crypto isakmp client configuration group restaurant
key ToDataCenter
pool VPN-pool
acl RestVPNClientSplit
netmask 255.255.255.255
ip nat inside source list NAT interface Tunnel5 overload
и ВСЕ!!!!! :)

"NAT over ipsec tunnel"
Отправлено sergeyf , 21-Июн-10 16:03

>[оверквотинг удален]
> virtual-template 2
>crypto isakmp client configuration group restaurant
> key ToDataCenter
> pool VPN-pool
> acl RestVPNClientSplit
> netmask 255.255.255.255
>
>ip nat inside source list NAT interface Tunnel5 overload
>
>и ВСЕ!!!!! :)
Может и мою задачу решите )))

"NAT over ipsec tunnel"
Отправлено misher , 21-Июн-10 17:08

>
>Может и мою задачу решите )))
>>>А вариант nat inside na VLAN 1 и nat outside на TUN
>>>не работает?
>>>С соответствующим ACL...
>> нет пробовал не получилось
>Почему не получилось? Чем дебажили что не так? в ацл на нат счетчики срабатывали?
>Маршрутизиции я вашей тоже не увидел.
Да по моему должно заработать, нужно действительно смотреть роутинг, ip nat translation, попадания в acl и т.д.