XX.XX.XX.XX наша внутр сеть
СС.CC.CC.1 наш внешний айпи
XX.XX.XX.1 внутр айпи маршрутки
YY.YY.YY.1 айпи тунн интерфейса
YY.YY.YY.YY сеть тунн интерфейса
AA.AA.AA.1 внешний айпи удаленной маршрутки (WAN)
BB.BB.BB.BB удаленная внутренняя сеть!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 5
crypto isakmp key KKKEEEYYYYYY address AA.AA.AA.1
!
crypto ipsec transform-set auth_bbb esp-aes 256 esp-sha-hmac
!
crypto map bbb 10 ipsec-isakmp
set peer AA.AA.AA.1
set transform-set auth_bbb
set pfs group5
match address bbbb
!
interface Tunnel0
description IPSEC Tunnel
ip address YY.YY.YY.1 255.255.255.0
no ip mroute-cache
tunnel source FastEthernet4
tunnel destination AA.AA.AA.1
crypto map bbb
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description OUT INTERFACE
ip address СС.CC.CC.1 255.255.255.248
ip route-cache flow
duplex auto
speed auto
crypto ipsec df-bit clear
!
interface Vlan1
description LAN_LOCAL
ip address XX.XX.XX.1 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 СС.CC.CC.1
ip route BB.BB.BB.BB 255.255.255.0 Tunnel0
!
no ip http server
no ip http secure-server
!
ip access-list extended bbbb
permit ip YY.YY.YY.YY 0.0.0.255 BB.BB.BB.BB 0.0.0.255
!Как настроить НАТ через TUNNEL 0?
т.е. сделать так чтобы все запросы приходящие с сети XX.XX.XX.XX в удаленную сеть BB.BB.BB.BB трансформировались через нат с адресом отправителя YY.YY.YY.1пинг с маршрутки идет нормально.
Удаленная маршрутка мне не доступна.
А вариант nat inside na VLAN 1 и nat outside на TUN не работает?
С соответствующим ACL...
>
>А вариант nat inside na VLAN 1 и nat outside на TUN
>не работает?
>С соответствующим ACL...нет пробовал не получилось
SOS!!!!
Помогите кто может!!!
В такой схеме не будет работать. Нужно криптовать Тунель не crypto map, а tunnel protection ipsec. И настроивать обычный NAT overload.
>В такой схеме не будет работать. Нужно криптовать Тунель не crypto map,
>а tunnel protection ipsec. И настроивать обычный NAT overload.спасибо за ответ
можно кусочек примера если не трудно?
>В такой схеме не будет работать. Нужно криптовать Тунель не crypto map,
>а tunnel protection ipsec. И настроивать обычный NAT overload.crypto isakmp policy 10
encr aes 256
authentication pre-share
group 5
crypto isakmp key KKEEYYYYYY address remote_host_ip
crypto isakmp keepalive 10crypto ipsec transform-set TS1 esp-aes 256 esp-sha-hmac
crypto ipsec profile PROFILE1
set transform-set TS1
set pfs group5interface Tunnel0
ip address YY.YY.YY.1 255.255.255.0
ip nat outside
ip virtual-reassembly
no ip mroute-cache
tunnel source Fastethernet4
tunnel destination AA.AA.AA.1
tunnel mode ipsec ipv4
tunnel protection ipsec profile PROFILE1interface Vlan1
description LAN_LOCAL
ip address XX.XX.XX.1 255.255.255.0
ip nat inside
ip virtual-reassemblyip nat inside source list nating interface Tunnel0 overload
Сделал так, но похоже шифрование не пошло судя по дебагу
ISAKMP:(1010):deleting node 232274360 error TRUE reason "Delete Larval"
2010-05-17 21:14:51 Local7.Debug 4341: *Mar 3 06:36:31.559: ISAKMP:(1010):deleting node 990746009 error FALSE reason "Informational (in) state 1"
2010-05-17 21:14:51 Local7.Debug 4342: *Mar 3 06:36:31.559: ISAKMP:(1010):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY
2010-05-17 21:14:51 Local7.Debug 4343: *Mar 3 06:36:31.559: ISAKMP:(1010):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETEПОМОГИТЕ!!!
1 фаза не согласовывается. Это isakmp policy и ключи. Внимательно смотри конфиг на обоих роутерах. Он должен быть симметричным.crypto isakmp policy 10
authentication pre-share
encr aes 256
group 5
!
crypto isakmp key 0 SECRETKEY address $IP_ADDRESS_REMOTE
!
crypto ipsec transform-set TS1 esp-aes 256 esp-sha-hmac
mode transport
!
crypto ipsec profile PROFILE1
set transform-set TS1
!
interface Tunnel0
tunnel mode gre
tunnel protection ipsec profile PROFILE1
!
Удаленная сторона мне не доступна.
На моей стороне связь же согласовывается с первоначальным конфигом в самом верху темы. А почему этот конфиг не идет не понятно.>[оверквотинг удален]
>crypto ipsec transform-set TS1 esp-aes 256 esp-sha-hmac
> mode transport
>!
>crypto ipsec profile PROFILE1
> set transform-set TS1
>!
>interface Tunnel0
> tunnel mode gre
> tunnel protection ipsec profile PROFILE1
>!
В первом конфиге шифрование строится на крипто картах. Нельзя с одной стороны повесить map с тунельным шифрованием, а с другой protection с транпортным. В случае crypto map тунель устанавливает сам IKE на интерфейсе Virtual-Access, в нем и идет траффик, но к нему обычный конфиг с натом применять нельзя. Для использование NAT тебе нужен именно транспортное шифрование внутри GRE с обоих сторон.
спасибо за разъяснения.
я не могу воздействовать на вторую сторону.
Может быть есть какие то другие варианты использования крипто карт совместно с НАТ?>В первом конфиге шифрование строится на крипто картах. Нельзя с одной стороны
>повесить map с тунельным шифрованием, а с другой protection с транпортным.
>В случае crypto map тунель устанавливает сам IKE на интерфейсе Virtual-Access,
>в нем и идет траффик, но к нему обычный конфиг с
>натом применять нельзя. Для использование NAT тебе нужен именно транспортное
>шифрование внутри GRE с обоих сторон.
>спасибо за разъяснения.
>я не могу воздействовать на вторую сторону.
>Может быть есть какие то другие варианты использования крипто карт совместно с
>НАТ?Я такого не встречал.
Теоретически: можно попробовать натить оверлоадом в IP туннеля и в аксес листе для ipsec указать permit ip IP_TUNNEL BB.BB.BB.BB 0.0.0.255 Ну, по крайней мере подумать в этом направление. К сожалению, сейчас проверить такой способ не могу.
И в вашей схеме происходит никому не нужная двойная инкапсуляция трафика. Сначала в GRE, потом в IKE.
>[оверквотинг удален]
>>Может быть есть какие то другие варианты использования крипто карт совместно с
>>НАТ?
>
>Я такого не встречал.
>Теоретически: можно попробовать натить оверлоадом в IP туннеля и в аксес листе
>для ipsec указать permit ip IP_TUNNEL BB.BB.BB.BB 0.0.0.255 Ну, по крайней
>мере подумать в этом направление. К сожалению, сейчас проверить такой способ
>не могу.
> И в вашей схеме происходит никому не нужная двойная инкапсуляция трафика.
>Сначала в GRE, потом в IKE.не вышло.
У кого нибудь есть еще идеи?
>У кого нибудь есть еще идеи?У самого возникла такая же задача: есть Cisco VPN Client, они получают IP из пула. И эти IP мне в одну из сторон надо пронатить в туннельный адрес.
Но никак не могу понять. ip nat enable не помогает.
>>У кого нибудь есть еще идеи?
>
>У самого возникла такая же задача: есть Cisco VPN Client, они получают
>IP из пула. И эти IP мне в одну из сторон
>надо пронатить в туннельный адрес.
>
>Но никак не могу понять. ip nat enable не помогает.Задачи схожие у нас. Жду решения :)
>>>У кого нибудь есть еще идеи?
>>
>>У самого возникла такая же задача: есть Cisco VPN Client, они получают
>>IP из пула. И эти IP мне в одну из сторон
>>надо пронатить в туннельный адрес.
>>
>>Но никак не могу понять. ip nat enable не помогает.
>
>Задачи схожие у нас. Жду решения :)Задачи схожие реализация разная.
по вашей задачедля задачи 2. Есть Cisco VPN Client, они получают IP из пула - можно застрелиться задача не решаема по идеологически тупой реализации построения тунеля и даже если в crypto ipsec client ezvpn "вывести в виртуал темплейт" или некуй луббек - хрен железка пустит сконфигурить его - он недоступен.
>>А вариант nat inside na VLAN 1 и nat outside на TUN
>>не работает?
>>С соответствующим ACL...
> нет пробовал не получилосьПочему не получилось? Чем дебажили что не так? в ацл на нат счетчики срабатывали? Маршрутизиции я вашей тоже не увидел.
>для задачи 2. Есть Cisco VPN Client, они получают IP из пула
>- можно застрелиться задача не решаема по идеологически тупой реализации построения
>тунеля и даже если в crypto ipsec client ezvpn "вывести в
>виртуал темплейт" или некуй луббек - хрен железка пустит сконфигурить его
>- он недоступен.Как оказалось, задача решаемая и я ее решил:
interface Virtual-Template2 type tunnel
description ForVPNClient
ip unnumbered FastEthernet0/0
ip nat inside
ip virtual-reassembly
tunnel mode ipsec ipv4
tunnel protection ipsec profile EasyVPNcrypto ipsec profile EasyVPN
set transform-set transform-1
crypto isakmp profile FromRestaurant
match identity group restaurant
client authentication list userlist
isakmp authorization list grouplist
client configuration address respond
virtual-template 2
crypto isakmp client configuration group restaurant
key ToDataCenter
pool VPN-pool
acl RestVPNClientSplit
netmask 255.255.255.255ip nat inside source list NAT interface Tunnel5 overload
и ВСЕ!!!!! :)
>[оверквотинг удален]
> virtual-template 2
>crypto isakmp client configuration group restaurant
> key ToDataCenter
> pool VPN-pool
> acl RestVPNClientSplit
> netmask 255.255.255.255
>
>ip nat inside source list NAT interface Tunnel5 overload
>
>и ВСЕ!!!!! :)Может и мою задачу решите )))
>
>Может и мою задачу решите )))
>>>А вариант nat inside na VLAN 1 и nat outside на TUN
>>>не работает?
>>>С соответствующим ACL...
>> нет пробовал не получилось
>Почему не получилось? Чем дебажили что не так? в ацл на нат счетчики срабатывали?
>Маршрутизиции я вашей тоже не увидел.Да по моему должно заработать, нужно действительно смотреть роутинг, ip nat translation, попадания в acl и т.д.