URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 21007
[ Назад ]

Исходное сообщение
"NAT over ipsec tunnel"

Отправлено sergeyf , 13-Май-10 15:22 
XX.XX.XX.XX наша внутр сеть
СС.CC.CC.1 наш внешний айпи
XX.XX.XX.1 внутр айпи маршрутки
YY.YY.YY.1 айпи тунн интерфейса
YY.YY.YY.YY сеть тунн интерфейса
AA.AA.AA.1 внешний айпи удаленной маршрутки (WAN)
BB.BB.BB.BB удаленная внутренняя сеть

!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 5
crypto isakmp key KKKEEEYYYYYY address AA.AA.AA.1
!
crypto ipsec transform-set auth_bbb esp-aes 256 esp-sha-hmac
!
crypto map bbb 10 ipsec-isakmp
set peer AA.AA.AA.1
set transform-set auth_bbb
set pfs group5
match address bbbb
!
interface Tunnel0
description IPSEC Tunnel
ip address YY.YY.YY.1 255.255.255.0
no ip mroute-cache
tunnel source FastEthernet4
tunnel destination AA.AA.AA.1
crypto map bbb
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description OUT INTERFACE
ip address СС.CC.CC.1 255.255.255.248
ip route-cache flow
duplex auto
speed auto
crypto ipsec df-bit clear
!
interface Vlan1
description LAN_LOCAL
ip address XX.XX.XX.1 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 СС.CC.CC.1
ip route BB.BB.BB.BB 255.255.255.0 Tunnel0
!
no ip http server
no ip http secure-server
!
ip access-list extended bbbb
permit ip YY.YY.YY.YY 0.0.0.255 BB.BB.BB.BB 0.0.0.255
!

Как настроить НАТ через TUNNEL 0?
т.е. сделать так чтобы все запросы приходящие с сети XX.XX.XX.XX в удаленную сеть BB.BB.BB.BB трансформировались через нат с адресом отправителя YY.YY.YY.1

пинг с маршрутки идет нормально.
Удаленная маршрутка мне не доступна.


Содержание

Сообщения в этом обсуждении
"NAT over ipsec tunnel"
Отправлено j_vw , 13-Май-10 20:05 

А вариант nat inside na VLAN 1 и nat outside на TUN не работает?
С соответствующим ACL...



"NAT over ipsec tunnel"
Отправлено sergeyf , 14-Май-10 06:36 
>
>А вариант nat inside na VLAN 1 и nat outside на TUN
>не работает?
>С соответствующим ACL...

нет пробовал не получилось


"NAT over ipsec tunnel"
Отправлено sergeyf , 17-Май-10 06:56 
SOS!!!!
Помогите кто может!!!

"NAT over ipsec tunnel"
Отправлено Аноним , 17-Май-10 17:23 
В такой схеме не будет работать. Нужно криптовать Тунель не crypto map, а tunnel protection ipsec. И настроивать обычный NAT overload.

"NAT over ipsec tunnel"
Отправлено sergeyf , 17-Май-10 17:51 
>В такой схеме не будет работать. Нужно криптовать Тунель не crypto map,
>а tunnel protection ipsec. И настроивать обычный NAT overload.

спасибо за ответ
можно кусочек примера если не трудно?


"NAT over ipsec tunnel"
Отправлено sergeyf , 17-Май-10 19:41 
>В такой схеме не будет работать. Нужно криптовать Тунель не crypto map,
>а tunnel protection ipsec. И настроивать обычный NAT overload.

crypto isakmp policy 10
encr aes 256
authentication pre-share
group 5
crypto isakmp key KKEEYYYYYY address remote_host_ip
crypto isakmp keepalive 10

crypto ipsec transform-set TS1 esp-aes 256 esp-sha-hmac

crypto ipsec profile PROFILE1
set transform-set TS1
set pfs group5

interface Tunnel0
ip address YY.YY.YY.1 255.255.255.0
ip nat outside
ip virtual-reassembly
no ip mroute-cache
tunnel source Fastethernet4
tunnel destination AA.AA.AA.1
tunnel mode ipsec ipv4
tunnel protection ipsec profile PROFILE1

interface Vlan1
description LAN_LOCAL
ip address XX.XX.XX.1 255.255.255.0
ip nat inside
ip virtual-reassembly

ip nat inside source list nating interface Tunnel0 overload

Сделал так, но похоже шифрование не пошло судя по дебагу

ISAKMP:(1010):deleting node 232274360 error TRUE reason "Delete Larval"
2010-05-17 21:14:51    Local7.Debug    4341: *Mar  3 06:36:31.559: ISAKMP:(1010):deleting node 990746009 error FALSE reason "Informational (in) state 1"
2010-05-17 21:14:51    Local7.Debug    4342: *Mar  3 06:36:31.559: ISAKMP:(1010):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY
2010-05-17 21:14:51    Local7.Debug    4343: *Mar  3 06:36:31.559: ISAKMP:(1010):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE

ПОМОГИТЕ!!!


"NAT over ipsec tunnel"
Отправлено alecx , 17-Май-10 20:41 
1 фаза не согласовывается. Это isakmp policy и ключи. Внимательно смотри конфиг на обоих роутерах. Он должен быть симметричным.

crypto isakmp policy 10
  authentication pre-share
  encr aes 256
  group 5
!
crypto isakmp key 0 SECRETKEY address $IP_ADDRESS_REMOTE
!
crypto ipsec transform-set TS1 esp-aes 256 esp-sha-hmac
  mode transport
!
crypto ipsec profile PROFILE1
set transform-set TS1
!
interface Tunnel0
tunnel mode gre
tunnel protection ipsec profile PROFILE1
!


"NAT over ipsec tunnel"
Отправлено sergeyf , 17-Май-10 20:56 
Удаленная сторона мне не доступна.
На моей стороне связь же согласовывается с первоначальным конфигом в самом верху темы. А почему этот конфиг не идет не понятно.

>[оверквотинг удален]
>crypto ipsec transform-set TS1 esp-aes 256 esp-sha-hmac
>  mode transport
>!
>crypto ipsec profile PROFILE1
> set transform-set TS1
>!
>interface Tunnel0
> tunnel mode gre
> tunnel protection ipsec profile PROFILE1
>!


"NAT over ipsec tunnel"
Отправлено alecx , 17-Май-10 21:05 
В первом конфиге шифрование строится на крипто картах. Нельзя с одной стороны повесить map с тунельным шифрованием, а с другой protection с транпортным. В случае crypto map тунель устанавливает сам IKE на интерфейсе Virtual-Access, в нем и идет траффик, но к нему обычный конфиг с натом применять нельзя. Для использование NAT тебе нужен  именно транспортное шифрование внутри GRE с обоих сторон.


"NAT over ipsec tunnel"
Отправлено sergeyf , 17-Май-10 21:09 
спасибо за разъяснения.
я не могу воздействовать на вторую сторону.
Может быть есть какие то другие варианты использования крипто карт совместно с НАТ?

>В первом конфиге шифрование строится на крипто картах. Нельзя с одной стороны
>повесить map с тунельным шифрованием, а с другой protection с транпортным.
>В случае crypto map тунель устанавливает сам IKE на интерфейсе Virtual-Access,
>в нем и идет траффик, но к нему обычный конфиг с
>натом применять нельзя. Для использование NAT тебе нужен  именно транспортное
>шифрование внутри GRE с обоих сторон.


"NAT over ipsec tunnel"
Отправлено alecx , 17-Май-10 21:16 
>спасибо за разъяснения.
>я не могу воздействовать на вторую сторону.
>Может быть есть какие то другие варианты использования крипто карт совместно с
>НАТ?

Я такого не встречал.
Теоретически: можно попробовать натить оверлоадом в IP туннеля и в аксес листе для ipsec указать permit ip IP_TUNNEL BB.BB.BB.BB 0.0.0.255 Ну, по крайней мере подумать в этом направление. К сожалению, сейчас проверить такой способ не могу.
И в вашей схеме происходит никому не нужная двойная инкапсуляция трафика. Сначала в GRE, потом в IKE.


"NAT over ipsec tunnel"
Отправлено sergeyf , 21-Май-10 07:40 
>[оверквотинг удален]
>>Может быть есть какие то другие варианты использования крипто карт совместно с
>>НАТ?
>
>Я такого не встречал.
>Теоретически: можно попробовать натить оверлоадом в IP туннеля и в аксес листе
>для ipsec указать permit ip IP_TUNNEL BB.BB.BB.BB 0.0.0.255 Ну, по крайней
>мере подумать в этом направление. К сожалению, сейчас проверить такой способ
>не могу.
> И в вашей схеме происходит никому не нужная двойная инкапсуляция трафика.
>Сначала в GRE, потом в IKE.

не вышло.
У кого нибудь есть еще идеи?


"NAT over ipsec tunnel"
Отправлено misher , 15-Июн-10 12:55 
>У кого нибудь есть еще идеи?

У самого возникла такая же задача: есть Cisco VPN Client, они получают IP из пула. И эти IP мне в одну из сторон надо пронатить в туннельный адрес.

Но никак не могу понять. ip nat enable не помогает.


"NAT over ipsec tunnel"
Отправлено sergeyf , 15-Июн-10 13:00 
>>У кого нибудь есть еще идеи?
>
>У самого возникла такая же задача: есть Cisco VPN Client, они получают
>IP из пула. И эти IP мне в одну из сторон
>надо пронатить в туннельный адрес.
>
>Но никак не могу понять. ip nat enable не помогает.

Задачи схожие у нас. Жду решения  :)


"NAT over ipsec tunnel"
Отправлено Николай , 15-Июн-10 15:36 
>>>У кого нибудь есть еще идеи?
>>
>>У самого возникла такая же задача: есть Cisco VPN Client, они получают
>>IP из пула. И эти IP мне в одну из сторон
>>надо пронатить в туннельный адрес.
>>
>>Но никак не могу понять. ip nat enable не помогает.
>
>Задачи схожие у нас. Жду решения  :)

Задачи схожие реализация разная.
по вашей задаче

для задачи 2. Есть Cisco VPN Client, они получают IP из пула - можно застрелиться задача не решаема по идеологически тупой реализации построения тунеля и даже если в crypto ipsec client ezvpn "вывести в виртуал темплейт" или некуй луббек - хрен железка пустит сконфигурить его - он недоступен.

>>А вариант nat inside na VLAN 1 и nat outside на TUN
>>не работает?
>>С соответствующим ACL...
> нет пробовал не получилось

Почему не получилось? Чем дебажили что не так? в ацл на нат счетчики срабатывали? Маршрутизиции я вашей тоже не увидел.


"NAT over ipsec tunnel"
Отправлено misher , 21-Июн-10 15:37 
>для задачи 2. Есть Cisco VPN Client, они получают IP из пула
>- можно застрелиться задача не решаема по идеологически тупой реализации построения
>тунеля и даже если в crypto ipsec client ezvpn "вывести в
>виртуал темплейт" или некуй луббек - хрен железка пустит сконфигурить его
>- он недоступен.

Как оказалось, задача решаемая и я ее решил:
interface Virtual-Template2 type tunnel
description ForVPNClient
ip unnumbered FastEthernet0/0
ip nat inside
ip virtual-reassembly
tunnel mode ipsec ipv4
tunnel protection ipsec profile EasyVPN

crypto ipsec profile EasyVPN
set transform-set transform-1
crypto isakmp profile FromRestaurant
   match identity group restaurant
   client authentication list userlist
   isakmp authorization list grouplist
   client configuration address respond
   virtual-template 2
crypto isakmp client configuration group restaurant
key ToDataCenter
pool VPN-pool
acl RestVPNClientSplit
netmask 255.255.255.255

ip nat inside source list NAT interface Tunnel5 overload

и ВСЕ!!!!! :)


"NAT over ipsec tunnel"
Отправлено sergeyf , 21-Июн-10 16:03 
>[оверквотинг удален]
>   virtual-template 2
>crypto isakmp client configuration group restaurant
> key ToDataCenter
> pool VPN-pool
> acl RestVPNClientSplit
> netmask 255.255.255.255
>
>ip nat inside source list NAT interface Tunnel5 overload
>
>и ВСЕ!!!!! :)

Может и мою задачу решите )))


"NAT over ipsec tunnel"
Отправлено misher , 21-Июн-10 17:08 
>
>Может и мою задачу решите )))
>>>А вариант nat inside na VLAN 1 и nat outside на TUN
>>>не работает?
>>>С соответствующим ACL...
>> нет пробовал не получилось
>Почему не получилось? Чем дебажили что не так? в ацл на нат счетчики срабатывали?
>Маршрутизиции я вашей тоже не увидел.

Да по моему должно заработать, нужно действительно смотреть роутинг, ip nat translation, попадания в acl и т.д.