URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 21268
[ Назад ]

Исходное сообщение
"NAT + IPSec"
Отправлено tolik , 06-Июл-10 17:26

Добрый всем день!
Помогите разобраться:
          ----R2
        /
R1 /
      \
        \
          ----R3
На R1 на внешнем интерфейсе криптомап и nat outside. Причем при маршрутизации к R2 трансляция должна происходить, а к R3 - нет.
ip access-list extended NAT
  deny ip n.n.n.n к R3
  permit ip n.n.n.n к R2
Но при обращении в сеть R3, трансляция все таки происходит.
Вот примерная конфигурация:
crypto isakmp policy 1
  encr 3des
  authentication pre-share
  group 2
crypto isakmp key 6 12345678 address k.k.k.1
crypto isakmp key 6 12345678 address k.k.k.2
crypto ipsec transform-set www esp-3des esp-sha-hmac
interface FastEthernet0/0
  description <<< LAN >>>
  ip address m.m.m.m
  ip nat inside
  ip virtual-reassembly
  duplex auto
  speed auto
interface FastEthernet0/0/1
  switchport access vlan 100
interface Vlan100
  ip address 192.168.1.1 255.255.255.252
  ip nat outside
  ip virtual-reassembly
  ip tcp adjust-mss 1300
  crypto map map1
ip nat pool pool1 192.168.222.1 192.168.222.254 netmask 255.255.255.0
ip nat inside source list NAT pool pool1
ip access-list extended NAT
  deny ip n.n.n.n к R3
  permit ip n.n.n.n к R2
crypto map exim 10 ipsec-isakmp
  set peer k.k.k.1
  set transform-set www
  match address toR2
crypto map exim 11 ipsec-isakmp
  set peer k.k.k.2
  set transform-set tunnel
  match address toR3
ip access-list extended toR2
  permit ip LAN local -> LAN remote
ip access-list extended toR3
  permit ip LAN local -> LAN remote

Содержание

NAT + IPSec,karen durinyan, 09:16 , 07-Июл-10
- NAT + IPSec,karen durinyan, 09:23 , 07-Июл-10
NAT + IPSec,sigbat, 09:20 , 07-Июл-10
- NAT + IPSec,tolik, 11:58 , 07-Июл-10
  - NAT + IPSec,karen durinyan, 13:10 , 07-Июл-10
    - NAT + IPSec,tolik, 14:10 , 07-Июл-10
      - NAT + IPSec,sigbat, 12:30 , 08-Июл-10

Сообщения в этом обсуждении

"NAT + IPSec"
Отправлено karen durinyan , 07-Июл-10 09:16

>[оверквотинг удален]
>crypto map exim 11 ipsec-isakmp
>  set peer k.k.k.2
>  set transform-set tunnel
>  match address toR3
>
>ip access-list extended toR2
>  permit ip LAN local -> LAN remote
>
>ip access-list extended toR3
>  permit ip LAN local -> LAN remote
privet,
2 voprosa.
1. chto u vas n.n.n.n v nat acl? lan network?
2. pod vneshnim interfeisam u vas crypto "map1" a v crypto map "exim". eto opechatka?

"NAT + IPSec"
Отправлено karen durinyan , 07-Июл-10 09:23

>[оверквотинг удален]
>>
>>ip access-list extended toR3
>> permit ip LAN local -> LAN remote
>
>privet,
>
>2 voprosa.
>1. chto u vas n.n.n.n v nat acl? lan network?
>2. pod vneshnim interfeisam u vas crypto "map1" a v crypto map
>"exim". eto opechatka?
da i esho...
chto znachet k r2 i k r2 v nat acl? ip vneshnego interfeisa r2/r3? ili network s zadi r2/r3?

"NAT + IPSec"
Отправлено sigbat , 07-Июл-10 09:20

причем тут ipsec вобще ?
насчет ната почему нельзя сделать два сабинтерфейса на fa0/0 на один роут R2 и второй R3 соотвственно?
на одном cказать ip nat inside, на втором нет
по поводу почему у тебя сейчас не работает , я твои списки доступа не понял. Почему к R3 ? пакеты же к подсетям за роутером обращаются а не к самому роутеру ?

"NAT + IPSec"
Отправлено tolik , 07-Июл-10 11:58

>причем тут ipsec вобще ?
>насчет ната почему нельзя сделать два сабинтерфейса на fa0/0 на один роут
>R2 и второй R3 соотвственно?
>на одном cказать ip nat inside, на втором нет
>по поводу почему у тебя сейчас не работает , я твои списки
>доступа не понял. Почему к R3 ? пакеты же к подсетям
>за роутером обращаются а не к самому роутеру ?
Вот более точная конфигурация:
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key 6 12345678 address 192.168.140.2
crypto isakmp key 6 12345678 address 192.168.140.10
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set www esp-3des esp-sha-hmac
crypto ipsec transform-set tunnel esp-aes esp-sha-hmac
!
crypto map map 10 ipsec-isakmp
set peer 192.168.143.10
set transform-set www
match address toLanR2
crypto map map 11 ipsec-isakmp
set peer 192.168.140.2
set transform-set tunnel
match address toLanR3
!
!
interface FastEthernet0/0
description <<< LAN >>>
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/0/0
switchport access vlan 2
!
interface FastEthernet0/0/1
switchport access vlan 100
!
interface FastEthernet0/0/2
switchport access vlan 3
!
interface FastEthernet0/0/3
!
interface Vlan1
no ip address
!
interface Vlan2
no ip address
!
interface Vlan3
no ip address
!
interface Vlan100
descr <<< to R2 and R3 >>>
ip address 192.168.140.6 255.255.255.252
ip nat outside
ip virtual-reassembly
ip tcp adjust-mss 1300
crypto map map
ip forward-protocol nd
ip route 192.168.4.0 255.255.255.0 192.168.140.5 (LAN R2)
ip route 192.168.5.0 255.255.255.0 192.168.140.5 (LAN R3)
ip route 192.168.140.0 255.255.255.252 192.168.140.5
ip route 192.168.140.8 255.255.255.252 192.168.140.5
!
ip nat pool toLANR2 192.168.222.1 192.168.222.254 netmask 255.255.255.0
ip nat inside source list NAT pool toLANR2
!
ip access-list extended NAT
deny ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255

ip access-list extended toLanR3
permit ip 192.168.1.0 0.0.0.255 any

ip access-list extended toLanR2
permit ip 192.168.222.0 0.0.0.255 192.168.4.0 0.0.0.255

!
no cdp run
!

"NAT + IPSec"
Отправлено karen durinyan , 07-Июл-10 13:10

>[оверквотинг удален]
>
>ip access-list extended toLanR3
> permit ip 192.168.1.0 0.0.0.255 any
>
>ip access-list extended toLanR2
> permit ip 192.168.222.0 0.0.0.255 192.168.4.0 0.0.0.255
>
>!
>no cdp run
>!
s pervogo vzgljada neponjaten...
ip route 192.168.4.0 255.255.255.0 192.168.140.5 (LAN R2)
ip route 192.168.5.0 255.255.255.0 192.168.140.5 (LAN R3)
esli u vas 2 routera to pochemu GW tot zhe sami?
esho chto govorit "show access-list nat"?
est' match dlja deny?

"NAT + IPSec"
Отправлено tolik , 07-Июл-10 14:10

>s pervogo vzgljada neponjaten...
>ip route 192.168.4.0 255.255.255.0 192.168.140.5 (LAN R2)
>ip route 192.168.5.0 255.255.255.0 192.168.140.5 (LAN R3)
>esli u vas 2 routera to pochemu GW tot zhe sami?
>
>esho chto govorit "show access-list nat"?
>est' match dlja deny?
В центре у меня один рутер, а маршрута 2 в две локальные сети рутеров R2 и R3.
Сеть 192.168.140.n - это сеть провайдера.
                    --R2
                  /
         R4      /
R1---Провайдер--
                 \
                  \
                    --R3

Между R1 и R4 192.168.140.4/30
Между R4 и R2 192.168.140.0/30
Между R4 и R3 192.168.148.8/30
ip route 192.168.4.0 255.255.255.0 192.168.140.5 (R4)
ip route 192.168.5.0 255.255.255.0 192.168.140.5 (R4)
>esho chto govorit "show access-list nat"?
>est' match dlja deny?
Делаю sh ip nat tr | inc 192.168.222.0
И у меня есть matching nat для пакетов направляющихся в ЛАН рутера R2, а не должно, т.к. у меня в листе deny.
Не знаю...может не отрабатывается хорошо NAT?
К сожалению у меня один IP адрес на внеш. интерф. R1 и поэтому я не могу сделать саинтерфейсы.

"NAT + IPSec"
Отправлено sigbat , 08-Июл-10 12:30

я ничего не понял (с)
итааак. вот у нас есть пакет которму страшно надо из 192.168.1.0 в 192.168.4.0
он попадает на интерфес там натируется в 192.168.222.n и уходит дальше по роутингу
согласно документу http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec...
пакет сначала натируется потом криптуется
таким образом пакеты у тебя в туннель просто не должны попадать поскольку уже снатированы и не подпадают под крипто листы
то есть никакого туннеля до R3 быть не должно. Если пакеты туда идут то они таки не натируются
теперь почему не пашет полиси нат
я быстро собрал твою схемку у себя на лабе, у меня все работает
Убери routed интерфейс. Создай отдельный VLAN для LAN и нать с него
убери crypto map и вобще все лишнее и попробуй работает ли nat policy
Если нет, обновляй иос