URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22660
[ Назад ]

Исходное сообщение
"IPSec VPN"

Отправлено orange , 24-Май-11 19:11 
Здравствуйте уважаемые коллеги.

Можно ли создать IPSec VPN на оборудование Cisco|Router/ASA в такой сети?

Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть Б ----(LAN,R3)---Сеть В

можно ли создать IPSec VPN Между роутерами R1 и R2  c шифрованием трафика между сетью  А и сетью В ?
Давно и много )))) создавал VPN между сетями типа А и Б а между А и В сходу не получилось, я дурак или так нельзя?


Содержание

Сообщения в этом обсуждении
"IPSec VPN"
Отправлено Aleks305 , 24-Май-11 21:40 
> Здравствуйте уважаемые коллеги.
> Можно ли создать IPSec VPN на оборудование Cisco|Router/ASA в такой сети?
> Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть Б ----(LAN,R3)---Сеть В
> можно ли создать IPSec VPN Между роутерами R1 и R2  c
> шифрованием трафика между сетью  А и сетью В ?
> Давно и много )))) создавал VPN между сетями типа А и Б
> а между А и В сходу не получилось, я дурак или
> так нельзя?

А случайно не пробовали acl заворачивать трафик из сети В в ipsec-туннель??? не забывайте из nat исключить этот трафик...
короче все элементарно просто


"IPSec VPN"
Отправлено Orange , 24-Май-11 23:37 
У меня вот так.
LAN A 192.168.104.0 255.255.255.0
LAN Б 192.168.70.0 255.255.255.0
LAN B 192.168.68.0 255.255.255.0

crypto isakmp policy 1
encr 3des
...
!
crypto isakmp key key123 address "ip_add_R1" no-xauth
crypto ipsec transform-set IPSec esp-3des esp-sha-hmac
crypto map CRY_MAP 110 ipsec-isakmp
set peer "ip_add_R1"
set transform-set IPSec
match address 121
!
!
interface Vlan1
description LAN-B
ip address 192.168.70.67 255.255.255.0
ip nat inside
ip virtual-reassembly
...
!
interface Vlan2
ip address in_Internet
...
crypto map CRY_MAP
!
ip nat inside source route-map NAT interface Vlan2 overload`
!
access-list 121 permit ip 192.168.68.96 0.0.0.15 192.168.104.0 0.0.0.255
access-list 121 permit ip host 192.168.70.67 192.168.104.0 0.0.0.255
access-list 130 deny ip 192.168.68.96 0.0.0.15 192.168.104.0 0.0.0.255
access-list 130 permit ip host 192.168.68.81 any
...
access-list 130 permit ip host 192.168.70.97 any

!
route-map NAT permit 10
match ip address 130
match interface Vlan2


Трафик из сети B не поднимает isakmp и никаких событий в дебаге при пинге из сети В в сеть А. Уже измучился 4 часа сидел ковырял так и не понял в чем дело.


"IPSec VPN"
Отправлено Aleks305 , 25-Май-11 10:41 
>[оверквотинг удален]
> crypto isakmp policy 1
>  encr 3des
>  ...
> !
> crypto isakmp key key123 address "ip_add_R1" no-xauth
> crypto ipsec transform-set IPSec esp-3des esp-sha-hmac
> crypto map CRY_MAP 110 ipsec-isakmp
>  set peer "ip_add_R1"
>  set transform-set IPSec
>  match address 121

- то есть интересный трафик описывается acl 121
> !
> !
> interface Vlan1
>  description LAN-B

а мне показалось, что 70.0 lan Б...ну не суть
>[оверквотинг удален]
>  ...
> !
> interface Vlan2
>  ip address in_Internet
>  ...
>  crypto map CRY_MAP
> !
> ip nat inside source route-map NAT interface Vlan2 overload`
> !
> access-list 121 permit ip 192.168.68.96 0.0.0.15 192.168.104.0 0.0.0.255

вижу хосты из lan В
> access-list 121 permit ip host 192.168.70.67 192.168.104.0 0.0.0.255

вижу хосты из lan Б
> access-list 130 deny ip 192.168.68.96 0.0.0.15 192.168.104.0 0.0.0.255

вижу что трафик из сети В исключается из NAT, но не вижу что трафик из сети Б исключается из NAT, то есть должно быть еще одно правило
access-list 130 deny ip host 192.168.70.67 192.168.104.0 0.0.0.255
А у Вас из сети Б работало без этого правила? а из сети В не работало...
Странно...либо Вы не правильно обозвали сети Б и В...либо я ничего не понимаю в ipsec на cisco
Отпишись в любом случае...
>[оверквотинг удален]
> access-list 130 permit ip host 192.168.68.81 any
> ...
> access-list 130 permit ip host 192.168.70.97 any
> !
> route-map NAT permit 10
>  match ip address 130
>  match interface Vlan2
> Трафик из сети B не поднимает isakmp и никаких событий в дебаге
> при пинге из сети В в сеть А. Уже измучился 4
> часа сидел ковырял так и не понял в чем дело.


"IPSec VPN"
Отправлено orange , 25-Май-11 13:34 
>>[оверквотинг удален]

Ошибся с наименованиями сетей в Дискрипшине. чтобы не путаться перейду на A B и C сети

    Здравствуйте уважаемые коллеги.

    Можно ли создать IPSec VPN на оборудование Cisco|Router/ASA в такой сети?

    Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть B ----(LAN,R3)---Сеть C

    можно ли создать IPSec VPN Между роутерами R1 и R2  c шифрованием трафика между сетью  А и сетью C ?
    Давно и много )))) создавал VPN между сетями типа А и B а между А и C сходу не получилось, я дурак или так нельзя?

У меня вот так.
LAN A 192.168.104.0 255.255.255.0
LAN B 192.168.70.0 255.255.255.0
LAN C 192.168.68.0 255.255.255.0

crypto isakmp policy 1
encr 3des
...
!
crypto isakmp key key123 address "ip_add_R1" no-xauth
crypto ipsec transform-set IPSec esp-3des esp-sha-hmac
crypto map CRY_MAP 110 ipsec-isakmp
set peer "ip_add_R1"
set transform-set IPSec
match address 121
!
!
interface Vlan1
description LAN-B
ip address 192.168.70.67 255.255.255.0
ip nat inside
ip virtual-reassembly
...
!
interface Vlan2
ip address in_Internet
...
crypto map CRY_MAP
!
ip nat inside source route-map NAT interface Vlan2 overload`
!
---Основной трафик подлежащий шифрованию
access-list 121 permit ip 192.168.68.0 0.0.0.255 192.168.104.0 0.0.0.255
--Добавлено потом для тестирования
access-list 121 permit ip host 192.168.70.67 192.168.104.0 0.0.0.255
--ACL для NAT
access-list 130 deny ip 192.168.68.0 0.0.0.255 192.168.104.0 0.0.0.255
access-list 130 deny ip host 192.168.70.67 192.168.104.0 0.0.0.255
access-list 130 permit ip host 192.168.68.81 any
...
access-list 130 permit ip host 192.168.70.97 any

!
route-map NAT permit 10
match ip address 130
match interface Vlan2


Трафик из сети B не поднимает isakmp и никаких событий в дебаге при пинге из сети C в сеть А.
маршруты со стороны LAN смотрят на 192.168.70.67 трасерт доходит до 192.168.70.67 дальше звездочки. Что подозрительно включаю дебаг пингую из сети C в сеть А и isakmp события не генерятся... Где я ошибся?


"IPSec VPN"
Отправлено himik1986 , 25-Май-11 11:31 
покажи маршруты на r1, r2, r3


"IPSec VPN"
Отправлено mishai , 25-Май-11 12:26 
> Здравствуйте уважаемые коллеги.
> Можно ли создать IPSec VPN на оборудование Cisco|Router/ASA в такой сети?
> Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть Б ----(LAN,R3)---Сеть В
> можно ли создать IPSec VPN Между роутерами R1 и R2  c
> шифрованием трафика между сетью  А и сетью В ?
> Давно и много )))) создавал VPN между сетями типа А и Б
> а между А и В сходу не получилось, я дурак или
> так нельзя?

если есть связь между сетями А и Б, а также Б и В - то проблема в маршрутизации или ACL!


"IPSec VPN"
Отправлено orange , 26-Май-11 18:35 
Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть B ----(LAN,R3)---Сеть C
> если есть связь между сетями А и Б, а также Б и
> В - то проблема в маршрутизации или ACL!

Между А и B(новое обозначение)через интернет есть по внешним IP есть.  

Вот мой конфиг , где может быть ошибка ?
   Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть B ----(LAN,R3)---Сеть C

    можно ли создать IPSec VPN Между роутерами R1 и R2  c шифрованием трафика между сетью  А и сетью C ?
    Давно и много )))) создавал VPN между сетями типа А и B а между А и C сходу не получилось, я дурак или так нельзя?

У меня вот так.
LAN A 192.168.104.0 255.255.255.0
LAN B 192.168.70.0 255.255.255.0
LAN C 192.168.68.0 255.255.255.0

crypto isakmp policy 1
encr 3des
...
!
crypto isakmp key key123 address "ip_add_R1" no-xauth
crypto ipsec transform-set IPSec esp-3des esp-sha-hmac
crypto map CRY_MAP 110 ipsec-isakmp
set peer "ip_add_R1"
set transform-set IPSec
match address 121
!
!
interface Vlan1
description LAN-B
ip address 192.168.70.67 255.255.255.0
ip nat inside
ip virtual-reassembly

...
!
interface Vlan2
ip address in_Internet
...
crypto map CRY_MAP
!
ip nat inside source route-map NAT interface Vlan2 overload`
!
---Основной трафик подлежащий шифрованию
access-list 121 permit ip 192.168.68.0 0.0.0.255 192.168.104.0 0.0.0.255
--Добавлено потом для тестирования
access-list 121 permit ip host 192.168.70.67 192.168.104.0 0.0.0.255
--ACL для NAT
access-list 130 deny ip 192.168.68.0 0.0.0.255 192.168.104.0 0.0.0.255
access-list 130 deny ip host 192.168.70.67 192.168.104.0 0.0.0.255
access-list 130 permit ip host 192.168.68.81 any
...
access-list 130 permit ip host 192.168.70.97 any

!
route-map NAT permit 10
match ip address 130
match interface Vlan2


====
Я вот тут подумал может в 121 ACL нужно обязательно указывать трафик и между сетями А и B ? Хотя мне это не нужно по соображениям безопасности.


"IPSec VPN"
Отправлено Aleks305 , 26-Май-11 22:49 
>[оверквотинг удален]
> access-list 130 permit ip host 192.168.70.97 any
> !
> route-map NAT permit 10
> match ip address 130
> match interface Vlan2
> ====
> Я вот тут подумал может в 121 ACL нужно обязательно указывать трафик
> и между сетями А и B ? Хотя мне это не
> нужно по соображениям безопасности.
> ip nat inside source route-map NAT interface Vlan2 overload`

на первый взгляд у вас все правильно...кстати, конфиг роутера R1 тоже неплохо было бы привести, вдруг там проблема...Попробуйте избавится от route-map на nat. Просто сделайте через acl 130
ip nat inside source list 130 interface vlan2 overload

Кстати, может быть вы забыли на интерфейсе int vlan 2 нет ip nat outside.
В интернет вообще хосты ходят?
И тут еще...я че-то подумал...сделайте gre-туннель, а уже поверх него ipsec!!!тогда точно все получится


"IPSec VPN"
Отправлено Orange , 02-Июн-11 13:35 
> Кстати, может быть вы забыли на интерфейсе int vlan 2 нет ip
> nat outside.
> В интернет вообще хосты ходят?
> И тут еще...я че-то подумал...сделайте gre-туннель, а уже поверх него ipsec!!!тогда точно
> все получится

Это да но нужен именно IPSec.
В итоге я поставил ASA в сети С одним интерфейсом и в интернет другим , настроил запустил и забыл про первую схему как про страшный сон )) Спасибо