Здравствуйте уважаемые коллеги.Можно ли создать IPSec VPN на оборудование Cisco|Router/ASA в такой сети?
Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть Б ----(LAN,R3)---Сеть В
можно ли создать IPSec VPN Между роутерами R1 и R2 c шифрованием трафика между сетью А и сетью В ?
Давно и много )))) создавал VPN между сетями типа А и Б а между А и В сходу не получилось, я дурак или так нельзя?
> Здравствуйте уважаемые коллеги.
> Можно ли создать IPSec VPN на оборудование Cisco|Router/ASA в такой сети?
> Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть Б ----(LAN,R3)---Сеть В
> можно ли создать IPSec VPN Между роутерами R1 и R2 c
> шифрованием трафика между сетью А и сетью В ?
> Давно и много )))) создавал VPN между сетями типа А и Б
> а между А и В сходу не получилось, я дурак или
> так нельзя?А случайно не пробовали acl заворачивать трафик из сети В в ipsec-туннель??? не забывайте из nat исключить этот трафик...
короче все элементарно просто
У меня вот так.
LAN A 192.168.104.0 255.255.255.0
LAN Б 192.168.70.0 255.255.255.0
LAN B 192.168.68.0 255.255.255.0crypto isakmp policy 1
encr 3des
...
!
crypto isakmp key key123 address "ip_add_R1" no-xauth
crypto ipsec transform-set IPSec esp-3des esp-sha-hmac
crypto map CRY_MAP 110 ipsec-isakmp
set peer "ip_add_R1"
set transform-set IPSec
match address 121
!
!
interface Vlan1
description LAN-B
ip address 192.168.70.67 255.255.255.0
ip nat inside
ip virtual-reassembly
...
!
interface Vlan2
ip address in_Internet
...
crypto map CRY_MAP
!
ip nat inside source route-map NAT interface Vlan2 overload`
!
access-list 121 permit ip 192.168.68.96 0.0.0.15 192.168.104.0 0.0.0.255
access-list 121 permit ip host 192.168.70.67 192.168.104.0 0.0.0.255
access-list 130 deny ip 192.168.68.96 0.0.0.15 192.168.104.0 0.0.0.255
access-list 130 permit ip host 192.168.68.81 any
...
access-list 130 permit ip host 192.168.70.97 any!
route-map NAT permit 10
match ip address 130
match interface Vlan2
Трафик из сети B не поднимает isakmp и никаких событий в дебаге при пинге из сети В в сеть А. Уже измучился 4 часа сидел ковырял так и не понял в чем дело.
>[оверквотинг удален]
> crypto isakmp policy 1
> encr 3des
> ...
> !
> crypto isakmp key key123 address "ip_add_R1" no-xauth
> crypto ipsec transform-set IPSec esp-3des esp-sha-hmac
> crypto map CRY_MAP 110 ipsec-isakmp
> set peer "ip_add_R1"
> set transform-set IPSec
> match address 121- то есть интересный трафик описывается acl 121
> !
> !
> interface Vlan1
> description LAN-Bа мне показалось, что 70.0 lan Б...ну не суть
>[оверквотинг удален]
> ...
> !
> interface Vlan2
> ip address in_Internet
> ...
> crypto map CRY_MAP
> !
> ip nat inside source route-map NAT interface Vlan2 overload`
> !
> access-list 121 permit ip 192.168.68.96 0.0.0.15 192.168.104.0 0.0.0.255вижу хосты из lan В
> access-list 121 permit ip host 192.168.70.67 192.168.104.0 0.0.0.255вижу хосты из lan Б
> access-list 130 deny ip 192.168.68.96 0.0.0.15 192.168.104.0 0.0.0.255вижу что трафик из сети В исключается из NAT, но не вижу что трафик из сети Б исключается из NAT, то есть должно быть еще одно правило
access-list 130 deny ip host 192.168.70.67 192.168.104.0 0.0.0.255
А у Вас из сети Б работало без этого правила? а из сети В не работало...
Странно...либо Вы не правильно обозвали сети Б и В...либо я ничего не понимаю в ipsec на cisco
Отпишись в любом случае...
>[оверквотинг удален]
> access-list 130 permit ip host 192.168.68.81 any
> ...
> access-list 130 permit ip host 192.168.70.97 any
> !
> route-map NAT permit 10
> match ip address 130
> match interface Vlan2
> Трафик из сети B не поднимает isakmp и никаких событий в дебаге
> при пинге из сети В в сеть А. Уже измучился 4
> часа сидел ковырял так и не понял в чем дело.
>>[оверквотинг удален]Ошибся с наименованиями сетей в Дискрипшине. чтобы не путаться перейду на A B и C сети
Здравствуйте уважаемые коллеги.
Можно ли создать IPSec VPN на оборудование Cisco|Router/ASA в такой сети?
Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть B ----(LAN,R3)---Сеть C
можно ли создать IPSec VPN Между роутерами R1 и R2 c шифрованием трафика между сетью А и сетью C ?
Давно и много )))) создавал VPN между сетями типа А и B а между А и C сходу не получилось, я дурак или так нельзя?У меня вот так.
LAN A 192.168.104.0 255.255.255.0
LAN B 192.168.70.0 255.255.255.0
LAN C 192.168.68.0 255.255.255.0crypto isakmp policy 1
encr 3des
...
!
crypto isakmp key key123 address "ip_add_R1" no-xauth
crypto ipsec transform-set IPSec esp-3des esp-sha-hmac
crypto map CRY_MAP 110 ipsec-isakmp
set peer "ip_add_R1"
set transform-set IPSec
match address 121
!
!
interface Vlan1
description LAN-B
ip address 192.168.70.67 255.255.255.0
ip nat inside
ip virtual-reassembly
...
!
interface Vlan2
ip address in_Internet
...
crypto map CRY_MAP
!
ip nat inside source route-map NAT interface Vlan2 overload`
!
---Основной трафик подлежащий шифрованию
access-list 121 permit ip 192.168.68.0 0.0.0.255 192.168.104.0 0.0.0.255
--Добавлено потом для тестирования
access-list 121 permit ip host 192.168.70.67 192.168.104.0 0.0.0.255
--ACL для NAT
access-list 130 deny ip 192.168.68.0 0.0.0.255 192.168.104.0 0.0.0.255
access-list 130 deny ip host 192.168.70.67 192.168.104.0 0.0.0.255
access-list 130 permit ip host 192.168.68.81 any
...
access-list 130 permit ip host 192.168.70.97 any!
route-map NAT permit 10
match ip address 130
match interface Vlan2
Трафик из сети B не поднимает isakmp и никаких событий в дебаге при пинге из сети C в сеть А.
маршруты со стороны LAN смотрят на 192.168.70.67 трасерт доходит до 192.168.70.67 дальше звездочки. Что подозрительно включаю дебаг пингую из сети C в сеть А и isakmp события не генерятся... Где я ошибся?
покажи маршруты на r1, r2, r3
> Здравствуйте уважаемые коллеги.
> Можно ли создать IPSec VPN на оборудование Cisco|Router/ASA в такой сети?
> Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть Б ----(LAN,R3)---Сеть В
> можно ли создать IPSec VPN Между роутерами R1 и R2 c
> шифрованием трафика между сетью А и сетью В ?
> Давно и много )))) создавал VPN между сетями типа А и Б
> а между А и В сходу не получилось, я дурак или
> так нельзя?если есть связь между сетями А и Б, а также Б и В - то проблема в маршрутизации или ACL!
Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть B ----(LAN,R3)---Сеть C
> если есть связь между сетями А и Б, а также Б и
> В - то проблема в маршрутизации или ACL!Между А и B(новое обозначение)через интернет есть по внешним IP есть.
Вот мой конфиг , где может быть ошибка ?
Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть B ----(LAN,R3)---Сеть Cможно ли создать IPSec VPN Между роутерами R1 и R2 c шифрованием трафика между сетью А и сетью C ?
Давно и много )))) создавал VPN между сетями типа А и B а между А и C сходу не получилось, я дурак или так нельзя?У меня вот так.
LAN A 192.168.104.0 255.255.255.0
LAN B 192.168.70.0 255.255.255.0
LAN C 192.168.68.0 255.255.255.0crypto isakmp policy 1
encr 3des
...
!
crypto isakmp key key123 address "ip_add_R1" no-xauth
crypto ipsec transform-set IPSec esp-3des esp-sha-hmac
crypto map CRY_MAP 110 ipsec-isakmp
set peer "ip_add_R1"
set transform-set IPSec
match address 121
!
!
interface Vlan1
description LAN-B
ip address 192.168.70.67 255.255.255.0
ip nat inside
ip virtual-reassembly...
!
interface Vlan2
ip address in_Internet
...
crypto map CRY_MAP
!
ip nat inside source route-map NAT interface Vlan2 overload`
!
---Основной трафик подлежащий шифрованию
access-list 121 permit ip 192.168.68.0 0.0.0.255 192.168.104.0 0.0.0.255
--Добавлено потом для тестирования
access-list 121 permit ip host 192.168.70.67 192.168.104.0 0.0.0.255
--ACL для NAT
access-list 130 deny ip 192.168.68.0 0.0.0.255 192.168.104.0 0.0.0.255
access-list 130 deny ip host 192.168.70.67 192.168.104.0 0.0.0.255
access-list 130 permit ip host 192.168.68.81 any
...
access-list 130 permit ip host 192.168.70.97 any!
route-map NAT permit 10
match ip address 130
match interface Vlan2
====
Я вот тут подумал может в 121 ACL нужно обязательно указывать трафик и между сетями А и B ? Хотя мне это не нужно по соображениям безопасности.
>[оверквотинг удален]
> access-list 130 permit ip host 192.168.70.97 any
> !
> route-map NAT permit 10
> match ip address 130
> match interface Vlan2
> ====
> Я вот тут подумал может в 121 ACL нужно обязательно указывать трафик
> и между сетями А и B ? Хотя мне это не
> нужно по соображениям безопасности.
> ip nat inside source route-map NAT interface Vlan2 overload`на первый взгляд у вас все правильно...кстати, конфиг роутера R1 тоже неплохо было бы привести, вдруг там проблема...Попробуйте избавится от route-map на nat. Просто сделайте через acl 130
ip nat inside source list 130 interface vlan2 overloadКстати, может быть вы забыли на интерфейсе int vlan 2 нет ip nat outside.
В интернет вообще хосты ходят?
И тут еще...я че-то подумал...сделайте gre-туннель, а уже поверх него ipsec!!!тогда точно все получится
> Кстати, может быть вы забыли на интерфейсе int vlan 2 нет ip
> nat outside.
> В интернет вообще хосты ходят?
> И тут еще...я че-то подумал...сделайте gre-туннель, а уже поверх него ipsec!!!тогда точно
> все получитсяЭто да но нужен именно IPSec.
В итоге я поставил ASA в сети С одним интерфейсом и в интернет другим , настроил запустил и забыл про первую схему как про страшный сон )) Спасибо