привет!

помогите plz понять в каком направлении голову вправить...

Есть: cisco 831.

>Cisco IOS Software, C831 Software (C831-K9O3Y6-M), Version 12.3(11)YS, RELEASE SOFTWARE (fc1)
>Synched to version 12.4(0.6)

что надо: ipsec(gre) tunnel with pre-NAT.

Вот кусок конфига (вроде рабочего ;)):

ip multicast-routing
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
crypto isakmp key secret address 123.123.123.123
!
crypto ipsec transform-set myvpn esp-3des esp-md5-hmac
!
crypto map cmevpn 1 ipsec-isakmp
set peer 123.123.123.123
set transform-set myvpn
match address 100
!

interface Loopback0
ip address 10.72.0.56 255.255.255.255
!

interface Tunnel0
ip address 10.72.1.178 255.255.255.252
ip pim sparse-mode
tunnel source 10.72.0.56
tunnel destination 10.72.254.1
!
interface Ethernet0
ip address 10.72.56.1 255.255.255.0
ip pim sparse-mode
duplex auto
speed auto
no cdp enable
!

interface Ethernet1
ip address 222.222.222.222 255.255.255.0
crypto map myvpn
!
ip classless
ip route 0.0.0.0 0.0.0.0 222.222.222.223
ip route 10.71.0.0 255.255.255.0 Tunnel0
!

ip pim rp-address 10.71.0.4
ip mroute 10.71.0.0 255.255.255.0 Tunnel0
ip route 10.1.63.0 255.255.255.0  222.222.222.223
ip route 10.1.56.0 255.255.255.0  222.222.222.223
ip route 10.1.16.0 255.255.255.0  222.222.222.223

! 222.222.222.223 - Corp router or gateway for all IPSEC Traffic

!
access-list 100 remark Permit GRE Traffic
access-list 100 permit gre host 10.72.0.56 host 10.72.254.1
access-list 100 permit ip 10.1.16.0 0.0.0.255 10.72.56.0 0.0.0.255
access-list 100 permit ip 10.1.56.0 0.0.0.255 10.72.56.0 0.0.0.255
access-list 100 permit ip 10.1.63.0 0.0.0.255 10.72.56.0 0.0.0.255

---------------

Хочется чтобы один из интерфейсов cisco был в сети имел адрес из сети 192.168.33.0/24 (например: 192.168.33.2).
Пробовал присвоить адрес 192.168.33.2 на Ethernet0 и делать NAT в pool 10.72.56.2-10.72.56.254, примерно так можно делать
на PIX(е).. Но ничего не получилось.. Все примеры с cisco.com смотрел - все почти так, как у меня, но не до конца..

Возможно ли вообще сделать такой NAT и потом пропустить его в IPSEC?
Поделитесь plz советом...

• pre-NAT and IPSEC on router,Eduard_k, 00:07 , 03-Авг-05
  • pre-NAT and IPSEC on router,lomo, 16:48 , 03-Авг-05
    • pre-NAT and IPSEC on router,Eduard_k, 18:25 , 03-Авг-05
      • pre-NAT and IPSEC on router,lomo, 20:40 , 03-Авг-05

>привет!
>
>помогите plz понять в каком направлении голову вправить...
>
>Есть: cisco 831.
>
>>Cisco IOS Software, C831 Software (C831-K9O3Y6-M), Version 12.3(11)YS, RELEASE SOFTWARE (fc1)
>>Synched to version 12.4(0.6)
>
>что надо: ipsec(gre) tunnel with pre-NAT.
>
>Вот кусок конфига (вроде рабочего ;)):
>
>ip multicast-routing
>crypto isakmp policy 1
> encr 3des
> hash md5
> authentication pre-share
>crypto isakmp key secret address 123.123.123.123
>!
>crypto ipsec transform-set myvpn esp-3des esp-md5-hmac
>!
>crypto map cmevpn 1 ipsec-isakmp
> set peer 123.123.123.123
> set transform-set myvpn
> match address 100
>!
>
>interface Loopback0
> ip address 10.72.0.56 255.255.255.255
>!
>
>interface Tunnel0
> ip address 10.72.1.178 255.255.255.252
> ip pim sparse-mode
> tunnel source 10.72.0.56
> tunnel destination 10.72.254.1
>!
>interface Ethernet0
> ip address 10.72.56.1 255.255.255.0
> ip pim sparse-mode
> duplex auto
> speed auto
> no cdp enable
>!
>
>interface Ethernet1
> ip address 222.222.222.222 255.255.255.0
> crypto map myvpn
>!
>ip classless
>ip route 0.0.0.0 0.0.0.0 222.222.222.223
>ip route 10.71.0.0 255.255.255.0 Tunnel0
>!
>
>ip pim rp-address 10.71.0.4
>ip mroute 10.71.0.0 255.255.255.0 Tunnel0
>ip route 10.1.63.0 255.255.255.0  222.222.222.223
>ip route 10.1.56.0 255.255.255.0  222.222.222.223
>ip route 10.1.16.0 255.255.255.0  222.222.222.223
>
>! 222.222.222.223 - Corp router or gateway for all IPSEC Traffic
>
>!
>access-list 100 remark Permit GRE Traffic
>access-list 100 permit gre host 10.72.0.56 host 10.72.254.1
>access-list 100 permit ip 10.1.16.0 0.0.0.255 10.72.56.0 0.0.0.255
>access-list 100 permit ip 10.1.56.0 0.0.0.255 10.72.56.0 0.0.0.255
>access-list 100 permit ip 10.1.63.0 0.0.0.255 10.72.56.0 0.0.0.255
>
>
>---------------
>
>Хочется чтобы один из интерфейсов cisco был в сети имел адрес из
>сети 192.168.33.0/24 (например: 192.168.33.2).
>Пробовал присвоить адрес 192.168.33.2 на Ethernet0 и делать NAT в pool 10.72.56.2-10.72.56.254,
>примерно так можно делать
>на PIX(е).. Но ничего не получилось.. Все примеры с cisco.com смотрел -
>все почти так, как у меня, но не до конца..
>
>Возможно ли вообще сделать такой NAT и потом пропустить его в IPSEC?
>
>Поделитесь plz советом...

Не очень ясна задача. Я так понимаю,
ip route 10.1.63.0 255.255.255.0  222.222.222.223
ip route 10.1.56.0 255.255.255.0  222.222.222.223
ip route 10.1.16.0 255.255.255.0  222.222.222.223 - удаленные сети, доступные по ipsec???
тогда не понятно
access-list 100 permit ip 10.1.16.0 0.0.0.255 10.72.56.0 0.0.0.255
access-list 100 permit ip 10.1.56.0 0.0.0.255 10.72.56.0 0.0.0.255
access-list 100 permit ip 10.1.63.0 0.0.0.255 10.72.56.0 0.0.0.255
должно быть наоборот
access-list 100 permit ip 10.72.56.0 0.0.0.255 10.1.16.0 0.0.0.255
и т.д.
Или я чего-то не понимаю, или ipsec  у вас не работает.
Вообще как то неясна вцелом схема, и что нужно получить.

Сорри, возможно был не до конца точен...
(Конфиг того, что есть - ниже)

Делаю с машины 192.168.33.100: "ping 10.1.16.1"

ISAKMP встает..

>#sh crypto isakmp sa
>dst             src                 state          conn-id slot status
>123.123.123.123  222.222.222.222       QM_IDLE           1002    0 ACTIVE
>123.123.123.123  222.222.222.222       MM_NO_STATE       1001    0 ACTIVE (deleted)

NAT отрабатывает:

>cisco831-gw#sh ip nat trans
>Pro Inside global      Inside local       Outside local      Outside global
>icmp 10.72.56.2:16687  192.168.33.100:16687 10.1.16.1:16687 10.1.16.1:16687
>--- 10.72.56.2         192.168.33.100    ---                ---

А ACL, который привязан к crypto map все попадает...

>cisco831-gw#sh access-list 100
>Extended IP access list 100
>    10 permit gre host 10.72.0.56 host 10.72.254.1 (80 matches)
>    20 permit ip 10.72.56.0 0.0.0.255 10.1.16.0 0.0.0.255 (44 matches)
>    30 permit ip 10.72.56.0 0.0.0.255 10.1.56.0 0.0.0.255 (5 matches)
>    40 permit ip 10.72.56.0 0.0.0.255 10.1.63.0 0.0.0.255

Такое чувство, что этот траффик просто уходит в Инет, а не проходит crypto map перед этим..

----------------------------------------------------------------------------------------

cisco831-cme-gw#sh run
Building configuration...

Current configuration : 5365 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname cisco831-gw
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 XXXXXXXXXXXXXXXXXXXXX
!
no aaa new-model
!
resource policy
!
ip subnet-zero
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1
!
!
ip cef
ip domain name test.domain.com
ip name-server 172.27.1.5
ip multicast-routing
no ip ips deny-action ips-interface

!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
crypto isakmp key secret address 123.123.123.123
!
!
crypto ipsec transform-set 3desmd5 esp-3des esp-md5-hmac
!
crypto map mymap 10 ipsec-isakmp
set peer 123.123.123.123
set transform-set 3desmd5
match address 100
!
!
!
interface Tunnel0
ip address 10.72.1.178 255.255.255.252
ip pim sparse-mode
tunnel source 10.72.0.56
tunnel destination 10.72.254.1
!
interface Loopback0
ip address 10.72.0.56 255.255.255.255
!
interface Ethernet0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-Ethernet 10/100$
ip address 192.168.33.2 255.255.255.0
ip pim sparse-mode
ip nat inside
ip virtual-reassembly
no cdp enable
!
interface Ethernet1
description $ES_WAN$
ip address 222.222.222.222 255.255.255.248
ip access-group 101 in
ip nat outside
ip virtual-reassembly
duplex auto
crypto map m
!
interface Ethernet2
no ip address
ip pim sparse-mode
ip nat outside
ip virtual-reassembly
shutdown
no cdp enable
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 222.222.222.223
ip route 10.1.16.0 255.255.255.0 222.222.222.223
ip route 10.1.56.0 255.255.255.0 222.222.222.223
ip route 10.1.63.0 255.255.255.0 222.222.222.223
ip route 10.71.0.0 255.255.255.0 Tunnel0
ip route 123.123.123.123 255.255.255.255 222.222.222.223
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
!
ip pim rp-address 10.71.0.4
ip mroute 10.71.0.0 255.255.255.0 Tunnel0
ip nat pool mypool 10.72.56.2 10.72.56.254 netmask 255.255.255.0
ip nat inside source list 103 pool mypool
!
access-list 100 remark Permit GRE Traffic
access-list 100 permit ip 10.72.56.0 0.0.0.255 10.1.16.0 0.0.0.255
access-list 100 permit ip 10.72.56.0 0.0.0.255 10.1.56.0 0.0.0.255
access-list 100 permit ip 10.72.56.0 0.0.0.255 10.1.63.0 0.0.0.255
access-list 101 permit gre host 160.81.179.10 any
access-list 101 deny   tcp any any eq telnet log-input
access-list 101 deny   udp any any eq syslog log-input
access-list 101 deny   tcp any any eq cmd log-input
access-list 101 permit ip any any
access-list 101 permit icmp any any
access-list 103 permit ip 192.168.33.0 0.0.0.255 10.1.63.0 0.0.0.255
access-list 103 permit ip 192.168.33.0 0.0.0.255 10.1.56.0 0.0.0.255
access-list 103 permit ip 192.168.33.0 0.0.0.255 10.1.16.0 0.0.0.255
!
control-plane
!
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end

cisco831-cme-gw#

>Сорри, возможно был не до конца точен...
>(Конфиг того, что есть - ниже)
>
>Делаю с машины 192.168.33.100: "ping 10.1.16.1"
>
>
>ISAKMP встает..
>
>>#sh crypto isakmp sa
>>dst             src                 state          conn-id slot status
>>123.123.123.123  222.222.222.222       QM_IDLE           1002    0 ACTIVE
>>123.123.123.123  222.222.222.222       MM_NO_STATE       1001    0 ACTIVE (deleted)
>
>NAT отрабатывает:
>
>>cisco831-gw#sh ip nat trans
>>Pro Inside global      Inside local       Outside local      Outside global
>>icmp 10.72.56.2:16687  192.168.33.100:16687 10.1.16.1:16687 10.1.16.1:16687
>>--- 10.72.56.2         192.168.33.100    ---                ---
>
>А ACL, который привязан к crypto map все попадает...
>
>>cisco831-gw#sh access-list 100
>>Extended IP access list 100
>>    10 permit gre host 10.72.0.56 host 10.72.254.1 (80 matches)
>>    20 permit ip 10.72.56.0 0.0.0.255 10.1.16.0 0.0.0.255 (44 matches)
>>    30 permit ip 10.72.56.0 0.0.0.255 10.1.56.0 0.0.0.255 (5 matches)
>>    40 permit ip 10.72.56.0 0.0.0.255 10.1.63.0 0.0.0.255
>
>
>Такое чувство, что этот траффик просто уходит в Инет, а не проходит
>crypto map перед этим..
>
>----------------------------------------------------------------------------------------
>
>
>
>cisco831-cme-gw#sh run
>Building configuration...
>
>Current configuration : 5365 bytes
>!
>version 12.3
>no service pad
>service timestamps debug datetime msec localtime show-timezone
>service timestamps log datetime msec localtime show-timezone
>service password-encryption
>!
>hostname cisco831-gw
>!
>boot-start-marker
>boot-end-marker
>!
>logging buffered 51200 warnings
>enable secret 5 XXXXXXXXXXXXXXXXXXXXX
>!
>no aaa new-model
>!
>resource policy
>!
>ip subnet-zero
>no ip dhcp use vrf connected
>ip dhcp excluded-address 10.10.10.1
>!
>!
>ip cef
>ip domain name test.domain.com
>ip name-server 172.27.1.5
>ip multicast-routing
>no ip ips deny-action ips-interface
>
>!
>!
>crypto isakmp policy 10
> encr 3des
> hash md5
> authentication pre-share
>crypto isakmp key secret address 123.123.123.123
>!
>!
>crypto ipsec transform-set 3desmd5 esp-3des esp-md5-hmac
>!
>crypto map mymap 10 ipsec-isakmp
> set peer 123.123.123.123
> set transform-set 3desmd5
> match address 100
>!
>!
>!
>interface Tunnel0
> ip address 10.72.1.178 255.255.255.252
> ip pim sparse-mode
> tunnel source 10.72.0.56
> tunnel destination 10.72.254.1
>!
>interface Loopback0
> ip address 10.72.0.56 255.255.255.255
>!
>interface Ethernet0
> description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-Ethernet 10/100$
> ip address 192.168.33.2 255.255.255.0
> ip pim sparse-mode
> ip nat inside
> ip virtual-reassembly
> no cdp enable
>!
>interface Ethernet1
> description $ES_WAN$
> ip address 222.222.222.222 255.255.255.248
> ip access-group 101 in
> ip nat outside
> ip virtual-reassembly
> duplex auto
> crypto map m
>!
>interface Ethernet2
> no ip address
> ip pim sparse-mode
> ip nat outside
> ip virtual-reassembly
> shutdown
> no cdp enable
>!
>interface FastEthernet1
> duplex auto
> speed auto
>!
>interface FastEthernet2
> duplex auto
> speed auto
>!
>interface FastEthernet3
> duplex auto
> speed auto
>!
>interface FastEthernet4
> duplex auto
> speed auto
>!
>ip classless
>ip route 0.0.0.0 0.0.0.0 222.222.222.223
>ip route 10.1.16.0 255.255.255.0 222.222.222.223
>ip route 10.1.56.0 255.255.255.0 222.222.222.223
>ip route 10.1.63.0 255.255.255.0 222.222.222.223
>ip route 10.71.0.0 255.255.255.0 Tunnel0
>ip route 123.123.123.123 255.255.255.255 222.222.222.223
>ip http server
>ip http authentication local
>ip http secure-server
>ip http timeout-policy idle 600 life 86400 requests 10000
>!
>ip pim rp-address 10.71.0.4
>ip mroute 10.71.0.0 255.255.255.0 Tunnel0
>ip nat pool mypool 10.72.56.2 10.72.56.254 netmask 255.255.255.0
>ip nat inside source list 103 pool mypool
>!
>access-list 100 remark Permit GRE Traffic
>access-list 100 permit ip 10.72.56.0 0.0.0.255 10.1.16.0 0.0.0.255
>access-list 100 permit ip 10.72.56.0 0.0.0.255 10.1.56.0 0.0.0.255
>access-list 100 permit ip 10.72.56.0 0.0.0.255 10.1.63.0 0.0.0.255
>access-list 101 permit gre host 160.81.179.10 any
>access-list 101 deny   tcp any any eq telnet log-input
>access-list 101 deny   udp any any eq syslog log-input
>access-list 101 deny   tcp any any eq cmd log-input
>access-list 101 permit ip any any
>access-list 101 permit icmp any any
>access-list 103 permit ip 192.168.33.0 0.0.0.255 10.1.63.0 0.0.0.255
>access-list 103 permit ip 192.168.33.0 0.0.0.255 10.1.56.0 0.0.0.255
>access-list 103 permit ip 192.168.33.0 0.0.0.255 10.1.16.0 0.0.0.255
>!
>control-plane
>!
>!
>line con 0
> login local
> no modem enable
>line aux 0
>line vty 0 4
> privilege level 15
> login local
> transport input telnet ssh
>!
>scheduler max-task-time 5000
>end
>
>cisco831-cme-gw#

>#sh crypto isakmp sa
>dst             src             state          conn-id slot status
>123.123.123.123  222.222.222.222   QM_IDLE           1002    0 ACTIVE
>123.123.123.123  222.222.222.222   MM_NO_STATE       1001    0 ACTIVE (deleted)

conn id 1002 - это тоннель у вас врядли встает. посмотрите deb crypto isakmp - сразу увидите.

Мне кажется, прблема с access-list 101
для начала надо
1)
access-list 101 permit udp host 123.123.123.123 host222.222.222.222 eq 500
access-list 101 permit 50 host 123.123.123.123 host 222.222.222.222
access-list 101 permit 51 host 123.123.123.123 host 222.222.222.222
2)permit ip 10.1.16.0 0.0.0.255 10.72.56.0 0.0.0.255 и т.д.
потому что трафик будет проверяться акцесс листом 2 раза.

и с натом по-моему криво
может проще с той стороны роут прописать на 192.168.33.0 255.255.255.0 и обойтись без ната.
а если без этого нельзя тогда создавать еще один loopback c адресом 10.72.56.1 и он будет nat outside, но уж точно не eth1

>conn id 1002 - это тоннель у вас врядли встает. посмотрите deb
>crypto isakmp - сразу увидите.

Вот такой вот debug я получаю после clear crypto sa и последующего ping(а) в cеть назначения:

*Mar  8 23:34:28.532 UTC: ISAKMP: set new node 0 to QM_IDLE
*Mar  8 23:34:28.532 UTC: ISAKMP:(1016): sitting IDLE. Starting QM immediately (QM_IDLE      )
*Mar  8 23:34:28.532 UTC: ISAKMP:(1016):beginning Quick Mode exchange, M-ID of -2128586135
*Mar  8 23:34:28.540 UTC: ISAKMP:(1016): sending packet to XXXXXX my_port 500 peer_port 500 (I) QM_IDLE
*Mar  8 23:34:28.540 UTC: ISAKMP:(1016):Node -2128586135, Input = IKE_MESG_INTERNAL, IKE_INIT_QM
*Mar  8 23:34:28.540 UTC: ISAKMP:(1016):Old State = IKE_QM_READY  New State = IKE_QM_I_QM1
*Mar  8 23:34:28.564 UTC: ISAKMP (0:1016): received packet from XXXXXXXXXXXX dport 500 sport 500 Global (I) QM_IDLE
*Mar  8 23:34:28.564 UTC: ISAKMP: set new node 1616188392 to QM_IDLE
*Mar  8 23:34:28.572 UTC: ISAKMP:(1016): processing HASH payload. message ID = 1616188392
*Mar  8 23:34:28.576 UTC: ISAKMP:(1016): processing NOTIFY PROPOSAL_NOT_CHOSEN protocol 3
        spi 3739858741, message ID = 1616188392, sa = 8188C97C
*Mar  8 23:34:28.576 UTC: ISAKMP:(1016): deleting spi 3739858741 message ID = -2128586135
*Mar  8 23:34:28.576 UTC: ISAKMP:(1016):deleting node -2128586135 error TRUE reason "Delete Larval"
*Mar  8 23:34:28.576 UTC: ISAKMP:(1016):deleting node 1616188392 error FALSE reason "Informational (in) state 1"
*Mar  8 23:34:28.576 UTC: ISAKMP:(1016):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY
*Mar  8 23:34:28.576 UTC: ISAKMP:(1016):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE

Вроде все встает...

>
>
>Мне кажется, прблема с access-list 101
>для начала надо
>1)
>access-list 101 permit udp host 123.123.123.123 host222.222.222.222 eq 500
>access-list 101 permit 50 host 123.123.123.123 host 222.222.222.222
>access-list 101 permit 51 host 123.123.123.123 host 222.222.222.222

Добавил, но совпадений (matches) нет.. Ну пусть будет..

>2)permit ip 10.1.16.0 0.0.0.255 10.72.56.0 0.0.0.255 и т.д.
>потому что трафик будет проверяться акцесс листом 2 раза.

А это к какому ACL относится? Явно не к 101, т.к. такого траффика на 101 просто нет...

>а если без этого нельзя тогда создавать еще один loopback c адресом
>10.72.56.1 и он будет nat outside, но уж точно не eth1
>

Я пробовал так сделать, но почему-то никаких NAT-трансляций не возникало..

Еще странно, что я не нашел примеров на cisco.com для моего случая.. :)