URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 881
[ Назад ]

Исходное сообщение
"помогите засунуть один сайт в VPN"

Отправлено snooooop , 22-Июл-13 14:31 
привет всем.
есть такая задача, 2 офиса, между ними VPN,
(2)192.168.168.40.0/24---40.1LAN[ISR]wan=====VPN====wan[ASA]LAN135.2----10.1.135.0/24(1)
                                                        

в 1м офисе зареган IP для работы на сайте, просят пропустить все тачки 2го офиса через VPN что бы они для сервиса были с таким же IP...борюсь который день, не могу сделать.

на рутере 2го офиса в нат запихал правило, которе денаит нужный сайт
Код:    

ip access-list extended NAT
deny   ip 192.168.40.0 0.0.0.255 host 91.221.163.15
deny   ip 192.168.40.0 0.0.0.255 10.1.135.0 0.0.0.255
deny   ip 192.168.40.0 0.0.0.255 10.1.1.0 0.0.0.255
permit ip 192.168.40.0 0.0.0.255 any

и правило разрешающее лезть в VPN
Код:    

ip access-list extended vpn_to_hq
permit ip 192.168.40.0 0.0.0.255 host 91.221.163.15
permit ip 192.168.40.0 0.0.0.255 10.1.135.0 0.0.0.255
permit ip 192.168.40.0 0.0.0.255 10.1.1.0 0.0.0.255


в голове стоит ASA, как и что там настроить ума не приложу...
но судя по статусу ACLов пакеты в 2м офисе валятся в VPN
Код:    

Extended IP access list NAT
    5 deny ip 192.168.40.0 0.0.0.255 host 91.221.163.15 (295 matches)
Extended IP access list vpn_to_hq
    1 permit ip 192.168.40.0 0.0.0.255 host 91.221.163.15 (316 matches)

Настройки на ASA
access-list Inside_ACL_for_NAT extended permit ip 192.168.40.0 255.255.255.0 any
nat (inside) 11 access-list Inside_ACL_for_NAT

в общем голова уже по швам трещит...
дайте совет!?


Содержание

Сообщения в этом обсуждении
"помогите засунуть один сайт в VPN"
Отправлено McS555 , 22-Июл-13 16:20 

> в 1м офисе зареган IP для работы на сайте, просят пропустить все
> тачки 2го офиса через VPN что бы они для сервиса были
> с таким же IP...борюсь который день, не могу сделать.

какой ip адрес ?


"помогите засунуть один сайт в VPN"
Отправлено snooooop , 23-Июл-13 06:09 
>> в 1м офисе зареган IP для работы на сайте, просят пропустить все
>> тачки 2го офиса через VPN что бы они для сервиса были
>> с таким же IP...борюсь который день, не могу сделать.
> какой ip адрес ?

внешний IP адрес необходимый для аутентификации пользователя, для работы на вэб ресурсе.


"помогите засунуть один сайт в VPN"
Отправлено snooooop , 23-Июл-13 08:39 
>>> в 1м офисе зареган IP для работы на сайте, просят пропустить все
>>> тачки 2го офиса через VPN что бы они для сервиса были
>>> с таким же IP...борюсь который день, не могу сделать.
>> какой ip адрес ?
> внешний IP адрес необходимый для аутентификации пользователя, для работы на вэб ресурсе.

91.221.163.26


"помогите засунуть один сайт в VPN"
Отправлено McS555 , 23-Июл-13 09:37 
>>>> в 1м офисе зареган IP для работы на сайте, просят пропустить все
>>>> тачки 2го офиса через VPN что бы они для сервиса были
>>>> с таким же IP...борюсь который день, не могу сделать.
>>> какой ip адрес ?
>> внешний IP адрес необходимый для аутентификации пользователя, для работы на вэб ресурсе.
>  91.221.163.26

Это wan на ISR ??

можешь show run скинуть.


"помогите засунуть один сайт в VPN"
Отправлено snooooop , 23-Июл-13 12:56 
> можешь show run скинуть.

K*_881#sh run
Building configuration...

Current configuration : 5098 bytes
!
! Last configuration change at 03:54:38 UTC Tue Jul 23 2013 by s-
!
version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname K_881
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
!
no aaa new-model
!
memory-size iomem 10
crypto pki token default removal timeout 0
  3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 32383337 32373836 3137301E 170D3133 30373232 31303435
  34385A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 38333732
  37383631 3730819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100F0E1 ED94223F FE257A66 3D093C35 258AB3FB 3915294E B5DE062F 3E4BA3E0
  A2C41E13 2B9676B7 6885EB96 BEE4340C 7B7F85E3 E5F0EC5C F33EBB44 BBFCE6E8
  A0087A91 4054102D 9C022596 F4186771 FD90655B 3298EF51 D7BA3C52 23E91C8D
  9E092266 6CCC8E62 1554C745 9377ED6C 4A45A2CE 5F837C1A AC3515AF A4E828FE
  AA0F0203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603
  551D2304 18301680 14E4DEA6 92A0CF14 1CED8AB2 86F7BCD4 3A8EF26D 07301D06
  03551D0E 04160414 E4DEA692 A0CF141C ED8AB286 F7BCD43A 8EF26D07 300D0609
  2A864886 F70D0101 04050003 81810007 6333F459 7C0ADA7D A6022C98 08432635
ip source-route
!
!
!
ip dhcp excluded-address 192.168.40.1 192.168.40.10
ip dhcp excluded-address 192.168.40.31 192.168.40.254
!
ip dhcp pool savsregion
   network 192.168.40.0 255.255.255.0
   dns-server 212.75.210.62
   domain-name savsregion
   default-router 192.168.40.1
!
!
ip cef
ip domain name k*.ru
ip name-server *
ip name-server *
no ipv6 cef
!
!
multilink bundle-name authenticated
vpdn enable
!
vpdn-group global
!
license udi pid CISCO881-K9 sn F-*B
license boot module c880-data level advipservices
!
!
object-group network NAT-CO-WWW
host 91.221.*.*
!
username ---admin privilege 15 secret 5 ---
!
!
!
!
!
!
crypto isakmp policy 5
encr aes 256
authentication pre-share
group 5
lifetime 14400
crypto isakmp key ** address 91.218.*.*
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 60
!
!
crypto ipsec transform-set * * * *
!
crypto map vpn_to_hq 10 ipsec-isakmp
set peer 91.218.*.*
set security-association lifetime seconds 14400
set transform-set *
match address vpn_to_hq
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description WAN$ETH-WAN$
ip address 95.181.*.* 255.255.255.252
ip nat outside
no ip virtual-reassembly in
duplex auto
speed auto
no cdp enable
crypto map vpn_to_hq
!
interface Vlan1
description LAN
ip address 192.168.40.1 255.255.255.0
ip nat inside
no ip virtual-reassembly in
!
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip nat inside source list NAT interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 95.181.53.89
!
ip access-list extended NAT
deny   ip 192.168.40.0 0.0.0.255 host 91.221.163.15
deny   ip 192.168.40.0 0.0.0.255 10.1.135.0 0.0.0.255
deny   ip 192.168.40.0 0.0.0.255 10.1.1.0 0.0.0.255
permit ip 192.168.40.0 0.0.0.255 any
ip access-list extended inside
permit tcp any any
ip access-list extended nat_lan_wan
deny   ip 192.168.40.0 0.0.0.255 10.1.135.0 0.0.0.255
permit ip 192.168.40.0 0.0.0.255 any
ip access-list extended outside
permit tcp any host 95.181.*.* eq www
permit tcp any host 95.181.*.* eq 22
permit tcp any host 95.181.*.* eq ftp
permit tcp any host 95.181.*.* eq telnet
permit icmp any host 95.181.*.*
ip access-list extended vpn_to_hq
permit ip 192.168.40.0 0.0.0.255 10.1.135.0 0.0.0.255
permit ip 192.168.40.0 0.0.0.255 10.1.1.0 0.0.0.255
permit ip 192.168.40.0 0.0.0.255 host 91.221.163.15
!
logging esm config
access-list 10 permit 192.168.40.0 0.0.0.255
access-list 111 permit ip host 192.168.40.28 host 91.221.163.15
access-list 111 permit ip host 192.168.40.28 host 10.1.135.77
dialer-list 1 protocol ip permit
no cdp run

!
!
!
!
!
end


"помогите засунуть один сайт в VPN"
Отправлено snooooop , 23-Июл-13 12:59 
не знаю как ответить с картинкой, рисунок схемы вот тут есть
https://supportforums.cisco.com/thread/2229794?tstart=0

"помогите засунуть один сайт в VPN"
Отправлено snooooop , 23-Июл-13 14:17 
VPN работает, но вот как запихать в него сайт не пойму, вроде всё разрешил, а толку нет



"помогите засунуть один сайт в VPN"
Отправлено McS555 , 23-Июл-13 16:16 

> в 1м офисе зареган IP для работы на сайте, просят пропустить все тачки 2го офиса через > > VPN что бы они для сервиса были с таким же IP...борюсь который день, не могу сделать.

Поправь меня

У тебя есть роутер. Внешний адрес 95.181.53.90. Шлюз 95.181.53.89. Локалка 192.168.40.0/24

Есть ASA к которой постороен vpn. Внешний адрес 95.181.*.* . Локалка 10.1.135.0/24.

Есть сайт с адресом 91.221.163.26 (или 91.221.163.15).

Так вот не совсем понятно с какого адреса разрешен доступ? С 95.181.*.* (WAN ASA)??


"помогите засунуть один сайт в VPN"
Отправлено snooooop , 24-Июл-13 05:55 
спасибо за общение!

На сайт разрешен доступ с IP ASA.
Соответственно, мне нужно, завернуть трафик из сети 192.168.40.0/24 в VPN чтоб у него соурс IP стал=WAN ASA..


"помогите засунуть один сайт в VPN"
Отправлено McS555 , 24-Июл-13 10:07 
> спасибо за общение!
> На сайт разрешен доступ с IP ASA.
> Соответственно, мне нужно, завернуть трафик из сети 192.168.40.0/24 в VPN чтоб у
> него соурс IP стал=WAN ASA..

Блин, надо подумать... Если б у тебя с двух сторон стоял роутер, то проблем не было. Был бы к примеру gre тунель, на которых настроен нат. У тебя сейчас как раз так и выходит, с роутера пакеты улетают, даже до сайта доходят, но вернувшись на ASA не знают куда идти дальше (на сколько я знаю, АSA не может не gre, не loopback , и даже была идея с pptp сервером, и то не умеет). Вообщем надо еще подумать


"помогите засунуть один сайт в VPN"
Отправлено snooooop , 25-Июл-13 06:10 
>[оверквотинг удален]
>> На сайт разрешен доступ с IP ASA.
>> Соответственно, мне нужно, завернуть трафик из сети 192.168.40.0/24 в VPN чтоб у
>> него соурс IP стал=WAN ASA..
> Блин, надо подумать... Если б у тебя с двух сторон стоял роутер,
> то проблем не было. Был бы к примеру gre тунель, на
> которых настроен нат. У тебя сейчас как раз так и выходит,
> с роутера пакеты улетают, даже до сайта доходят, но вернувшись на
> ASA не знают куда идти дальше (на сколько я знаю, АSA
> не может не gre, не loopback , и даже была идея
> с pptp сервером, и то не умеет). Вообщем надо еще подумать

я easyVPN настроил, в общем то же самое, локалку пингую, а сайт - нет.



"помогите засунуть один сайт в VPN"
Отправлено McS555 , 30-Июл-13 18:26 
>[оверквотинг удален]
>>> него соурс IP стал=WAN ASA..
>> Блин, надо подумать... Если б у тебя с двух сторон стоял роутер,
>> то проблем не было. Был бы к примеру gre тунель, на
>> которых настроен нат. У тебя сейчас как раз так и выходит,
>> с роутера пакеты улетают, даже до сайта доходят, но вернувшись на
>> ASA не знают куда идти дальше (на сколько я знаю, АSA
>> не может не gre, не loopback , и даже была идея
>> с pptp сервером, и то не умеет). Вообщем надо еще подумать
> я easyVPN настроил, в общем то же самое, локалку пингую, а сайт
> - нет.

если еще актуально получилось собрать схемку на gns

____________________________________________

ASA2# sh ver

Cisco Adaptive Security Appliance Software Version 8.0(2)

ISR#sh version
Cisco IOS Software, 2600 Software (C2691-ADVSECURITYK9-M), Version 12.3(11)T4, RELEASE SOFTWARE (fc4)

________________________________________________________


Со стороны маршрутера все ок. На ASA сделал нужную сайт с адресом 10,0,244,1

!
interface Ethernet0/0
nameif outside
security-level 0
ip address 10.0.248.14 255.255.255.252
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 172.18.9.1 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/5
shutdown
no nameif
no security-level
no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
same-security-traffic permit intra-interface
access-list WORK extended permit ip any any
access-list NONAT extended permit ip 172.18.9.0 255.255.255.0 172.18.10.0 255.255.255.0
access-list OUTSIDE_IN_ACL extended permit ip any any
access-list CRYPTO extended permit ip 172.18.9.0 255.255.255.0 172.18.10.0 255.255.255.0
access-list CRYPTO extended permit ip host 10.0.244.1 172.18.10.0 255.255.255.0
access-list NATPOOL extended permit ip 172.18.9.0 255.255.255.0 any
access-list 101 extended permit ip 172.18.10.0 255.255.255.0 host 10.0.244.1
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 12 interface
nat (inside) 0 access-list NONAT
nat (inside) 12 access-list NATPOOL
nat (outside) 12 access-list 101
access-group WORK in interface inside
access-group OUTSIDE_IN_ACL in interface outside
route outside 0.0.0.0 0.0.0.0 10.0.248.13 1
route outside 172.18.10.0 255.255.255.0 10.0.248.13 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set vpn-set esp-3des esp-md5-hmac
crypto map co-vpn 1 match address CRYPTO
crypto map co-vpn 1 set peer 10.0.248.2
crypto map co-vpn 1 set transform-set vpn-set
crypto map co-vpn interface outside
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 3600
crypto isakmp policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
!
username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 15
tunnel-group 10.0.248.2 type ipsec-l2l
tunnel-group 10.0.248.2 ipsec-attributes
pre-shared-key *

----------------------------------

ASA2# sh xlate
4 in use, 4 most used
PAT Global 10.0.248.14(1026) Local 172.18.10.2(58457)
PAT Global 10.0.248.14(10) Local 172.18.10.2 ICMP id 44551
PAT Global 10.0.248.14(1027) Local 172.18.9.2(56394)
PAT Global 10.0.248.14(11) Local 172.18.9.2 ICMP id 20487



"помогите засунуть один сайт в VPN"
Отправлено snooooop , 06-Авг-13 06:02 
>[оверквотинг удален]
> tunnel-group 10.0.248.2 type ipsec-l2l
> tunnel-group 10.0.248.2 ipsec-attributes
>  pre-shared-key *
> ----------------------------------
> ASA2# sh xlate
> 4 in use, 4 most used
> PAT Global 10.0.248.14(1026) Local 172.18.10.2(58457)
> PAT Global 10.0.248.14(10) Local 172.18.10.2 ICMP id 44551
> PAT Global 10.0.248.14(1027) Local 172.18.9.2(56394)
> PAT Global 10.0.248.14(11) Local 172.18.9.2 ICMP id 20487

приветствую!
да, актуальность есть.
буду пробовать.
спасибо!!
о результате отпишусь.


"помогите засунуть один сайт в VPN"
Отправлено McS555 , 19-Авг-13 10:04 
>[оверквотинг удален]
>> 4 in use, 4 most used
>> PAT Global 10.0.248.14(1026) Local 172.18.10.2(58457)
>> PAT Global 10.0.248.14(10) Local 172.18.10.2 ICMP id 44551
>> PAT Global 10.0.248.14(1027) Local 172.18.9.2(56394)
>> PAT Global 10.0.248.14(11) Local 172.18.9.2 ICMP id 20487
> приветствую!
> да, актуальность есть.
> буду пробовать.
> спасибо!!
> о результате отпишусь.

и как?