https://www.opennet.ru/openforum/vsluhforumID3/68654.html Имеем:<br><br>1 Маршрутизатор Cisco 5510 ASA с реальным IP 1.1.1.1 (сеть XXX.XXX.0.0/24)<br>2. Маршрутизатор Linux CentOS 5.2 (ядро 2.6.18-92.el5) с установленным ipsec-tools-0.6.5-13.el5_3.1 и реальным IP 2.2.2.2 (сеть XXX.XXX.0.0/16)<br><br>++ Конфигурация на маршрутизаторе Cisco:<br><br> crypto isakmp policy 5<br> encr aes<br> authentication pre-share<br> group 2<br> lifetime 3600<br> hash sha<br> !<br> crypto isakmp key SECRETKEY address 2.2.2.2<br> crypto ipsec security-association lifetime seconds 3600<br> crypto ipsec transform-set GK esp-aes esp-sha-hmac<br> crypto map IPSec 7 ipsec-isakmp<br> set peer 2.2.2.2<br> set transform-set GK<br> set pfs group2<br> match address 666<br> !<br> interface GigabitEthernet0/0.1<br> ip address 1.1.1.1 255.255.255.224<br> crypto map IPSec<br> !<br> ip route XXX.XXX.0.0 255.255.255.0 2.2.2.2<br> access-list 666 remark asGK<br> access-list 666 permit ip XXX.XXX.0.0 0.0.255.255 XXX.XXX.0.0 0.0.0.255<br> access-list 666 deny ip any any<br><br><br>++ Конфигурация на машине с Linux CentO https://www.opennet.ru/openforum/vsluhforumID3/68654.html#10 Wed, 11 Aug 2010 10:02:30 GMT Вот практически такая же проблема, когда из офиса1 в офис2, в тунель надо запихнуть больше чем одну сеть.<br>http://forums.avalon.ru/forum/topic.asp?TOPIC_ID=10023<br> https://www.opennet.ru/openforum/vsluhforumID3/68654.html#9 Wed, 14 Jul 2010 23:28:23 GMT &gt;Уй как многа букаф... <br><br>Да, мне многие, особенно при личном общении, говорили, что общаться можно и короче :) <br><br>&gt;Вообще говоря, в Cisco, если из одного интерфейса уходит IP Security и <br>&gt;NAT, в route-map, управляющий NAT'ом, необходимо вносить NAT Exemption. Иначе IPSec <br>&gt;Tunnel работать не будет. <br>&gt;<br>&gt;IMHO в любом другом IPSec Node необходимо делать то же самое. <br><br>Вносила исключения сотней разных способов(и по протоколу и по destination сети) для NAT, понятно, что-то делаю не так, но так и не заработало :(<br>Помогает только убрать NAT для source сети.<br><br>Если бы кто-то поделился рабочим примером, была бы благодарна.<br> https://www.opennet.ru/openforum/vsluhforumID3/68654.html#8 Wed, 14 Jul 2010 12:45:05 GMT на freebsd делал.<br>никаких граблей с натами.<br> https://www.opennet.ru/openforum/vsluhforumID3/68654.html#7 Mon, 12 Jul 2010 11:40:41 GMT Уй как многа букаф...<br><br>Вообще говоря, в Cisco, если из одного интерфейса уходит IP Security и NAT, в route-map, управляющий NAT'ом, необходимо вносить NAT Exemption. Иначе IPSec Tunnel работать не будет.<br><br>IMHO в любом другом IPSec Node необходимо делать то же самое.<br> https://www.opennet.ru/openforum/vsluhforumID3/68654.html#6 Fri, 09 Jul 2010 13:47:57 GMT В данном примере, как практичиский везде где я искал, тунель строится между двумя северами, за каждым из которых всего по одной сети. Настраивали похожую схему, но к циске был подключен еще один офис и присутсвовала необходимость прохождения трафика офис на линуксе(192.168.1.0/24) ---&gt; офис с циской(172.16.0.0/16) ---&gt; офис на линуксе(192.168.2.0/24).<br>Соответсвенно в racoon.conf присутсвовал "отбор" трафика для двух сетей 172.16.0.0 и для 192.168.2.0. Проблема заключалась в следущем:<br>Генерировался трафик из 192.168.1.0/24 в 172.16.0.0/16, тунель поднимался. Потом<br>генерировался трафик из 192.168.1.0/24 в 192.168.2.0/24, и ракун видя что трафик "его" начиинал строить тунель, но трафик не проходил. В логах появлялась ошибка что фаза2 закончилась неудачно, недождавшись фазы1.<br>Если остановить трафик в первую сеть, дождатся когда тунель ляжет по таймауту и организовать трафик во вторую сеть, то тунель нормально поднимается. То есть трафик мог ходить и в одну и во вторую сеть, но только не одновременно.<br>В случа https://www.opennet.ru/openforum/vsluhforumID3/68654.html#5 Fri, 09 Jul 2010 12:47:05 GMT &gt;&gt; Есть NAT для локальной сети? Если да, не могли бы показать правила? <br>&gt;<br>&gt;лучше вы покажите свои а вам укажут на их недостатки <br><br>"Классическая", судя по гуглю, грабля с совмещением, за одним IP, NAT и ipsec.<br><br>Когда убирается NAT, работает IPsec туннель (между двумя офисами, в другом тоже NAT)<br>Когда NAT возвращается, Ipsec больше не работает.<br><br><br>[root@XXX network-scripts]# cat ifcfg-ipsec1 <br>#IPSEC iface<br>DEVICE=ipsec1<br>TYPE=IPsec<br>IKE_METHOD=PSK<br>IKE_PSK=***<br><br>ONBOOT=no<br>SRCNET=10.XX.2.0/24<br>DSTNET=10.XX.3.0/24<br>DST=XX.XX.XX.XX<br>IPV6INIT=no<br><br>Где DST удаленный сервер с LAN 10.XX.3.0/24<br><br>[root@XXX network-scripts]# cat /etc/racoon/racoon.conf<br># Racoon IKE daemon configuration file.<br># See 'man racoon.conf' for a description of the format and entries.<br><br>path include "/etc/racoon";<br>path pre_shared_key "/etc/racoon/psk.txt";<br>path certificate "/etc/racoon/certs";<br><br>sainfo anonymous<br>{<br>pfs_group 2;<br>lifetime time 1 hour ;<br>encryption_algorithm 3des, blowfish 448, rijndael ;<br>authentication_algori https://www.opennet.ru/openforum/vsluhforumID3/68654.html#4 Fri, 09 Jul 2010 06:45:16 GMT Не так давно ставилась подобная задача, но нашлись более приоритетные...<br>До сих пор интересна рализация. Спосибо. По возможности применим.<br><br>Правда у нас немножко интересней: нужно чтоб оно паралельно работало с тунелем на ту же асу но установленным с циски. А циска эта находится в той же подсетке, что и центось. При чём что с наружи, что изнутри. <br>Когда я последний раз этим занимался - вбил настройки для Центоси в асу - лёг тунель на циску (полагаю там роутинги и аксес листы править надо).<br> https://www.opennet.ru/openforum/vsluhforumID3/68654.html#3 Fri, 09 Jul 2010 06:15:45 GMT Добрый день.. <br><br>НАТ есть!!!<br><br><br>-A POSTROUTING -o vlan115 -j jstNET<br>-A jstNET -s 2.2.2.X/255.255.255.248 -j RETURN<br>-A jstNET -s 2.2.2.2 -j RETURN<br>-A jstNET -s XXX.XXX.0.0/255.255.255.0 -j SNAT --to-source 2.2.2.2<br>-A jstNET -j DROP<br><br> https://www.opennet.ru/openforum/vsluhforumID3/68654.html#2 Thu, 08 Jul 2010 23:59:16 GMT &gt; Есть NAT для локальной сети? Если да, не могли бы показать правила? <br><br>лучше вы покажите свои а вам укажут на их недостатки<br>