forum.opennet.ru

Составление сообщения

Исходное сообщение

"Crypto map повесить на Loopback + Завернуть на него траффик"
Отправлено Pavel, 27-Сен-12 11:53

Здравствуйте.
Спасибо всем за советы! Разобрался. Тему можно закрыть.
Еще раз повторюсь, нужно было реализовать второй Cryptomap, и чтоб в нем использовался (YY.YY.YY.YY) - отличный от первого Cryptomap IP-адрес источника.
После более внимательного тестирования, оказалось, что самая первая схема, описанная в начале РАБОТАЕТ, и даже если NAT на этом же маршрутизаторе.
"вариант Crypto-Map на Loopback, и потом с помощью ip policy route-map REROUTE завернуть трафик через этот Loopback."
http://blog.rackrental.eu/2010/05/07/ipsec-site-to-site-vpn-.../
Только пару замечаний:
1) вместо "set interface Loopback3" использовать "set default interface Loopback3"
2) Если на этом же маршрутизаторе настроен еще и NAT (ip nat inside source), то заворачивать на Loopback3 нужно трафик до NAT.
А в IPSEC уже указывать NAT-IP. У меня с этим были сложности.
Вот такой конфиг, может быть кому пригодится..
crypto isakmp key TEST-IPSEC address XX.XX.XX.XX
crypto isakmp policy 20
encr aes 256
authentication pre-share
group 5
lifetime 28800
crypto ipsec transform-set AES256-SHA esp-aes 256 esp-sha-hmac
crypto map PI-IPSEC 1 ipsec-isakmp
description **TEST-IPSEC**
set peer XX.XX.XX.XX
set transform-set AES256-SHA
match address TEST-IPSEC
set security-association lifetime seconds 28800
ip access-l ex TEST-IPSEC
permit ip host <NAT-IP> host 10.4.0.7 (после NAT)
interface Loopback3
description **for IPSEC-PI**
ip address YY.YY.YY.YY 255.255.255.255
ip nat outside
ip policy route-map REROUTE
crypto map PI-IPSEC
------NAT-------
ip access-list extended XXXX
permit ip host 192.168.10.13 host 10.4.0.7
route-map XXXX permit 10
match ip address XXXX
ip nat inside source static 192.168.10.13 <NAT-IP> route-map XXXX extendable
------Reroute------
ip access-list extended REROUTE
permit ip host 192.168.10.13 host 10.4.0.7 (до NAT)
route-map REROUTE permit 6
description **for IPSEC-PI**
match ip address REROUTE
set default interface Loopback3
ip local policy route-map REROUTE

Исходное сообщение
"Crypto map повесить на Loopback + Завернуть на него траффик" Отправлено Pavel, 27-Сен-12 11:53
Здравствуйте. Спасибо всем за советы! Разобрался. Тему можно закрыть. Еще раз повторюсь, нужно было реализовать второй Cryptomap, и чтоб в нем использовался (YY.YY.YY.YY) - отличный от первого Cryptomap IP-адрес источника. После более внимательного тестирования, оказалось, что самая первая схема, описанная в начале РАБОТАЕТ, и даже если NAT на этом же маршрутизаторе. "вариант Crypto-Map на Loopback, и потом с помощью ip policy route-map REROUTE завернуть трафик через этот Loopback." http://blog.rackrental.eu/2010/05/07/ipsec-site-to-site-vpn-.../ Только пару замечаний: 1) вместо "set interface Loopback3" использовать "set default interface Loopback3" 2) Если на этом же маршрутизаторе настроен еще и NAT (ip nat inside source), то заворачивать на Loopback3 нужно трафик до NAT. А в IPSEC уже указывать NAT-IP. У меня с этим были сложности. Вот такой конфиг, может быть кому пригодится.. crypto isakmp key TEST-IPSEC address XX.XX.XX.XX crypto isakmp policy 20 encr aes 256 authentication pre-share group 5 lifetime 28800 crypto ipsec transform-set AES256-SHA esp-aes 256 esp-sha-hmac crypto map PI-IPSEC 1 ipsec-isakmp description TEST-IPSEC set peer XX.XX.XX.XX set transform-set AES256-SHA match address TEST-IPSEC set security-association lifetime seconds 28800 ip access-l ex TEST-IPSEC permit ip host <NAT-IP> host 10.4.0.7 (после NAT) interface Loopback3 description for IPSEC-PI ip address YY.YY.YY.YY 255.255.255.255 ip nat outside ip policy route-map REROUTE crypto map PI-IPSEC ------NAT------- ip access-list extended XXXX permit ip host 192.168.10.13 host 10.4.0.7 route-map XXXX permit 10 match ip address XXXX ip nat inside source static 192.168.10.13 <NAT-IP> route-map XXXX extendable ------Reroute------ ip access-list extended REROUTE permit ip host 192.168.10.13 host 10.4.0.7 (до NAT) route-map REROUTE permit 6 description for IPSEC-PI match ip address REROUTE set default interface Loopback3 ip local policy route-map REROUTE

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Здравствуйте. > Спасибо всем за советы! Разобрался. Тему можно закрыть. > Еще раз повторюсь, нужно было реализовать второй Cryptomap, и чтоб в нем > использовался (YY.YY.YY.YY) - отличный от первого Cryptomap IP-адрес источника. > После более внимательного тестирования, оказалось, что самая первая схема, описанная в > начале РАБОТАЕТ, и даже если NAT на этом же маршрутизаторе. > "вариант Crypto-Map на Loopback, и потом с помощью ip policy route-map REROUTE > завернуть трафик через этот Loopback." > http://blog.rackrental.eu/2010/05/07/ipsec-site-to-site-vpn-using-loopback-interfaces/ > Только пару замечаний: > 1) вместо "set interface Loopback3" использовать "set default interface Loopback3" > 2) Если на этом же маршрутизаторе настроен еще и NAT (ip nat > inside source), то заворачивать на Loopback3 нужно трафик до NAT. > А в IPSEC уже указывать NAT-IP. У меня с этим были сложности. > Вот такой конфиг, может быть кому пригодится.. > [code]crypto isakmp key TEST-IPSEC address XX.XX.XX.XX > crypto isakmp policy 20 > encr aes 256 > authentication pre-share > group 5 > lifetime 28800 > crypto ipsec transform-set AES256-SHA esp-aes 256 esp-sha-hmac > crypto map PI-IPSEC 1 ipsec-isakmp > description TEST-IPSEC > set peer XX.XX.XX.XX > set transform-set AES256-SHA > match address TEST-IPSEC > set security-association lifetime seconds 28800 > ip access-l ex TEST-IPSEC > permit ip host <NAT-IP> host 10.4.0.7 (после NAT) > interface Loopback3 > description for IPSEC-PI > ip address YY.YY.YY.YY 255.255.255.255 > ip nat outside > ip policy route-map REROUTE > crypto map PI-IPSEC > ------NAT------- > ip access-list extended XXXX > permit ip host 192.168.10.13 host 10.4.0.7 > route-map XXXX permit 10 > match ip address XXXX > ip nat inside source static 192.168.10.13 <NAT-IP> route-map XXXX extendable > ------Reroute------ > ip access-list extended REROUTE > permit ip host 192.168.10.13 host 10.4.0.7 (до NAT) > route-map REROUTE permit 6 > description for IPSEC-PI > match ip address REROUTE > set default interface Loopback3 > ip local policy route-map REROUTE[/code]
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру