непонятки с одновременным доступом к сервису через впн и порт-маппинг, uzzzer, 22-Авг-07, 13:48 [смотреть все]cisco1811имеется сервер в центральном офисе, к нему требуется обеспечить доступ как по впн-каналам из других офисов, так и доступ по порту для разного рода пунктов для определенности в качестве сервиса возьмем терминал (rdp 3389) так вот при пробросе порта с внешнего ip на порт сервера во внутренней сети доступ по впн каналам обламывается. убираешь маппинг-работает, добавляешь - не работает кусочки лога (в данной конфигурации используются "кривые" порты, т.е. на внешнем интерфейсе исп 80, а транслируется на 3389, если прямые -- тоже самое) во всех акцес-листах на все дени стоит log, но дропов по моему поводу не наблюдаю external_ip -- мой внешний ip external_gw - ik.p 192.168.8.0 - сетка за циской1811 192.168.2.0 - сетка длинком804 IP NAT detailed debugging is on IP NAT PORT debugging is on IP NAT IPsec debugging is on ломлюсь на порт NAT*: o: tcp (vpn-end, 65421) -> (external_ip, 80) [43992] NAT*: TCP s=65421, d=80->3389 NAT*: s=vpn-end, d=external_ip->192.168.8.6 [43992] NAT*: i: tcp (192.168.8.6, 3389) -> (vpn-end, 65421) [22244] NAT*: TCP s=3389->80, d=65421 NAT*: s=192.168.8.6->external_ip, d=vpn-end [22244] NAT*: o: tcp (vpn-end, 65421) -> (external_ip, 80) [44007] ломлюсь на порт через впн NAT*: i: tcp (192.168.8.6, 3389) -> (192.168.2.2, 23089) [22388] NAT*: i: tcp (192.168.8.6, 3389) -> (192.168.2.2, 23089) [22388] NAT*: TCP s=3389->80, d=23089 NAT*: s=192.168.8.6->external_ip, d=192.168.2.2 [22388] NAT*: i: tcp (192.168.8.6, 3389) -> (192.168.2.2, 23089) [22390] NAT*: TCP s=3389->80, d=23089 NAT*: s=192.168.8.6->external_ip, d=192.168.2.2 [22390] собственно это все что есть показать акцес-лист: access-list 1 permit 192.168.8.0 0.0.0.255 access-list 100 deny ip external_gw 0.0.0.7 any access-list 100 deny ip host 255.255.255.255 any access-list 100 deny ip 127.0.0.0 0.255.255.255 any access-list 100 permit ip any any access-list 101 permit ip 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.8.0 0.0.0.255 access-list 101 permit udp host vpn-end host external_ip eq non500-isakmp access-list 101 permit udp host vpn-end host external_ip eq isakmp access-list 101 permit esp host vpn-end host external_ip access-list 101 permit ahp host vpn-end host external_ip access-list 101 permit udp host 212.44.130.6 eq domain host external_ip access-list 101 permit tcp any host external_ip eq www access-list 101 deny ip 192.168.8.0 0.0.0.255 any access-list 101 permit icmp any host external_ip echo-reply access-list 101 permit icmp any host external_ip time-exceeded access-list 101 permit icmp any host external_ip unreachable access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 127.0.0.0 0.255.255.255 any access-list 101 deny ip host 255.255.255.255 any access-list 101 deny ip host 0.0.0.0 any access-list 101 deny ip any any access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.8.0 0.0.0.255 access-list 102 deny ip 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 102 permit ip 192.168.8.0 0.0.0.255 any access-list 2000 permit ip 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 2000 permit ip 192.168.2.0 0.0.0.255 192.168.8.0 0.0.0.255 акцес-лист незатейливо сбацан СДМ-ом, приведен без ремарок куда рыть?
|
- непонятки с одновременным доступом к сервису через впн и пор..., AlexDv, 14:26 , 22-Авг-07 (1)
>[оверквотинг удален] >access-list 101 deny ip any any >access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.8.0 0.0.0.255 >access-list 102 deny ip 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255 >access-list 102 permit ip 192.168.8.0 0.0.0.255 any >access-list 2000 permit ip 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255 >access-list 2000 permit ip 192.168.2.0 0.0.0.255 192.168.8.0 0.0.0.255 > >акцес-лист незатейливо сбацан СДМ-ом, приведен без ремарок > >куда рыть? http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/produ... Смотрел?
- непонятки с одновременным доступом к сервису через впн и пор..., uzzzer, 15:19 , 22-Авг-07 (2)
посмотрел. это не то по-моему. в любом случае не работает (set nat demux)
- непонятки с одновременным доступом к сервису через впн и пор..., AlexDv, 15:22 , 22-Авг-07 (3)
>посмотрел. это не то по-моему. в любом случае не работает (set nat >demux) А по-моему самое оно :) Чтоб работало - там версии ИОС-а указаны.
- непонятки с одновременным доступом к сервису через впн и пор..., uzzzer, 16:29 , 22-Авг-07 (4)
12.3(11)T4 This feature was introduced. 12.4(1) This feature was integrated into Release 12.4(1). у меня 12.4(6)T3, иначе б и попробовать не удалосьв статье речь идет о клиентах, которые коннектятся виндовским ipsec к циске. а у меня просто ломятся по адрес:порт без vpn, ppp, pptp, вообще без всего. плюс до сервера к которому они ломятся проложены vpn-каналы (ipsec-site-to-site). так вот если на порт сервера сделан проброс порта с внешнего адреса, то клиенты, приходящие по впн-каналам сервиса не видят. причем как видно deny нигде нет. а еще что заметно, в логе нат отсутствуют пакеты от 192.168.2.2 к 192.168.8.6
- непонятки с одновременным доступом к сервису через впн и пор..., AlexDv, 16:47 , 22-Авг-07 (5)
>[оверквотинг удален] > >у меня 12.4(6)T3, иначе б и попробовать не удалось > >в статье речь идет о клиентах, которые коннектятся виндовским ipsec к циске. >а у меня просто ломятся по адрес:порт без vpn, ppp, pptp, >вообще без всего. плюс до сервера к которому они ломятся проложены >vpn-каналы (ipsec-site-to-site). так вот если на порт сервера сделан проброс порта >с внешнего адреса, то клиенты, приходящие по впн-каналам сервиса не видят. >причем как видно deny нигде нет. а еще что заметно, в >логе нат отсутствуют пакеты от 192.168.2.2 к 192.168.8.6 Это самое оно. У меня такое было - мейл-сервер за НАТ-ом и несколько IPSEC туннелей , один из которых теминировался на внешнем интерфейсе (где НАТ). Так вот из "внешнего" туннеля на мейл-сервер было не попасть.
- непонятки с одновременным доступом к сервису через впн и пор..., uzzzer, 23:00 , 22-Авг-07 (6)
ну не работает nat demux, писал жеможет статью не ту подсказал? в ней совсем не про то говориться: если из удаленной сети виндовским ipsec приконнектиться к циске, то второй клиент из той сети поломает связь nat demux близак по смыслу к NAt и PAT, там конфигурация совсем другая.
- непонятки с одновременным доступом к сервису через впн и пор..., AlexDv, 02:10 , 23-Авг-07 (7)
>ну не работает nat demux, писал же > >может статью не ту подсказал? в ней совсем не про то говориться: >если из удаленной сети виндовским ipsec приконнектиться к циске, то второй >клиент из той сети поломает связь > >nat demux близак по смыслу к NAt и PAT, там конфигурация совсем >другая. Note If you do not have IPSec enabled, or you do not have a NAT or PAT server, you can have multiple Windows clients connect to a LNS without this command enabled. Из этого я делаю вывод, что есть бага при одновременном NAT/PAT и IPSEC. Конкретный пример касается Win клиентов, у меня их не было, а два коннекта не работали. Я вышел из положения поменяв топологию, второй вариант - открывать кейс. У меня такой возможности нет, пришлось идти по первому варинту.
- непонятки с одновременным доступом к сервису через впн и пор..., uzzzer, 12:24 , 23-Авг-07 (8)
AlexDv, ну вот с этого надо было и начинать, что у тебя была такая же ситуация, статья тебе не помогла, несмотря на твои заключения, и лечение было в изменении топологиия сейчас сеть менять не могу. мне нужно решение и с нат и впн
- непонятки с одновременным доступом к сервису через впн и пор..., AlexDv, 10:45 , 24-Авг-07 (9)
>AlexDv, ну вот с этого надо было и начинать, что у тебя >была такая же ситуация, статья тебе не помогла, несмотря на твои >заключения, и лечение было в изменении топологии Я set nat demux не пробовал, мне было проще почту завернуть через другой сервер. > >я сейчас сеть менять не могу. мне нужно решение и с нат >и впн Ну если nat demux не помогает - тогда только и остается менять топологию. Crypto map перевесить или например на RDP-сервере добавить второй IP и ходить на него без NAT.
- непонятки с одновременным доступом к сервису через впн и пор..., uzzzer, 11:39 , 24-Авг-07 (10)
херушки вам а не топологию менять :) остается только читать http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...надо впн иcключать из ната ip nat inside source static tcp 192.168.5.6 1494 aaa.bbb.ccc.ddd 1494 route-map nonat extendable route-map nonat permit 10 match ip address 102
где АЦЛ 102 -- описавает впн: access-list 102 deny ip 192.168.5.0 0.0.0.255 192.168.4.0 0.0.0.255 access-list 102 deny ip 192.168.5.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 102 permit ip 192.168.5.0 0.0.0.255 any в статье для этого заводится специальный АЦЛ, но я его завел (150), а после перегрузки он сбросился, хотя match ip address 150 остался, потом подправил на match ip address 102 и все ОК а nat demux, хоть тебе и показался похожим, из другой оперы.
|