The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
nat и ipsec туннель, !*! alexkg, 18-Июл-13, 08:32  [смотреть все]
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key XXXXXXXXXXXXXXXXXXXXXXXXX address 1111111111111111111
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 10
crypto isakmp aggressive-mode disable
!
!
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
mode tunnel
crypto ipsec df-bit clear
!
!
!
crypto map MMMM 10 ipsec-isakmp
description MRV
set peer 11111111111111111111111
set transform-set 3DES-SHA
set pfs group2
match address 2198
reverse-route static
!
!
!
!
!
interface Loopback1
no ip address
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface FastEthernet4
ip address 22222222222222222 255.255.255.252
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
crypto map MMMM
crypto ipsec df-bit clear
!
interface Vlan1
ip address 10.255.98.1 255.255.255.0
ip nat inside
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source list for_pat interface FastEthernet4 overload

ip route 0.0.0.0 0.0.0.0 333333333333333333333333333

ip access-list extended for_pat
deny   ip 10.250.98.0 0.0.0.255 10.255.0.0 0.0.0.255
permit ip 10.255.98.0 0.0.0.255 any

access-list 2198 remark CCCC
access-list 2198 permit ip 10.255.98.0 0.0.0.255 10.255.0.0 0.0.0.255
!
!
control-plane
!
!
!
line con 0
no modem enable
line aux 0
line vty 0 4

privilege level 15
login local
transport input ssh
!
!
end

ZK#

не могу разобраться с аксес-листами, убираю нат, поднимается туннель, ставлю - пропадает.
подскажите где ошибка???  
нужно чтобы работал Nat и поднимался IPsec туннель.
10.255.0.0 0.0.0.255 - сеть на другой стороне тунеля

Ответить | Сообщить модератору
  • nat и ipsec туннель, !*! GolDi, 11:45 , 18-Июл-13 (1)
    >[оверквотинг удален]
    > interface Vlan1
    >  ip address 10.255.98.1 255.255.255.0
    >  ip nat inside
    > !
    > ip forward-protocol nd
    > no ip http server
    > no ip http secure-server
    > !
    > !
    > ip nat inside source list for_pat interface FastEthernet4 overload

    здесь надо объявлять NAT через route-map, где запретить натить трафик между внутренними адресами, а разрешить весь оставшийся трафик

    > ip route 0.0.0.0 0.0.0.0 333333333333333333333333333
    > ip access-list extended for_pat
    >  deny   ip 10.250.98.0 0.0.0.255 10.255.0.0 0.0.0.255
    >  permit ip 10.255.98.0 0.0.0.255 any
    > access-list 2198 remark CCCC
    > access-list 2198 permit ip 10.255.98.0 0.0.0.255 10.255.0.0 0.0.0.255

    здесь надо разрешать gre между внешними адресами, а не весь трафик между внутренними
    >[оверквотинг удален]
    >  login local
    >  transport input ssh
    > !
    > !
    > end
    > ZK#
    > не могу разобраться с аксес-листами, убираю нат, поднимается туннель, ставлю - пропадает.
    > подскажите где ошибка???
    > нужно чтобы работал Nat и поднимался IPsec туннель.
    > 10.255.0.0 0.0.0.255 - сеть на другой стороне тунеля

    Ответить | Сообщить модератору
    • nat и ipsec туннель, !*! GolDi, 11:59 , 18-Июл-13 (2)
      >[оверквотинг удален]
      > здесь надо объявлять NAT через route-map, где запретить натить трафик между внутренними
      > адресами, а разрешить весь оставшийся трафик
      >> ip route 0.0.0.0 0.0.0.0 333333333333333333333333333
      >> ip access-list extended for_pat
      >>  deny   ip 10.250.98.0 0.0.0.255 10.255.0.0 0.0.0.255
      >>  permit ip 10.255.98.0 0.0.0.255 any
      >> access-list 2198 remark CCCC
      >> access-list 2198 permit ip 10.255.98.0 0.0.0.255 10.255.0.0 0.0.0.255
      > здесь надо разрешать gre между внешними адресами, а не весь трафик между
      > внутренними

      стоп, у вас нет gre, поэтому оставляйте так как есть
      >[оверквотинг удален]
      >>  login local
      >>  transport input ssh
      >> !
      >> !
      >> end
      >> ZK#
      >> не могу разобраться с аксес-листами, убираю нат, поднимается туннель, ставлю - пропадает.
      >> подскажите где ошибка???
      >> нужно чтобы работал Nat и поднимался IPsec туннель.
      >> 10.255.0.0 0.0.0.255 - сеть на другой стороне тунеля

      Ответить | Сообщить модератору
    • nat и ipsec туннель, !*! ShyLion, 17:38 , 19-Июл-13 (3)
      >> ip nat inside source list for_pat interface FastEthernet4 overload
      > здесь надо объявлять NAT через route-map, где запретить натить трафик между внутренними
      > адресами, а разрешить весь оставшийся трафик
      >> ip route 0.0.0.0 0.0.0.0 333333333333333333333333333
      >> ip access-list extended for_pat
      >>  deny   ip 10.250.98.0 0.0.0.255 10.255.0.0 0.0.0.255
      >>  permit ip 10.255.98.0 0.0.0.255 any

      и без роутмапов все должно работать

      Ответить | Сообщить модератору
  • nat и ipsec туннель, !*! ShyLion, 17:41 , 19-Июл-13 (4)
    term mon
    debug crypto isakmp
    debug crypto ipsec
    Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру