The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"static nat + RA VPN"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"static nat + RA VPN"  
Сообщение от buzz_tuman email(ok) on 26-Дек-06, 16:48 
Ситауация такая:
Есть маршрутизатор 2600.
Есть статическая трансляция:
interface FastEthernet0
  ip address 100.1.1.1 255.255.255.0
  ip nat outside
  crypto map cmap
!
interface FastEthernet1
  ip address 2.2.2.1 255.255.255.0
  ip nat inside
!
ip nat inside source static tcp 2.2.2.2 80 100.1.1.2 80 extendable

Смысл ее в том, чтобы внутренний сервер 2.2.2.2 по порту 80 был виден под внешним адресом 100.1.1.2.
В то же время есть удаленные пользователи, для которых на этом же маршрутизаторе настроен RA VPN (конфиг стандартный - не в этом суть). Эти пользователи также должны получать доступ к этому серверу по порту 80.
В итоге VPN-пользователи доступ к этому серверу по 80 порту получить не могут.
Получается следующее:
- VPN-пользователь обращается к серверу по адресу 2.2.2.2;
- пакет достигает сервера, сервер шлет ответ;
- ответный пакет обрабатывается правилом; трансляции и его источник меняется на 100.1.1.2;
- этот пакет приходит на VPN-клиент и отбрасывается им как не соответствующий заданной политике.
Что делать? В какую сторону смотреть?
Варианты которые не подходят:
- поменять порт на сервере для VPN клиентов (или для внешних пользователей);
- отказаться от VPN.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "static nat + RA VPN"  
Сообщение от asavenkov on 26-Дек-06, 17:18 
>Ситауация такая:
>Есть маршрутизатор 2600.
>Есть статическая трансляция:
>interface FastEthernet0
>  ip address 100.1.1.1 255.255.255.0
>  ip nat outside
>  crypto map cmap
>!
>interface FastEthernet1
>  ip address 2.2.2.1 255.255.255.0
>  ip nat inside
>!
>ip nat inside source static tcp 2.2.2.2 80 100.1.1.2 80 extendable
>
>Смысл ее в том, чтобы внутренний сервер 2.2.2.2 по порту 80 был
>виден под внешним адресом 100.1.1.2.
>В то же время есть удаленные пользователи, для которых на этом же
>маршрутизаторе настроен RA VPN (конфиг стандартный - не в этом суть).
>Эти пользователи также должны получать доступ к этому серверу по порту
>80.
>В итоге VPN-пользователи доступ к этому серверу по 80 порту получить не
>могут.
>Получается следующее:
>- VPN-пользователь обращается к серверу по адресу 2.2.2.2;
>- пакет достигает сервера, сервер шлет ответ;
>- ответный пакет обрабатывается правилом; трансляции и его источник меняется на 100.1.1.2;
>
>- этот пакет приходит на VPN-клиент и отбрасывается им как не соответствующий
>заданной политике.
>Что делать? В какую сторону смотреть?
>Варианты которые не подходят:
>- поменять порт на сервере для VPN клиентов (или для внешних пользователей);
>
>- отказаться от VPN.


Функция NAT выполняется перед инкапсуляцией в IPSEC или туннель. Для того что бы запихивать этот трафик в туннель надо это прописать на удаленных точках.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "static nat + RA VPN"  
Сообщение от buzz_tuman email(ok) on 26-Дек-06, 17:41 
>>Ситауация такая:
>>Есть маршрутизатор 2600.
>>Есть статическая трансляция:
>>interface FastEthernet0
>>  ip address 100.1.1.1 255.255.255.0
>>  ip nat outside
>>  crypto map cmap
>>!
>>interface FastEthernet1
>>  ip address 2.2.2.1 255.255.255.0
>>  ip nat inside
>>!
>>ip nat inside source static tcp 2.2.2.2 80 100.1.1.2 80 extendable
>>
>>Смысл ее в том, чтобы внутренний сервер 2.2.2.2 по порту 80 был
>>виден под внешним адресом 100.1.1.2.
>>В то же время есть удаленные пользователи, для которых на этом же
>>маршрутизаторе настроен RA VPN (конфиг стандартный - не в этом суть).
>>Эти пользователи также должны получать доступ к этому серверу по порту
>>80.
>>В итоге VPN-пользователи доступ к этому серверу по 80 порту получить не
>>могут.
>>Получается следующее:
>>- VPN-пользователь обращается к серверу по адресу 2.2.2.2;
>>- пакет достигает сервера, сервер шлет ответ;
>>- ответный пакет обрабатывается правилом; трансляции и его источник меняется на 100.1.1.2;
>>
>>- этот пакет приходит на VPN-клиент и отбрасывается им как не соответствующий
>>заданной политике.
>>Что делать? В какую сторону смотреть?
>>Варианты которые не подходят:
>>- поменять порт на сервере для VPN клиентов (или для внешних пользователей);
>>
>>- отказаться от VPN.
>
>
>Функция NAT выполняется перед инкапсуляцией в IPSEC или туннель. Для того что
>бы запихивать этот трафик в туннель надо это прописать на удаленных
>точках.
Поясните, если не сложно, на каких точках я это должен прописывать.
На удаленных точках сейчас пихается в туннель все, и это с учтом приведенной выше трансляции создает проблему когда я пытаюсь обратиться по VPN на 80-порт этого сервера.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "static nat + RA VPN"  
Сообщение от asavenkov on 27-Дек-06, 10:29 
>>>Ситауация такая:
>>>Есть маршрутизатор 2600.
>>>Есть статическая трансляция:
>>>interface FastEthernet0
>>>  ip address 100.1.1.1 255.255.255.0
>>>  ip nat outside
>>>  crypto map cmap
>>>!
>>>interface FastEthernet1
>>>  ip address 2.2.2.1 255.255.255.0
>>>  ip nat inside
>>>!
>>>ip nat inside source static tcp 2.2.2.2 80 100.1.1.2 80 extendable
>>>
>>>Смысл ее в том, чтобы внутренний сервер 2.2.2.2 по порту 80 был
>>>виден под внешним адресом 100.1.1.2.
>>>В то же время есть удаленные пользователи, для которых на этом же
>>>маршрутизаторе настроен RA VPN (конфиг стандартный - не в этом суть).
>>>Эти пользователи также должны получать доступ к этому серверу по порту
>>>80.
>>>В итоге VPN-пользователи доступ к этому серверу по 80 порту получить не
>>>могут.
>>>Получается следующее:
>>>- VPN-пользователь обращается к серверу по адресу 2.2.2.2;
>>>- пакет достигает сервера, сервер шлет ответ;
>>>- ответный пакет обрабатывается правилом; трансляции и его источник меняется на 100.1.1.2;
>>>
>>>- этот пакет приходит на VPN-клиент и отбрасывается им как не соответствующий
>>>заданной политике.
>>>Что делать? В какую сторону смотреть?
>>>Варианты которые не подходят:
>>>- поменять порт на сервере для VPN клиентов (или для внешних пользователей);
>>>
>>>- отказаться от VPN.
>>
>>
>>Функция NAT выполняется перед инкапсуляцией в IPSEC или туннель. Для того что
>>бы запихивать этот трафик в туннель надо это прописать на удаленных
>>точках.
>Поясните, если не сложно, на каких точках я это должен прописывать.
>На удаленных точках сейчас пихается в туннель все, и это с учтом
>приведенной выше трансляции создает проблему когда я пытаюсь обратиться по VPN
>на 80-порт этого сервера.

Т.к. весь трафик шифруется, то логичнее коннектиться к внешнему адресу сервера. Если ВПН статичны, то на роутере где НАТ и ВПН в АСЛ лист ВПНа надо добавить трафик от сервера до сетей доступных через ВПН. Примерно так для роутера с НАТом и ВПНом:
access list extention VNP
permint  ip LAN_M LAN_R
permint  tcp host Pub_Ser eq 80 LAN_R

Где
LAN_M - сеть за роутером с ВПН и НАТОМ
LAN_R - сеть удаленной площадки
Pub_Ser - публичный адрес серера

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру