forum.opennet.ru - "static nat + RA VPN" (3)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"static nat + RA VPN"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"static nat + RA VPN"
Сообщение от buzz_tuman (ok) on 26-Дек-06, 16:48
Ситауация такая: Есть маршрутизатор 2600. Есть статическая трансляция: interface FastEthernet0 ip address 100.1.1.1 255.255.255.0 ip nat outside crypto map cmap ! interface FastEthernet1 ip address 2.2.2.1 255.255.255.0 ip nat inside ! ip nat inside source static tcp 2.2.2.2 80 100.1.1.2 80 extendable Смысл ее в том, чтобы внутренний сервер 2.2.2.2 по порту 80 был виден под внешним адресом 100.1.1.2. В то же время есть удаленные пользователи, для которых на этом же маршрутизаторе настроен RA VPN (конфиг стандартный - не в этом суть). Эти пользователи также должны получать доступ к этому серверу по порту 80. В итоге VPN-пользователи доступ к этому серверу по 80 порту получить не могут. Получается следующее: - VPN-пользователь обращается к серверу по адресу 2.2.2.2; - пакет достигает сервера, сервер шлет ответ; - ответный пакет обрабатывается правилом; трансляции и его источник меняется на 100.1.1.2; - этот пакет приходит на VPN-клиент и отбрасывается им как не соответствующий заданной политике. Что делать? В какую сторону смотреть? Варианты которые не подходят: - поменять порт на сервере для VPN клиентов (или для внешних пользователей); - отказаться от VPN.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

static nat + RA VPN, asavenkov, 17:18 , 26-Дек-06, (1)

static nat + RA VPN, buzz_tuman, 17:41 , 26-Дек-06, (2)

static nat + RA VPN, asavenkov, 10:29 , 27-Дек-06, (3)

Сообщения по теме [Сортировка по времени, UBB]

1. "static nat + RA VPN"

Сообщение от asavenkov on 26-Дек-06, 17:18

>Ситауация такая:
>Есть маршрутизатор 2600.
>Есть статическая трансляция:
>interface FastEthernet0
>  ip address 100.1.1.1 255.255.255.0
>  ip nat outside
>  crypto map cmap
>!
>interface FastEthernet1
>  ip address 2.2.2.1 255.255.255.0
>  ip nat inside
>!
>ip nat inside source static tcp 2.2.2.2 80 100.1.1.2 80 extendable
>
>Смысл ее в том, чтобы внутренний сервер 2.2.2.2 по порту 80 был
>виден под внешним адресом 100.1.1.2.
>В то же время есть удаленные пользователи, для которых на этом же
>маршрутизаторе настроен RA VPN (конфиг стандартный - не в этом суть).
>Эти пользователи также должны получать доступ к этому серверу по порту
>80.
>В итоге VPN-пользователи доступ к этому серверу по 80 порту получить не
>могут.
>Получается следующее:
>- VPN-пользователь обращается к серверу по адресу 2.2.2.2;
>- пакет достигает сервера, сервер шлет ответ;
>- ответный пакет обрабатывается правилом; трансляции и его источник меняется на 100.1.1.2;
>
>- этот пакет приходит на VPN-клиент и отбрасывается им как не соответствующий
>заданной политике.
>Что делать? В какую сторону смотреть?
>Варианты которые не подходят:
>- поменять порт на сервере для VPN клиентов (или для внешних пользователей);
>
>- отказаться от VPN.

Функция NAT выполняется перед инкапсуляцией в IPSEC или туннель. Для того что бы запихивать этот трафик в туннель надо это прописать на удаленных точках.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "static nat + RA VPN"

Сообщение от buzz_tuman (ok) on 26-Дек-06, 17:41

>>Ситауация такая:
>>Есть маршрутизатор 2600.
>>Есть статическая трансляция:
>>interface FastEthernet0
>>  ip address 100.1.1.1 255.255.255.0
>>  ip nat outside
>>  crypto map cmap
>>!
>>interface FastEthernet1
>>  ip address 2.2.2.1 255.255.255.0
>>  ip nat inside
>>!
>>ip nat inside source static tcp 2.2.2.2 80 100.1.1.2 80 extendable
>>
>>Смысл ее в том, чтобы внутренний сервер 2.2.2.2 по порту 80 был
>>виден под внешним адресом 100.1.1.2.
>>В то же время есть удаленные пользователи, для которых на этом же
>>маршрутизаторе настроен RA VPN (конфиг стандартный - не в этом суть).
>>Эти пользователи также должны получать доступ к этому серверу по порту
>>80.
>>В итоге VPN-пользователи доступ к этому серверу по 80 порту получить не
>>могут.
>>Получается следующее:
>>- VPN-пользователь обращается к серверу по адресу 2.2.2.2;
>>- пакет достигает сервера, сервер шлет ответ;
>>- ответный пакет обрабатывается правилом; трансляции и его источник меняется на 100.1.1.2;
>>
>>- этот пакет приходит на VPN-клиент и отбрасывается им как не соответствующий
>>заданной политике.
>>Что делать? В какую сторону смотреть?
>>Варианты которые не подходят:
>>- поменять порт на сервере для VPN клиентов (или для внешних пользователей);
>>
>>- отказаться от VPN.
>
>
>Функция NAT выполняется перед инкапсуляцией в IPSEC или туннель. Для того что
>бы запихивать этот трафик в туннель надо это прописать на удаленных
>точках.
Поясните, если не сложно, на каких точках я это должен прописывать.
На удаленных точках сейчас пихается в туннель все, и это с учтом приведенной выше трансляции создает проблему когда я пытаюсь обратиться по VPN на 80-порт этого сервера.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "static nat + RA VPN"

Сообщение от asavenkov on 27-Дек-06, 10:29

>>>Ситауация такая:
>>>Есть маршрутизатор 2600.
>>>Есть статическая трансляция:
>>>interface FastEthernet0
>>>  ip address 100.1.1.1 255.255.255.0
>>>  ip nat outside
>>>  crypto map cmap
>>>!
>>>interface FastEthernet1
>>>  ip address 2.2.2.1 255.255.255.0
>>>  ip nat inside
>>>!
>>>ip nat inside source static tcp 2.2.2.2 80 100.1.1.2 80 extendable
>>>
>>>Смысл ее в том, чтобы внутренний сервер 2.2.2.2 по порту 80 был
>>>виден под внешним адресом 100.1.1.2.
>>>В то же время есть удаленные пользователи, для которых на этом же
>>>маршрутизаторе настроен RA VPN (конфиг стандартный - не в этом суть).
>>>Эти пользователи также должны получать доступ к этому серверу по порту
>>>80.
>>>В итоге VPN-пользователи доступ к этому серверу по 80 порту получить не
>>>могут.
>>>Получается следующее:
>>>- VPN-пользователь обращается к серверу по адресу 2.2.2.2;
>>>- пакет достигает сервера, сервер шлет ответ;
>>>- ответный пакет обрабатывается правилом; трансляции и его источник меняется на 100.1.1.2;
>>>
>>>- этот пакет приходит на VPN-клиент и отбрасывается им как не соответствующий
>>>заданной политике.
>>>Что делать? В какую сторону смотреть?
>>>Варианты которые не подходят:
>>>- поменять порт на сервере для VPN клиентов (или для внешних пользователей);
>>>
>>>- отказаться от VPN.
>>
>>
>>Функция NAT выполняется перед инкапсуляцией в IPSEC или туннель. Для того что
>>бы запихивать этот трафик в туннель надо это прописать на удаленных
>>точках.
>Поясните, если не сложно, на каких точках я это должен прописывать.
>На удаленных точках сейчас пихается в туннель все, и это с учтом
>приведенной выше трансляции создает проблему когда я пытаюсь обратиться по VPN
>на 80-порт этого сервера.
Т.к. весь трафик шифруется, то логичнее коннектиться к внешнему адресу сервера. Если ВПН статичны, то на роутере где НАТ и ВПН в АСЛ лист ВПНа надо добавить трафик от сервера до сетей доступных через ВПН. Примерно так для роутера с НАТом и ВПНом:
access list extention VNP
permint  ip LAN_M LAN_R
permint  tcp host Pub_Ser eq 80 LAN_R
Где
LAN_M - сеть за роутером с ВПН и НАТОМ
LAN_R - сеть удаленной площадки
Pub_Ser - публичный адрес серера

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "static nat + RA VPN"
Сообщение от asavenkov on 26-Дек-06, 17:18
>Ситауация такая: >Есть маршрутизатор 2600. >Есть статическая трансляция: >interface FastEthernet0 > ip address 100.1.1.1 255.255.255.0 > ip nat outside > crypto map cmap >! >interface FastEthernet1 > ip address 2.2.2.1 255.255.255.0 > ip nat inside >! >ip nat inside source static tcp 2.2.2.2 80 100.1.1.2 80 extendable > >Смысл ее в том, чтобы внутренний сервер 2.2.2.2 по порту 80 был >виден под внешним адресом 100.1.1.2. >В то же время есть удаленные пользователи, для которых на этом же >маршрутизаторе настроен RA VPN (конфиг стандартный - не в этом суть). >Эти пользователи также должны получать доступ к этому серверу по порту >80. >В итоге VPN-пользователи доступ к этому серверу по 80 порту получить не >могут. >Получается следующее: >- VPN-пользователь обращается к серверу по адресу 2.2.2.2; >- пакет достигает сервера, сервер шлет ответ; >- ответный пакет обрабатывается правилом; трансляции и его источник меняется на 100.1.1.2; > >- этот пакет приходит на VPN-клиент и отбрасывается им как не соответствующий >заданной политике. >Что делать? В какую сторону смотреть? >Варианты которые не подходят: >- поменять порт на сервере для VPN клиентов (или для внешних пользователей); > >- отказаться от VPN. Функция NAT выполняется перед инкапсуляцией в IPSEC или туннель. Для того что бы запихивать этот трафик в туннель надо это прописать на удаленных точках.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "static nat + RA VPN"
	Сообщение от buzz_tuman (ok) on 26-Дек-06, 17:41
	>>Ситауация такая: >>Есть маршрутизатор 2600. >>Есть статическая трансляция: >>interface FastEthernet0 >> ip address 100.1.1.1 255.255.255.0 >> ip nat outside >> crypto map cmap >>! >>interface FastEthernet1 >> ip address 2.2.2.1 255.255.255.0 >> ip nat inside >>! >>ip nat inside source static tcp 2.2.2.2 80 100.1.1.2 80 extendable >> >>Смысл ее в том, чтобы внутренний сервер 2.2.2.2 по порту 80 был >>виден под внешним адресом 100.1.1.2. >>В то же время есть удаленные пользователи, для которых на этом же >>маршрутизаторе настроен RA VPN (конфиг стандартный - не в этом суть). >>Эти пользователи также должны получать доступ к этому серверу по порту >>80. >>В итоге VPN-пользователи доступ к этому серверу по 80 порту получить не >>могут. >>Получается следующее: >>- VPN-пользователь обращается к серверу по адресу 2.2.2.2; >>- пакет достигает сервера, сервер шлет ответ; >>- ответный пакет обрабатывается правилом; трансляции и его источник меняется на 100.1.1.2; >> >>- этот пакет приходит на VPN-клиент и отбрасывается им как не соответствующий >>заданной политике. >>Что делать? В какую сторону смотреть? >>Варианты которые не подходят: >>- поменять порт на сервере для VPN клиентов (или для внешних пользователей); >> >>- отказаться от VPN. > > >Функция NAT выполняется перед инкапсуляцией в IPSEC или туннель. Для того что >бы запихивать этот трафик в туннель надо это прописать на удаленных >точках. Поясните, если не сложно, на каких точках я это должен прописывать. На удаленных точках сейчас пихается в туннель все, и это с учтом приведенной выше трансляции создает проблему когда я пытаюсь обратиться по VPN на 80-порт этого сервера.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "static nat + RA VPN"
	Сообщение от asavenkov on 27-Дек-06, 10:29
	>>>Ситауация такая: >>>Есть маршрутизатор 2600. >>>Есть статическая трансляция: >>>interface FastEthernet0 >>> ip address 100.1.1.1 255.255.255.0 >>> ip nat outside >>> crypto map cmap >>>! >>>interface FastEthernet1 >>> ip address 2.2.2.1 255.255.255.0 >>> ip nat inside >>>! >>>ip nat inside source static tcp 2.2.2.2 80 100.1.1.2 80 extendable >>> >>>Смысл ее в том, чтобы внутренний сервер 2.2.2.2 по порту 80 был >>>виден под внешним адресом 100.1.1.2. >>>В то же время есть удаленные пользователи, для которых на этом же >>>маршрутизаторе настроен RA VPN (конфиг стандартный - не в этом суть). >>>Эти пользователи также должны получать доступ к этому серверу по порту >>>80. >>>В итоге VPN-пользователи доступ к этому серверу по 80 порту получить не >>>могут. >>>Получается следующее: >>>- VPN-пользователь обращается к серверу по адресу 2.2.2.2; >>>- пакет достигает сервера, сервер шлет ответ; >>>- ответный пакет обрабатывается правилом; трансляции и его источник меняется на 100.1.1.2; >>> >>>- этот пакет приходит на VPN-клиент и отбрасывается им как не соответствующий >>>заданной политике. >>>Что делать? В какую сторону смотреть? >>>Варианты которые не подходят: >>>- поменять порт на сервере для VPN клиентов (или для внешних пользователей); >>> >>>- отказаться от VPN. >> >> >>Функция NAT выполняется перед инкапсуляцией в IPSEC или туннель. Для того что >>бы запихивать этот трафик в туннель надо это прописать на удаленных >>точках. >Поясните, если не сложно, на каких точках я это должен прописывать. >На удаленных точках сейчас пихается в туннель все, и это с учтом >приведенной выше трансляции создает проблему когда я пытаюсь обратиться по VPN >на 80-порт этого сервера. Т.к. весь трафик шифруется, то логичнее коннектиться к внешнему адресу сервера. Если ВПН статичны, то на роутере где НАТ и ВПН в АСЛ лист ВПНа надо добавить трафик от сервера до сетей доступных через ВПН. Примерно так для роутера с НАТом и ВПНом: access list extention VNP permint ip LAN_M LAN_R permint tcp host Pub_Ser eq 80 LAN_R Где LAN_M - сеть за роутером с ВПН и НАТОМ LAN_R - сеть удаленной площадки Pub_Ser - публичный адрес серера
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]