форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

"Cisco + ipsec. При открытии порта он пропадает из туннеля."	+/–
Сообщение от ghool (ok) on 24-Апр-14, 16:33
Cisco 1841, раздаёт интернет + является одним из концов туннеля IPSec L2TP Site-to-Site VPN (на другом конце TMG2010) Проблема в том, что если я открываю порт для доступа из интернета: ip nat inside source static tcp 192.168.25.193 8080 interface FastEthernet0/0 8080 из через туннель к этому порту уже не подключиться. PS Есть ещё вторая проблема - не удаётся подключиться к 80-му порту в любом случае. Но в конфиге циски он вообще нигде не упоминается, так что я не уверен, что дело в ней - может это TMG2010 поганит жизнь. Конфиг вот: http://pastebin.com/60s2k6YF Пояснения к конфигу: 123.123.123.123 - IP-адрес "второго конца" VPN - того, где TMG 2010 456.456.456.456 - внешний IP-адрес на Cisco 456.456.456.1 - основной шлюз на Cisco 192.168.25.0 - внутренняя локальная сеть за Cisco 192.168.23.0 - внутренняя локальная сеть за TMG 2010
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Cisco + ipsec. При открытии порта он пропадает из туннеля."	+/–
Сообщение от ShyLion (ok) on 25-Апр-14, 06:51
> Конфиг вот: > http://pastebin.com/60s2k6YF В аксес-листе криптомапа должен быть описан только исходящий из локалки траффик И при чем тут L2TP ? > PS Есть ещё вторая проблема - не удаётся подключиться к 80-му порту в любом случае. > Но в конфиге циски он вообще нигде не упоминается, так что я не уверен, что дело в ней - > может это TMG2010 поганит жизнь. no ip http server
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Cisco + ipsec. При открытии порта он пропадает из туннеля."	+/–
Сообщение от ShyLion (ok) on 25-Апр-14, 06:54
> из через туннель к этому порту уже не подключиться. Ничего не понятно. Перефразируй, приведи конкретный пример. С каким адресом источника идет соединение? С каким адресом назначения? В какой интерфейс прилетает?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Cisco + ipsec. При открытии порта он пропадает из туннеля."	+/–
	Сообщение от ghool (ok) on 25-Апр-14, 09:08
	>> из через туннель к этому порту уже не подключиться. > Ничего не понятно. Перефразируй, приведи конкретный пример. С каким адресом источника идет > соединение? С каким адресом назначения? В какой интерфейс прилетает? Пардон, поясняю: Есть две локалки (192.168.23.0/24 и 192.168.25.0/24), соединённые site-to-site vpn. В одной из них (192.168.25.0/24) есть сервер (192.168.25.193:8080). К нему нужен доступ из обоих локалок и из интернета. Сервер доступен из обоих локалок. Но как только я публикую сервер в интернете, из локалки, которая ЗА VPN доступ пропадает. Публикую так: ip nat inside source static tcp 192.168.25.193 8080 interface FastEthernet0/0 8080 Вот картинка: http://www.gliffy.com/go/publish/5663592 PS На циске два провайдера, но используется только один, который fe0/0 456.46.456.456
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Cisco + ipsec. При открытии порта он пропадает из туннеля."	+/–
	Сообщение от ghool (ok) on 25-Апр-14, 17:25
	Пакет должен идти так: 192.168.23.2 (клиент) -> 192.168.23.1 (TMG2010 внутренний интерфейс) -> VPN-канал -> 192.168.25.1 (Cisco) -> 192.168.25.193:8080 (сервер) ловил пакеты Wireshark-ом и не поймал. То есть они до сервера и не доходят. Видать где-то циска их отфильтровывает.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	6. "Cisco + ipsec. При открытии порта он пропадает из туннеля."	+/–
	Сообщение от ShyLion (??) on 26-Апр-14, 15:43
	> Пакет должен идти так: > 192.168.23.2 (клиент) -> 192.168.23.1 (TMG2010 внутренний интерфейс) -> VPN-канал -> 192.168.25.1 > (Cisco) -> 192.168.25.193:8080 (сервер) > ловил пакеты Wireshark-ом и не поймал. > То есть они до сервера и не доходят. > Видать где-то циска их отфильтровывает. Sho ip nat trans | inc 8080 Во время когда пытаешься подключиться
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	5. "Cisco + ipsec. При открытии порта он пропадает из туннеля."	+/–
	Сообщение от ShyLion (??) on 26-Апр-14, 15:34
	>[оверквотинг удален] >> соединение? С каким адресом назначения? В какой интерфейс прилетает? > Пардон, поясняю: > Есть две локалки (192.168.23.0/24 и 192.168.25.0/24), соединённые site-to-site vpn. > В одной из них (192.168.25.0/24) есть сервер (192.168.25.193:8080). > К нему нужен доступ из обоих локалок и из интернета. > Сервер доступен из обоих локалок. > Но как только я публикую сервер в интернете, из локалки, которая ЗА > VPN доступ пропадает. > Публикую так: > ip nat inside source static tcp 192.168.25.193 8080 interface FastEthernet0/0 8080 Доступ к серверу пропадает по какому адресу?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	7. "Cisco + ipsec. При открытии порта он пропадает из туннеля."	+/–
	Сообщение от ghool (ok) on 26-Апр-14, 16:49
	> Доступ к серверу пропадает по какому адресу? По внутреннему, и только на этот опубликованные порты - например 192.168.25.193:8080
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "Cisco + ipsec. При открытии порта он пропадает из туннеля."	+/–
	Сообщение от ShyLion (??) on 27-Апр-14, 07:58
	>> Доступ к серверу пропадает по какому адресу? > По внутреннему, и только на этот опубликованные порты - например 192.168.25.193:8080 Проверь наличие трансляций. Скорее всего они там будут. Для предотвращения тебе к натам нужно будет привесить route-map, в котором исключается внутренний траффик.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	10. "Cisco + ipsec. При открытии порта он пропадает из туннеля."	+/–
	Сообщение от ShyLion (ok) on 28-Апр-14, 08:16
	>>> Доступ к серверу пропадает по какому адресу? >> По внутреннему, и только на этот опубликованные порты - например 192.168.25.193:8080 > Проверь наличие трансляций. Скорее всего они там будут. > Для предотвращения тебе к натам нужно будет привесить route-map, в котором исключается > внутренний траффик. Вот так (исправь на свой вариант): ip access-list extended NO-NAT deny   ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255 permit ip any any route-map RM_NO_NAT permit 10 match ip address NO-NAT ip nat inside source static tcp 10.x.x.x 22 y.y.y.y 22 route-map RM_NO_NAT extendable
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	11. "Cisco + ipsec. При открытии порта он пропадает из туннеля."	+/–
	Сообщение от ShyLion (ok) on 28-Апр-14, 08:22
	> ip nat inside source static tcp 10.x.x.x 22 y.y.y.y 22 route-map RM_NO_NAT > extendable а, блин, у тебя же interface там, route-map не даст указать...
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "Cisco + ipsec. При открытии порта он пропадает из туннеля."	+/–
	Сообщение от ShyLion (ok) on 28-Апр-14, 08:28
	Есть возможность взять дополнительно к линку еще IP?
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Cisco + ipsec. При открытии порта он пропадает из туннеля."	+/–
	Сообщение от tvorrrrojjjjok (ok) on 27-Апр-14, 21:23
	>[оверквотинг удален] > В одной из них (192.168.25.0/24) есть сервер (192.168.25.193:8080). > К нему нужен доступ из обоих локалок и из интернета. > Сервер доступен из обоих локалок. > Но как только я публикую сервер в интернете, из локалки, которая ЗА > VPN доступ пропадает. > Публикую так: > ip nat inside source static tcp 192.168.25.193 8080 interface FastEthernet0/0 8080 > Вот картинка: > http://www.gliffy.com/go/publish/5663592 > PS На циске два провайдера, но используется только один, который fe0/0 456.46.456.456 Не пробовал делать статический NAT с указанием белого адреса, а не интерфейса? ip nat inside source static tcp 192.168.25.193 8080 456.46.456.456 8080
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема