The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Cisco + ipsec. При открытии порта он пропадает из туннеля."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"Cisco + ipsec. При открытии порта он пропадает из туннеля."  +/
Сообщение от ghool email(ok) on 24-Апр-14, 16:33 
Cisco 1841, раздаёт интернет + является одним из концов туннеля IPSec L2TP Site-to-Site VPN
(на другом конце TMG2010)

Проблема в том, что если я открываю порт для доступа из интернета:
ip nat inside source static tcp 192.168.25.193 8080 interface FastEthernet0/0 8080

из через туннель к этому порту уже не подключиться.


PS Есть ещё вторая проблема - не удаётся подключиться к 80-му порту в любом случае.
Но в конфиге циски он вообще нигде не упоминается, так что я не уверен, что дело в ней - может это TMG2010 поганит жизнь.

Конфиг вот:
http://pastebin.com/60s2k6YF

Пояснения к конфигу:
123.123.123.123 - IP-адрес "второго конца" VPN - того, где TMG 2010

456.456.456.456 - внешний IP-адрес на Cisco
456.456.456.1 - основной шлюз на Cisco


192.168.25.0 - внутренняя локальная сеть за Cisco

192.168.23.0 - внутренняя локальная сеть за TMG 2010

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco + ipsec. При открытии порта он пропадает из туннеля."  +/
Сообщение от ShyLion (ok) on 25-Апр-14, 06:51 
> Конфиг вот:
> http://pastebin.com/60s2k6YF

В аксес-листе криптомапа должен быть описан только исходящий из локалки траффик

И при чем тут L2TP ?

> PS Есть ещё вторая проблема - не удаётся подключиться к 80-му порту в любом случае.
> Но в конфиге циски он вообще нигде не упоминается, так что я не уверен, что дело в ней - > может это TMG2010 поганит жизнь.

no ip http server


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Cisco + ipsec. При открытии порта он пропадает из туннеля."  +/
Сообщение от ShyLion (ok) on 25-Апр-14, 06:54 
> из через туннель к этому порту уже не подключиться.

Ничего не понятно. Перефразируй, приведи конкретный пример. С каким адресом источника идет соединение? С каким адресом назначения? В какой интерфейс прилетает?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Cisco + ipsec. При открытии порта он пропадает из туннеля."  +/
Сообщение от ghool (ok) on 25-Апр-14, 09:08 
>> из через туннель к этому порту уже не подключиться.
> Ничего не понятно. Перефразируй, приведи конкретный пример. С каким адресом источника идет
> соединение? С каким адресом назначения? В какой интерфейс прилетает?

Пардон, поясняю:
Есть две локалки (192.168.23.0/24 и 192.168.25.0/24), соединённые site-to-site vpn.

В одной из них (192.168.25.0/24) есть сервер (192.168.25.193:8080).
К нему нужен доступ из обоих локалок и из интернета.

Сервер доступен из обоих локалок.
Но как только я публикую сервер в интернете, из локалки, которая ЗА VPN доступ пропадает.
Публикую так:
ip nat inside source static tcp 192.168.25.193 8080 interface FastEthernet0/0 8080


Вот картинка:
http://www.gliffy.com/go/publish/5663592

PS На циске два провайдера, но используется только один, который fe0/0 456.46.456.456

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Cisco + ipsec. При открытии порта он пропадает из туннеля."  +/
Сообщение от ghool (ok) on 25-Апр-14, 17:25 
Пакет должен идти так:
192.168.23.2 (клиент) -> 192.168.23.1 (TMG2010 внутренний интерфейс) -> VPN-канал -> 192.168.25.1 (Cisco) -> 192.168.25.193:8080 (сервер)
ловил пакеты Wireshark-ом и не поймал.
То есть они до сервера и не доходят.
Видать где-то циска их отфильтровывает.


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Cisco + ipsec. При открытии порта он пропадает из туннеля."  +/
Сообщение от ShyLion (??) on 26-Апр-14, 15:43 
> Пакет должен идти так:
> 192.168.23.2 (клиент) -> 192.168.23.1 (TMG2010 внутренний интерфейс) -> VPN-канал -> 192.168.25.1
> (Cisco) -> 192.168.25.193:8080 (сервер)
> ловил пакеты Wireshark-ом и не поймал.
> То есть они до сервера и не доходят.
> Видать где-то циска их отфильтровывает.

Sho ip nat trans | inc 8080
Во время когда пытаешься подключиться

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Cisco + ipsec. При открытии порта он пропадает из туннеля."  +/
Сообщение от ShyLion (??) on 26-Апр-14, 15:34 
>[оверквотинг удален]
>> соединение? С каким адресом назначения? В какой интерфейс прилетает?
> Пардон, поясняю:
> Есть две локалки (192.168.23.0/24 и 192.168.25.0/24), соединённые site-to-site vpn.
> В одной из них (192.168.25.0/24) есть сервер (192.168.25.193:8080).
> К нему нужен доступ из обоих локалок и из интернета.
> Сервер доступен из обоих локалок.
> Но как только я публикую сервер в интернете, из локалки, которая ЗА
> VPN доступ пропадает.
> Публикую так:
> ip nat inside source static tcp 192.168.25.193 8080 interface FastEthernet0/0 8080

Доступ к серверу пропадает по какому адресу?


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Cisco + ipsec. При открытии порта он пропадает из туннеля."  +/
Сообщение от ghool email(ok) on 26-Апр-14, 16:49 
> Доступ к серверу пропадает по какому адресу?

По внутреннему, и только на этот опубликованные порты - например 192.168.25.193:8080

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Cisco + ipsec. При открытии порта он пропадает из туннеля."  +/
Сообщение от ShyLion (??) on 27-Апр-14, 07:58 
>> Доступ к серверу пропадает по какому адресу?
> По внутреннему, и только на этот опубликованные порты - например 192.168.25.193:8080

Проверь наличие трансляций. Скорее всего они там будут.
Для предотвращения тебе к натам нужно будет привесить route-map, в котором исключается внутренний траффик.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Cisco + ipsec. При открытии порта он пропадает из туннеля."  +/
Сообщение от ShyLion (ok) on 28-Апр-14, 08:16 
>>> Доступ к серверу пропадает по какому адресу?
>> По внутреннему, и только на этот опубликованные порты - например 192.168.25.193:8080
> Проверь наличие трансляций. Скорее всего они там будут.
> Для предотвращения тебе к натам нужно будет привесить route-map, в котором исключается
> внутренний траффик.

Вот так (исправь на свой вариант):

ip access-list extended NO-NAT
deny   ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255
permit ip any any

route-map RM_NO_NAT permit 10
match ip address NO-NAT

ip nat inside source static tcp 10.x.x.x 22 y.y.y.y 22 route-map RM_NO_NAT extendable

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Cisco + ipsec. При открытии порта он пропадает из туннеля."  +/
Сообщение от ShyLion (ok) on 28-Апр-14, 08:22 
> ip nat inside source static tcp 10.x.x.x 22 y.y.y.y 22 route-map RM_NO_NAT
> extendable

а, блин, у тебя же interface там, route-map не даст указать...

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Cisco + ipsec. При открытии порта он пропадает из туннеля."  +/
Сообщение от ShyLion (ok) on 28-Апр-14, 08:28 
Есть возможность взять дополнительно к линку еще IP?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Cisco + ipsec. При открытии порта он пропадает из туннеля."  +/
Сообщение от tvorrrrojjjjok (ok) on 27-Апр-14, 21:23 
>[оверквотинг удален]
> В одной из них (192.168.25.0/24) есть сервер (192.168.25.193:8080).
> К нему нужен доступ из обоих локалок и из интернета.
> Сервер доступен из обоих локалок.
> Но как только я публикую сервер в интернете, из локалки, которая ЗА
> VPN доступ пропадает.
> Публикую так:
> ip nat inside source static tcp 192.168.25.193 8080 interface FastEthernet0/0 8080
> Вот картинка:
> http://www.gliffy.com/go/publish/5663592
> PS На циске два провайдера, но используется только один, который fe0/0 456.46.456.456

Не пробовал делать статический NAT с указанием белого адреса, а не интерфейса?
ip nat inside source static tcp 192.168.25.193 8080 456.46.456.456 8080


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру