forum.opennet.ru - "IPSec на loopback + nat на loopback." (19)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"IPSec на loopback + nat на loopback."

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"IPSec на loopback + nat на loopback."	+/–
Сообщение от firstuser (ok) on 18-Фев-15, 15:01
Добрый день. Необходимо дать доступ к серверу (ssh) через ipsec соединение. Сервер: 192.168.20.4/24. маршрут на 192.168.1.1 настроен через 192.168.20.5 C2800: Белый адрес(l2tp на провайдера) - 55.55.55.55 FE0/0 (в сторону сервера) - 192.168.20.5 Loopback 0 (используется как local ident) 192.168.1.1 ping 192.168.20.4 source 192.168.1.1 - успешен На той стороне ipsec Freebsd: Белый адрес: 77.77.77.77 Адреса клиентов в туннеле 192.168.200.0/24 ---- Как настроить NAT при обращении к 192.168.1.1 из 192.168.200.0/24 попадать на 192.168.20.4 Пробую сделать так, безуспешно: ! version 12.4 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname ipsec ! boot-start-marker boot-end-marker ! ! no aaa new-model clock timezone MSK 3 no ip source-route ip cef ! ! ! ! ip vrf pppvrf description vrf for ppp rd 1:1 ! no ip bootp server ip name-server 8.8.8.8 ip auth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3 l2tp-class default-l2tp-class receive-window 512 ! l2tp-class provider receive-window 512 ! ! ! voice-card 0 ! ! ! ! ! ! ! ! ! ! ! ! crypto pki token default removal timeout 0 ! ! archive log config hidekeys ! ! ip tcp synwait-time 10 pseudowire-class pw-provider encapsulation l2tpv2 protocol l2tpv2 provider ip local interface FastEthernet0/1 ! pseudowire-class tp.provider.ru ! Incomplete config ! ! ! crypto isakmp policy 110 encr 3des authentication pre-share group 2 lifetime 3600 crypto isakmp key password address 77.77.77.77 crypto isakmp invalid-spi-recovery crypto isakmp keepalive 10 periodic crypto isakmp aggressive-mode disable ! ! crypto ipsec transform-set SET esp-3des esp-sha-hmac ! crypto map AP 10 ipsec-isakmp set peer 77.77.77.77 set transform-set SET set pfs group2 match address 101 ! ! ! ! interface Loopback0 ip address 192.168.1.1 255.255.255.0 ip access-group dostup in ip access-group dostup out ip nat outside ip virtual-reassembly ! interface FastEthernet0/0 description server ip address 192.168.20.5 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly duplex auto speed auto no mop enabled ! interface FastEthernet0/1 description ISP_provider ip address dhcp ip access-group dostup in ip access-group dostup out load-interval 30 duplex auto speed auto ! interface Virtual-PPP1 ip address negotiated ip access-group dostup in ip access-group dostup out no ip proxy-arp ip mtu 1400 ip nat outside ip virtual-reassembly no peer neighbor-route no cdp enable ppp encrypt mppe auto ppp authentication chap callin ppp chap hostname usernameprovider ppp chap password 7 1446405858517C7C7C7122 pseudowire 99.99.99.2 10 pw-class pw-provider crypto map AP ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 Virtual-PPP1 ip route 8.8.8.8 255.255.255.255 Virtual-PPP1 ip route 10.0.0.0 255.0.0.0 FastEthernet0/1 ip route 99.99.99.2 255.255.255.255 10.97.48.1 ! ! no ip http server no ip http secure-server ip nat inside source static tcp 192.168.20.4 22 192.168.1.1 22 extendable ! ip access-list extended dostup deny udp any any eq snmp deny tcp any any eq telnet permit udp any any eq domain permit udp any eq domain any permit ip any any permit udp host 77.77.77.77 host 55.55.55.55 eq isakmp permit esp host 77.77.77.77 host 55.55.55.55 permit udp host 77.77.77.77 host 55.55.55.55 eq non500-isakmp permit ahp host 77.77.77.77 host 55.55.55.55 ! access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.200.0 0.0.0.255 ! ! ! control-plane ! ! ! ! ! ! ! ! ! line con 0 logging synchronous line aux 0 line vty 0 4 login transport input none line vty 5 15 login transport input none ! scheduler allocate 20000 1000 end ping 192.168.200.201 не проходит ping 192.168.200.201 source 192.168.1.1 успешно
Ответить \| Правка \| Cообщить модератору

Оглавление

IPSec на loopback + nat на loopback., ShyLion, 15:27 , 18-Фев-15, (1)

IPSec на loopback + nat на loopback., firstuser, 15:43 , 18-Фев-15, (2)

IPSec на loopback + nat на loopback., Andrey, 16:04 , 18-Фев-15, (3)

IPSec на loopback + nat на loopback., firstuser, 16:12 , 18-Фев-15, (4)

IPSec на loopback + nat на loopback., Andrey, 21:35 , 18-Фев-15, (5)

IPSec на loopback + nat на loopback., firstuser, 09:55 , 19-Фев-15, (8)

IPSec на loopback + nat на loopback., firstuser, 12:40 , 19-Фев-15, (9)

IPSec на loopback + nat на loopback., Andrey, 14:50 , 19-Фев-15, (10)

IPSec на loopback + nat на loopback., firstuser, 16:43 , 19-Фев-15, (12)

IPSec на loopback + nat на loopback., ShyLion, 06:53 , 19-Фев-15, (6)

IPSec на loopback + nat на loopback., firstuser, 09:33 , 19-Фев-15, (7)

IPSec на loopback + nat на loopback., ShyLion, 16:38 , 19-Фев-15, (11)

IPSec на loopback + nat на loopback., firstuser, 16:45 , 19-Фев-15, (13)

IPSec на loopback + nat на loopback., ShyLion, 17:21 , 19-Фев-15, (14)

IPSec на loopback + nat на loopback., ShyLion, 17:25 , 19-Фев-15, (15)

IPSec на loopback + nat на loopback., firstuser, 17:38 , 19-Фев-15, (16)
IPSec на loopback + nat на loopback., AlexDv, 18:30 , 19-Фев-15, (17)

IPSec на loopback + nat на loopback., ShyLion, 06:35 , 20-Фев-15, (18)

IPSec на loopback + nat на loopback., AlexDv, 13:06 , 20-Фев-15, (19)

Сообщения по теме [Сортировка по времени | RSS]

1. "IPSec на loopback + nat на loopback." +/–

Сообщение от ShyLion (ok) on 18-Фев-15, 15:27

лупбек не нужен

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "IPSec на loopback + nat на loopback." +/–

Сообщение от firstuser (ok) on 18-Фев-15, 15:43

> лупбек не нужен
Дело в том, что сеть 192.168.20.0/24 используется в сети VPN клиента 192.168.200.20/24 и не может быть использована как local ident на моей стороне.
Поэтому я выбрал такую архитектуру. Изменить настройки сервера так же нельзя.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "IPSec на loopback + nat на loopback." +/–

Сообщение от Andrey (??) on 18-Фев-15, 16:04

7>> лупбек не нужен
> Дело в том, что сеть 192.168.20.0/24 используется в сети VPN клиента 192.168.200.20/24
> и не может быть использована как local ident на моей стороне.
> Поэтому я выбрал такую архитектуру. Изменить настройки сервера так же нельзя.
Таблицу маршрутизации покажите

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "IPSec на loopback + nat на loopback." +/–

Сообщение от firstuser (ok) on 18-Фев-15, 16:12

> 7>> лупбек не нужен
>> Дело в том, что сеть 192.168.20.0/24 используется в сети VPN клиента 192.168.200.20/24
>> и не может быть использована как local ident на моей стороне.
>> Поэтому я выбрал такую архитектуру. Изменить настройки сервера так же нельзя.
> Таблицу маршрутизации покажите
#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route
Gateway of last resort is 0.0.0.0 to network 0.0.0.0
     8.0.0.0/32 is subnetted, 1 subnets
S       8.8.8.8 is directly connected, Virtual-PPP1
C    192.168.20.0/24 is directly connected, FastEthernet0/0
     10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
S       10.0.0.0/8 is directly connected, FastEthernet0/1
C       10.97.48.0/21 is directly connected, FastEthernet0/1
     78.0.0.0/32 is subnetted, 1 subnets
S       78.XX.XX.XX [254/0] via 10.97.48.1, FastEthernet0/1
     55.0.0.0/32 is subnetted, 1 subnets
C       55.55.55.55 is directly connected, Virtual-PPP1
     99.0.0.0/32 is subnetted, 1 subnets
S       99.99.99.2 [1/0] via 10.97.48.1
C    192.168.1.0/24 is directly connected, Loopback0
S*   0.0.0.0/0 is directly connected, Virtual-PPP1
#sh run | inc ip route
ip route 0.0.0.0 0.0.0.0 Virtual-PPP1
ip route 8.8.8.8 255.255.255.255 Virtual-PPP1
ip route 10.0.0.0 255.0.0.0 FastEthernet0/1
ip route 99.99.99.2 255.255.255.255 10.97.48.1
#

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "IPSec на loopback + nat на loopback." +/–

Сообщение от Andrey (??) on 18-Фев-15, 21:35

>[оверквотинг удален]
>      99.0.0.0/32 is subnetted, 1 subnets
> S       99.99.99.2 [1/0] via 10.97.48.1
> C    192.168.1.0/24 is directly connected, Loopback0
> S*   0.0.0.0/0 is directly connected, Virtual-PPP1
> #sh run | inc ip route
> ip route 0.0.0.0 0.0.0.0 Virtual-PPP1
> ip route 8.8.8.8 255.255.255.255 Virtual-PPP1
> ip route 10.0.0.0 255.0.0.0 FastEthernet0/1
> ip route 99.99.99.2 255.255.255.255 10.97.48.1
> #
sh crypto ipsec sa
sh crypto isakmp sa
sh ip nat tran | i 192.168.20.4

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "IPSec на loopback + nat на loopback." +/–

Сообщение от firstuser (ok) on 19-Фев-15, 09:55

>>[оверквотинг удален]
> sh crypto ipsec sa
> sh crypto isakmp sa
> sh ip nat tran | i 192.168.20.4
К сожалению сейчас устройство не подключено, но сохранился вывод sh crypto ipsec sa
interface: Virtual-PPP1
    Crypto map tag: AP, local addr 55.55.55.55
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.200.0/255.255.255.0/0/0)
   current_peer 77.77.77.77 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 238, #pkts decrypt: 238, #pkts verify: 238
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
     local crypto endpt.: 55.55.55.55, remote crypto endpt.: 77.77.77.77
     path mtu 1400, ip mtu 1400, ip mtu idb Virtual-PPP1
     current outbound spi: 0xC88B9B1(210287025)
     inbound esp sas:
      spi: 0x23FA75C5(603616709)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 3003, flow_id: FPGA:3, crypto map: AP
        sa timing: remaining key lifetime (k/sec): (4414783/1377)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
      spi: 0xC88B9B1(210287025)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 3002, flow_id: FPGA:2, crypto map: AP
        sa timing: remaining key lifetime (k/sec): (4414808/1376)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
     outbound ah sas:
     outbound pcp sas:
sh ip nat tran имеет всего одну запись(при отсутствующих попытках подключиться):
pro Inside global Inside local Outside local Outside local
tcp 192.168.1.1:22 192.168.20.4:22 --- ---
NAT стоит в дебаге и при активности я вижу следующие сообщения:
000125: *Feb 10 10:00:11.245 MSK: NAT: s=192.168.200.21, d=192.168.1.1->192.168.20.4 [16322]
при этом таблица пополняется записью:
pro Inside global Inside local Outside local Outside local
tcp 192.168.1.1:22 192.168.20.4:22 192.168.200.21:61558 192.168.200.21:61558
Но соединения нет и через некоторое время таблица очищается от этого сообщения, клиент не может подключиться.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "IPSec на loopback + nat на loopback." +/–

Сообщение от firstuser (ok) on 19-Фев-15, 12:40

>[оверквотинг удален]
> pro Inside global Inside local Outside local Outside local
> tcp 192.168.1.1:22 192.168.20.4:22 --- ---
> NAT стоит в дебаге и при активности я вижу следующие сообщения:
> 000125: *Feb 10 10:00:11.245 MSK: NAT: s=192.168.200.21, d=192.168.1.1->192.168.20.4
> [16322]
> при этом таблица пополняется записью:
> pro Inside global Inside local Outside local Outside local
> tcp 192.168.1.1:22 192.168.20.4:22 192.168.200.21:61558 192.168.200.21:61558
> Но соединения нет и через некоторое время таблица очищается от этого сообщения,
> клиент не может подключиться.
Глядя на дебаг NAT, всплывает подозрение, что на хосте 192.168.20.4 помимо:
route add -host 192.168.1.1 gw 192.168.20.5
надо добавить еще и маршрут до vpn клиента:
route add -host 192.168.200.21 gw 192.168.1.1
пока это в теории, не знаю верно ли предположение?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "IPSec на loopback + nat на loopback." +/–

Сообщение от Andrey (??) on 19-Фев-15, 14:50

>>[оверквотинг удален]
> Глядя на дебаг NAT, всплывает подозрение, что на хосте 192.168.20.4 помимо:
> route add -host 192.168.1.1 gw 192.168.20.5
> надо добавить еще и маршрут до vpn клиента:
> route add -host 192.168.200.21 gw 192.168.1.1
> пока это в теории, не знаю верно ли предположение?
Подозрение не верно. Loopback интерфейс маршрутизатора не доступен как connected для интерфейса сервера.
У вас не происходит инкапсуляция трафика от сервера к клиентскому подключению.
>    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
>    #pkts decaps: 238, #pkts decrypt: 238, #pkts verify: 238
Попробуйте использовать только NAT. SSH сам по себе защищенный протокол. Использование для SSH подключения дополнительного шифрования, это все равно что автобус с пассажирами поставить на отдельную платформу и перевозить платформу, а не использовать автобус по назначению.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "IPSec на loopback + nat на loopback." +/–

Сообщение от firstuser (ok) on 19-Фев-15, 16:43

>[оверквотинг удален]
>> пока это в теории, не знаю верно ли предположение?
> Подозрение не верно. Loopback интерфейс маршрутизатора не доступен как connected для интерфейса
> сервера.
> У вас не происходит инкапсуляция трафика от сервера к клиентскому подключению.
>>    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
>>    #pkts decaps: 238, #pkts decrypt: 238, #pkts verify: 238
> Попробуйте использовать только NAT. SSH сам по себе защищенный протокол. Использование
> для SSH подключения дополнительного шифрования, это все равно что автобус с
> пассажирами поставить на отдельную платформу и перевозить платформу, а не использовать
> автобус по назначению.
Спасибо большое за отзывчивость!!! Проблема решена!
Увы, условия клиента жесткие и требуют ipsec.
Инкапсуляции к клиентскому подключению не было возможно потому, что он был неактивен?
В итоге проблема была решена добавлением еще одного маршрута на сервер(где ssh сервер), как я и предложил выше: -host 192.168.200.21 gw 192.168.1.1
Говорят, что проблему можно было решить и путем подмены source адреса на lo, но я не знаю(пока что) как это сделать. Еще раз спасибо.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

6. "IPSec на loopback + nat на loopback." +/–

Сообщение от ShyLion (ok) on 19-Фев-15, 06:53

>> лупбек не нужен
> Дело в том, что сеть 192.168.20.0/24 используется в сети VPN клиента 192.168.200.20/24
> и не может быть использована как local ident на моей стороне.
При чем тут лупбек?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "IPSec на loopback + nat на loopback." +/–

Сообщение от firstuser (ok) on 19-Фев-15, 09:33

>>> лупбек не нужен
>> Дело в том, что сеть 192.168.20.0/24 используется в сети VPN клиента 192.168.200.20/24
>> и не может быть использована как local ident на моей стороне.
> При чем тут лупбек?
Loopback для того, чтобы настроить PAT к 192.168.20.4, через адрес который на нем(lo) висит.
Можешь конкретней рассказать о негодовании по поводу использования лупбека?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "IPSec на loopback + nat на loopback." +/–

Сообщение от ShyLion (ok) on 19-Фев-15, 16:38

> Loopback для того, чтобы настроить PAT к 192.168.20.4, через адрес который на
> нем(lo) висит.
> Можешь конкретней рассказать о негодовании по поводу использования лупбека?
Для НАТ наличие интерфейса не обязательно а местами даже вредно, ибо роутер часть трафика будет считать "своим"

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

13. "IPSec на loopback + nat на loopback." +/–

Сообщение от firstuser (ok) on 19-Фев-15, 16:45

>> Loopback для того, чтобы настроить PAT к 192.168.20.4, через адрес который на
>> нем(lo) висит.
>> Можешь конкретней рассказать о негодовании по поводу использования лупбека?
> Для НАТ наличие интерфейса не обязательно а местами даже вредно, ибо роутер
> часть трафика будет считать "своим"
В условиях когда клиенту нельзя видеть на прямую сети в которой находится сервер(ssh), что мне оставалось сделать?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "IPSec на loopback + nat на loopback." +/–

Сообщение от ShyLion (ok) on 19-Фев-15, 17:21

>>> Loopback для того, чтобы настроить PAT к 192.168.20.4, через адрес который на
>>> нем(lo) висит.
>>> Можешь конкретней рассказать о негодовании по поводу использования лупбека?
>> Для НАТ наличие интерфейса не обязательно а местами даже вредно, ибо роутер
>> часть трафика будет считать "своим"
> В условиях когда клиенту нельзя видеть на прямую сети в которой находится
> сервер(ssh), что мне оставалось сделать?
Чтобы транслировать адреса, не обязательно эти адреса иметь на каком-то интерфейсе.
Главное чтобы пакеты с такими адресами как-то заходили в роутер, например посредством тунеля и с правильной стороны (inside/outside).
простой пример:
(10.0.1.0/24) - (fas0/0 ip: .1)(R1)(fas0/1 ip: r1.r1.r1.r1)-(inet)-(fas0/1 ip:r2.r2.r2.r2)(R2)(fas0/1 ip: .1)-(192.168.0.0/24)
Пользователи со стороны R1 - крупное предприятие и совершенно справедливо считает лузерами тех, кто в локалке а не домашней сети заводит сеть 192.168.0.0/24.
Чтобы как-то дать доступ к своим ресурсам сети R2, они им с барского плеча выдали сетку 10.0.2.0/24, мол наттесь с нее и не колупайте нам мозг.
тогда на R1:

!
! всекие там политики, ключи, протоколы и т.п.
!
int fas0/0
  ip address 10.0.1.1 255.255.255.0
int fas0/1
  ip address r1.r1.r1.r1
  crypto map OUTSIDE
!
crypto map OUTSIDE 10 ipsec-isakmp
  set peer r2.r2.r2.r2
  match address 100
  ! прочая требуха
!
ip access-list extended 100
permit ip 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255
!
ip route 10.0.2.0 255.255.255.0 в интернет
А на R2:

!
! всекие там политики, ключи, протоколы и т.п.
!
int fas0/0
  ip address 192.168.0.1 255.255.255.0
  ip nat inside
int fas0/1
  ip address r2.r2.r2.r2
  ip nat outside
  crypto map OUTSIDE
!
crypto map OUTSIDE 10 ipsec-isakmp
  set peer r1.r1.r1.r1
  match address 100
  ! прочая требуха
!
!
! заметь, что в этом листе ни слова про 192.168.0.0/24
ip access-list extended 100
permit ip 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
!
ip access-list extended 101
permit ip 192.168.0.0 0.0.0.255 10.0.1.0 0.0.0.255
!
ip nat pool pool10 10.0.2.0 10.0.2.255 netmask 255.255.255.0
ip nat inside source static list 101 pool pool10
!
!
ip route 10.0.1.0 255.255.255.0 в интернет
удаленная сторона будет видеть траффик от выданой сети

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "IPSec на loopback + nat на loopback." +/–

Сообщение от ShyLion (ok) on 19-Фев-15, 17:25

При попадании в роутер R2 траффик из сети 192.168.0.0/24 будет сперва натится а потом будет обработка IPsec.
Принятые в стек IPsec пакеты будут сперва декапсулированы и снова "как-бы" приняты на внешнем интерфейсе (минуя аксес листы правда) и проверены на таблицы трансляции.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "IPSec на loopback + nat на loopback." +/–

Сообщение от firstuser (ok) on 19-Фев-15, 17:38

> При попадании в роутер R2 траффик из сети 192.168.0.0/24 будет сперва натится
> а потом будет обработка IPsec.
> Принятые в стек IPsec пакеты будут сперва декапсулированы и снова "как-бы" приняты
> на внешнем интерфейсе (минуя аксес листы правда) и проверены на таблицы
> трансляции.
Спасибо! Буду иметь ввиду предоставленную информацию!
С учетом того, что трансляция не работала, а работоспособность туннеля надо было проверять другого варианта наглядно проверить туннель не вижу.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "IPSec на loopback + nat на loopback." +/–

Сообщение от AlexDv (??) on 19-Фев-15, 18:30

> При попадании в роутер R2 траффик из сети 192.168.0.0/24 будет сперва натится
> а потом будет обработка IPsec.
> Принятые в стек IPsec пакеты будут сперва декапсулированы и снова "как-бы" приняты
> на внешнем интерфейсе (минуя аксес листы правда) и проверены на таблицы
> трансляции.
Интересное решение.
Можно его усложнить?
Если за R2 совсем лузеры, им надо эту самую 192.168.0.0/24 еще
и в инерент выпустить?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "IPSec на loopback + nat на loopback." +/–

Сообщение от ShyLion (ok) on 20-Фев-15, 06:35

>> При попадании в роутер R2 траффик из сети 192.168.0.0/24 будет сперва натится
>> а потом будет обработка IPsec.
>> Принятые в стек IPsec пакеты будут сперва декапсулированы и снова "как-бы" приняты
>> на внешнем интерфейсе (минуя аксес листы правда) и проверены на таблицы
>> трансляции.
> Интересное решение.
> Можно его усложнить?
> Если за R2 совсем лузеры, им надо эту самую 192.168.0.0/24 еще
> и в инерент выпустить?
Да как обычно

ip nat inside source list nat_interface interface f0/1 overload
!
ip access-list extended nat_interface
deny ip any 10.0.0.0 0.255.255.255
deny ip any 192.168.0.0 0.0.255.255
deny ip any 172.16.0.0 0.15.255.255
permit ip 192.168.0.0 0.0.0.255 any
!

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "IPSec на loopback + nat на loopback." +/–

Сообщение от AlexDv (??) on 20-Фев-15, 13:06

>[оверквотинг удален]
>

> ip nat inside source list nat_interface interface f0/1 overload
> !
> ip access-list extended nat_interface
>  deny ip any 10.0.0.0 0.255.255.255
>  deny ip any 192.168.0.0 0.0.255.255
>  deny ip any 172.16.0.0 0.15.255.255
>  permit ip 192.168.0.0 0.0.0.255 any
> !
>

Понятно. Спасибо.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "IPSec на loopback + nat на loopback."	+/–
Сообщение от ShyLion (ok) on 18-Фев-15, 15:27
лупбек не нужен
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "IPSec на loopback + nat на loopback."	+/–
	Сообщение от firstuser (ok) on 18-Фев-15, 15:43
	> лупбек не нужен Дело в том, что сеть 192.168.20.0/24 используется в сети VPN клиента 192.168.200.20/24 и не может быть использована как local ident на моей стороне. Поэтому я выбрал такую архитектуру. Изменить настройки сервера так же нельзя.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "IPSec на loopback + nat на loopback."	+/–
	Сообщение от Andrey (??) on 18-Фев-15, 16:04
	7>> лупбек не нужен > Дело в том, что сеть 192.168.20.0/24 используется в сети VPN клиента 192.168.200.20/24 > и не может быть использована как local ident на моей стороне. > Поэтому я выбрал такую архитектуру. Изменить настройки сервера так же нельзя. Таблицу маршрутизации покажите
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "IPSec на loopback + nat на loopback."	+/–
	Сообщение от firstuser (ok) on 18-Фев-15, 16:12
	> 7>> лупбек не нужен >> Дело в том, что сеть 192.168.20.0/24 используется в сети VPN клиента 192.168.200.20/24 >> и не может быть использована как local ident на моей стороне. >> Поэтому я выбрал такую архитектуру. Изменить настройки сервера так же нельзя. > Таблицу маршрутизации покажите #sh ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is 0.0.0.0 to network 0.0.0.0 8.0.0.0/32 is subnetted, 1 subnets S 8.8.8.8 is directly connected, Virtual-PPP1 C 192.168.20.0/24 is directly connected, FastEthernet0/0 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks S 10.0.0.0/8 is directly connected, FastEthernet0/1 C 10.97.48.0/21 is directly connected, FastEthernet0/1 78.0.0.0/32 is subnetted, 1 subnets S 78.XX.XX.XX [254/0] via 10.97.48.1, FastEthernet0/1 55.0.0.0/32 is subnetted, 1 subnets C 55.55.55.55 is directly connected, Virtual-PPP1 99.0.0.0/32 is subnetted, 1 subnets S 99.99.99.2 [1/0] via 10.97.48.1 C 192.168.1.0/24 is directly connected, Loopback0 S* 0.0.0.0/0 is directly connected, Virtual-PPP1 #sh run \| inc ip route ip route 0.0.0.0 0.0.0.0 Virtual-PPP1 ip route 8.8.8.8 255.255.255.255 Virtual-PPP1 ip route 10.0.0.0 255.0.0.0 FastEthernet0/1 ip route 99.99.99.2 255.255.255.255 10.97.48.1 #
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "IPSec на loopback + nat на loopback."	+/–
	Сообщение от Andrey (??) on 18-Фев-15, 21:35
	>[оверквотинг удален] > 99.0.0.0/32 is subnetted, 1 subnets > S 99.99.99.2 [1/0] via 10.97.48.1 > C 192.168.1.0/24 is directly connected, Loopback0 > S* 0.0.0.0/0 is directly connected, Virtual-PPP1 > #sh run \| inc ip route > ip route 0.0.0.0 0.0.0.0 Virtual-PPP1 > ip route 8.8.8.8 255.255.255.255 Virtual-PPP1 > ip route 10.0.0.0 255.0.0.0 FastEthernet0/1 > ip route 99.99.99.2 255.255.255.255 10.97.48.1 > # sh crypto ipsec sa sh crypto isakmp sa sh ip nat tran \| i 192.168.20.4
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	8. "IPSec на loopback + nat на loopback."	+/–
	Сообщение от firstuser (ok) on 19-Фев-15, 09:55
	>>[оверквотинг удален] > sh crypto ipsec sa > sh crypto isakmp sa > sh ip nat tran \| i 192.168.20.4 К сожалению сейчас устройство не подключено, но сохранился вывод sh crypto ipsec sa interface: Virtual-PPP1 Crypto map tag: AP, local addr 55.55.55.55 protected vrf: (none) local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.200.0/255.255.255.0/0/0) current_peer 77.77.77.77 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 238, #pkts decrypt: 238, #pkts verify: 238 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 55.55.55.55, remote crypto endpt.: 77.77.77.77 path mtu 1400, ip mtu 1400, ip mtu idb Virtual-PPP1 current outbound spi: 0xC88B9B1(210287025) inbound esp sas: spi: 0x23FA75C5(603616709) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id: 3003, flow_id: FPGA:3, crypto map: AP sa timing: remaining key lifetime (k/sec): (4414783/1377) IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0xC88B9B1(210287025) transform: esp-3des esp-sha-hmac , in use settings ={Tunnel, } conn id: 3002, flow_id: FPGA:2, crypto map: AP sa timing: remaining key lifetime (k/sec): (4414808/1376) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas: sh ip nat tran имеет всего одну запись(при отсутствующих попытках подключиться): pro Inside global Inside local Outside local Outside local tcp 192.168.1.1:22 192.168.20.4:22 --- --- NAT стоит в дебаге и при активности я вижу следующие сообщения: 000125: *Feb 10 10:00:11.245 MSK: NAT: s=192.168.200.21, d=192.168.1.1->192.168.20.4 [16322] при этом таблица пополняется записью: pro Inside global Inside local Outside local Outside local tcp 192.168.1.1:22 192.168.20.4:22 192.168.200.21:61558 192.168.200.21:61558 Но соединения нет и через некоторое время таблица очищается от этого сообщения, клиент не может подключиться.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	9. "IPSec на loopback + nat на loopback."	+/–
	Сообщение от firstuser (ok) on 19-Фев-15, 12:40
	>[оверквотинг удален] > pro Inside global Inside local Outside local Outside local > tcp 192.168.1.1:22 192.168.20.4:22 --- --- > NAT стоит в дебаге и при активности я вижу следующие сообщения: > 000125: *Feb 10 10:00:11.245 MSK: NAT: s=192.168.200.21, d=192.168.1.1->192.168.20.4 > [16322] > при этом таблица пополняется записью: > pro Inside global Inside local Outside local Outside local > tcp 192.168.1.1:22 192.168.20.4:22 192.168.200.21:61558 192.168.200.21:61558 > Но соединения нет и через некоторое время таблица очищается от этого сообщения, > клиент не может подключиться. Глядя на дебаг NAT, всплывает подозрение, что на хосте 192.168.20.4 помимо: route add -host 192.168.1.1 gw 192.168.20.5 надо добавить еще и маршрут до vpn клиента: route add -host 192.168.200.21 gw 192.168.1.1 пока это в теории, не знаю верно ли предположение?
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "IPSec на loopback + nat на loopback."	+/–
	Сообщение от Andrey (??) on 19-Фев-15, 14:50
	>>[оверквотинг удален] > Глядя на дебаг NAT, всплывает подозрение, что на хосте 192.168.20.4 помимо: > route add -host 192.168.1.1 gw 192.168.20.5 > надо добавить еще и маршрут до vpn клиента: > route add -host 192.168.200.21 gw 192.168.1.1 > пока это в теории, не знаю верно ли предположение? Подозрение не верно. Loopback интерфейс маршрутизатора не доступен как connected для интерфейса сервера. У вас не происходит инкапсуляция трафика от сервера к клиентскому подключению. > #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 > #pkts decaps: 238, #pkts decrypt: 238, #pkts verify: 238 Попробуйте использовать только NAT. SSH сам по себе защищенный протокол. Использование для SSH подключения дополнительного шифрования, это все равно что автобус с пассажирами поставить на отдельную платформу и перевозить платформу, а не использовать автобус по назначению.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	12. "IPSec на loopback + nat на loopback."	+/–
	Сообщение от firstuser (ok) on 19-Фев-15, 16:43
	>[оверквотинг удален] >> пока это в теории, не знаю верно ли предположение? > Подозрение не верно. Loopback интерфейс маршрутизатора не доступен как connected для интерфейса > сервера. > У вас не происходит инкапсуляция трафика от сервера к клиентскому подключению. >> #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 >> #pkts decaps: 238, #pkts decrypt: 238, #pkts verify: 238 > Попробуйте использовать только NAT. SSH сам по себе защищенный протокол. Использование > для SSH подключения дополнительного шифрования, это все равно что автобус с > пассажирами поставить на отдельную платформу и перевозить платформу, а не использовать > автобус по назначению. Спасибо большое за отзывчивость!!! Проблема решена! Увы, условия клиента жесткие и требуют ipsec. Инкапсуляции к клиентскому подключению не было возможно потому, что он был неактивен? В итоге проблема была решена добавлением еще одного маршрута на сервер(где ssh сервер), как я и предложил выше: -host 192.168.200.21 gw 192.168.1.1 Говорят, что проблему можно было решить и путем подмены source адреса на lo, но я не знаю(пока что) как это сделать. Еще раз спасибо.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	6. "IPSec на loopback + nat на loopback."	+/–
	Сообщение от ShyLion (ok) on 19-Фев-15, 06:53
	>> лупбек не нужен > Дело в том, что сеть 192.168.20.0/24 используется в сети VPN клиента 192.168.200.20/24 > и не может быть использована как local ident на моей стороне. При чем тут лупбек?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	7. "IPSec на loopback + nat на loopback."	+/–
	Сообщение от firstuser (ok) on 19-Фев-15, 09:33
	>>> лупбек не нужен >> Дело в том, что сеть 192.168.20.0/24 используется в сети VPN клиента 192.168.200.20/24 >> и не может быть использована как local ident на моей стороне. > При чем тут лупбек? Loopback для того, чтобы настроить PAT к 192.168.20.4, через адрес который на нем(lo) висит. Можешь конкретней рассказать о негодовании по поводу использования лупбека?
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	11. "IPSec на loopback + nat на loopback."	+/–
	Сообщение от ShyLion (ok) on 19-Фев-15, 16:38
	> Loopback для того, чтобы настроить PAT к 192.168.20.4, через адрес который на > нем(lo) висит. > Можешь конкретней рассказать о негодовании по поводу использования лупбека? Для НАТ наличие интерфейса не обязательно а местами даже вредно, ибо роутер часть трафика будет считать "своим"
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	13. "IPSec на loopback + nat на loopback."	+/–
	Сообщение от firstuser (ok) on 19-Фев-15, 16:45
	>> Loopback для того, чтобы настроить PAT к 192.168.20.4, через адрес который на >> нем(lo) висит. >> Можешь конкретней рассказать о негодовании по поводу использования лупбека? > Для НАТ наличие интерфейса не обязательно а местами даже вредно, ибо роутер > часть трафика будет считать "своим" В условиях когда клиенту нельзя видеть на прямую сети в которой находится сервер(ssh), что мне оставалось сделать?
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	14. "IPSec на loopback + nat на loopback."	+/–
	Сообщение от ShyLion (ok) on 19-Фев-15, 17:21
	>>> Loopback для того, чтобы настроить PAT к 192.168.20.4, через адрес который на >>> нем(lo) висит. >>> Можешь конкретней рассказать о негодовании по поводу использования лупбека? >> Для НАТ наличие интерфейса не обязательно а местами даже вредно, ибо роутер >> часть трафика будет считать "своим" > В условиях когда клиенту нельзя видеть на прямую сети в которой находится > сервер(ssh), что мне оставалось сделать? Чтобы транслировать адреса, не обязательно эти адреса иметь на каком-то интерфейсе. Главное чтобы пакеты с такими адресами как-то заходили в роутер, например посредством тунеля и с правильной стороны (inside/outside). простой пример: (10.0.1.0/24) - (fas0/0 ip: .1)(R1)(fas0/1 ip: r1.r1.r1.r1)-(inet)-(fas0/1 ip:r2.r2.r2.r2)(R2)(fas0/1 ip: .1)-(192.168.0.0/24) Пользователи со стороны R1 - крупное предприятие и совершенно справедливо считает лузерами тех, кто в локалке а не домашней сети заводит сеть 192.168.0.0/24. Чтобы как-то дать доступ к своим ресурсам сети R2, они им с барского плеча выдали сетку 10.0.2.0/24, мол наттесь с нее и не колупайте нам мозг. тогда на R1: ! ! всекие там политики, ключи, протоколы и т.п. ! int fas0/0 ip address 10.0.1.1 255.255.255.0 int fas0/1 ip address r1.r1.r1.r1 crypto map OUTSIDE ! crypto map OUTSIDE 10 ipsec-isakmp set peer r2.r2.r2.r2 match address 100 ! прочая требуха ! ip access-list extended 100 permit ip 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255 ! ip route 10.0.2.0 255.255.255.0 в интернет А на R2: ! ! всекие там политики, ключи, протоколы и т.п. ! int fas0/0 ip address 192.168.0.1 255.255.255.0 ip nat inside int fas0/1 ip address r2.r2.r2.r2 ip nat outside crypto map OUTSIDE ! crypto map OUTSIDE 10 ipsec-isakmp set peer r1.r1.r1.r1 match address 100 ! прочая требуха ! ! ! заметь, что в этом листе ни слова про 192.168.0.0/24 ip access-list extended 100 permit ip 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255 ! ip access-list extended 101 permit ip 192.168.0.0 0.0.0.255 10.0.1.0 0.0.0.255 ! ip nat pool pool10 10.0.2.0 10.0.2.255 netmask 255.255.255.0 ip nat inside source static list 101 pool pool10 ! ! ip route 10.0.1.0 255.255.255.0 в интернет удаленная сторона будет видеть траффик от выданой сети
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	15. "IPSec на loopback + nat на loopback."	+/–
	Сообщение от ShyLion (ok) on 19-Фев-15, 17:25
	При попадании в роутер R2 траффик из сети 192.168.0.0/24 будет сперва натится а потом будет обработка IPsec. Принятые в стек IPsec пакеты будут сперва декапсулированы и снова "как-бы" приняты на внешнем интерфейсе (минуя аксес листы правда) и проверены на таблицы трансляции.
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	16. "IPSec на loopback + nat на loopback."	+/–
	Сообщение от firstuser (ok) on 19-Фев-15, 17:38
	> При попадании в роутер R2 траффик из сети 192.168.0.0/24 будет сперва натится > а потом будет обработка IPsec. > Принятые в стек IPsec пакеты будут сперва декапсулированы и снова "как-бы" приняты > на внешнем интерфейсе (минуя аксес листы правда) и проверены на таблицы > трансляции. Спасибо! Буду иметь ввиду предоставленную информацию! С учетом того, что трансляция не работала, а работоспособность туннеля надо было проверять другого варианта наглядно проверить туннель не вижу.
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	17. "IPSec на loopback + nat на loopback."	+/–
	Сообщение от AlexDv (??) on 19-Фев-15, 18:30
	> При попадании в роутер R2 траффик из сети 192.168.0.0/24 будет сперва натится > а потом будет обработка IPsec. > Принятые в стек IPsec пакеты будут сперва декапсулированы и снова "как-бы" приняты > на внешнем интерфейсе (минуя аксес листы правда) и проверены на таблицы > трансляции. Интересное решение. Можно его усложнить? Если за R2 совсем лузеры, им надо эту самую 192.168.0.0/24 еще и в инерент выпустить?
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	18. "IPSec на loopback + nat на loopback."	+/–
	Сообщение от ShyLion (ok) on 20-Фев-15, 06:35
	>> При попадании в роутер R2 траффик из сети 192.168.0.0/24 будет сперва натится >> а потом будет обработка IPsec. >> Принятые в стек IPsec пакеты будут сперва декапсулированы и снова "как-бы" приняты >> на внешнем интерфейсе (минуя аксес листы правда) и проверены на таблицы >> трансляции. > Интересное решение. > Можно его усложнить? > Если за R2 совсем лузеры, им надо эту самую 192.168.0.0/24 еще > и в инерент выпустить? Да как обычно ip nat inside source list nat_interface interface f0/1 overload ! ip access-list extended nat_interface deny ip any 10.0.0.0 0.255.255.255 deny ip any 192.168.0.0 0.0.255.255 deny ip any 172.16.0.0 0.15.255.255 permit ip 192.168.0.0 0.0.0.255 any !
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору


	19. "IPSec на loopback + nat на loopback."	+/–
	Сообщение от AlexDv (??) on 20-Фев-15, 13:06
	>[оверквотинг удален] > > ip nat inside source list nat_interface interface f0/1 overload > ! > ip access-list extended nat_interface > deny ip any 10.0.0.0 0.255.255.255 > deny ip any 192.168.0.0 0.0.255.255 > deny ip any 172.16.0.0 0.15.255.255 > permit ip 192.168.0.0 0.0.0.255 any > ! > Понятно. Спасибо.
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору