forum.opennet.ru - "опубликованные наружу порты, ipsec vpn & nat" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"опубликованные наружу порты, ipsec vpn & nat"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"опубликованные наружу порты, ipsec vpn & nat"
Сообщение от paliss (ok) on 06-Июн-08, 16:04
Здравствуйте, уважаемые все. Подскажите, никто не сталкивался с такой проблемой: Есть две LAN за роутерами циско 1841 и 871. Эти LAN соединены при помощи IPsecVPN канала. Все замечательно работает, но есть одно НО. Если на одном из роутеров мы публикуем наружу порт какой-нибудь машины, то при обращении к этой машине из второй подсети (по внутреннему адресу)на порт который опубликован пакеты проходящие по туннелю убиваются натом. При этом, в правилах нат естественно есть правило запрещающее трогать пакеты из подсети(откуда обращаемся). Подскажите, пожалуйста, куда копать!
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

опубликованные наружу порты, ipsec vpn & nat, CrAzOiD, 16:37 , 06-Июн-08, (1)

опубликованные наружу порты, ipsec vpn & nat, paliss, 17:27 , 06-Июн-08, (2)

карта , paliss, 17:39 , 06-Июн-08, (3)
опубликованные наружу порты, ipsec vpn & nat, dxer, 17:48 , 06-Июн-08, (4)

опубликованные наружу порты, ipsec vpn & nat, dxer, 17:53 , 06-Июн-08, (5)

опубликованные наружу порты, ipsec vpn & nat, paliss, 19:41 , 06-Июн-08, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "опубликованные наружу порты, ipsec vpn & nat"

Сообщение от CrAzOiD (ok) on 06-Июн-08, 16:37

>[оверквотинг удален]
>при помощи IPsecVPN канала.
>Все замечательно работает, но есть одно НО. Если на одном из роутеров
>мы публикуем наружу
>порт какой-нибудь машины, то при обращении к этой машине из второй подсети
>(по внутреннему адресу)на порт который опубликован пакеты проходящие по туннелю убиваются
>натом.
>При этом, в правилах нат естественно есть правило запрещающее трогать пакеты из
>подсети(откуда обращаемся).
>
>Подскажите, пожалуйста, куда копать!
обычно это NAT+Route-map

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "опубликованные наружу порты, ipsec vpn & nat"

Сообщение от paliss (ok) on 06-Июн-08, 17:27

>>[оверквотинг удален]
>>При этом, в правилах нат естественно есть правило запрещающее трогать пакеты из
>>подсети(откуда обращаемся).
>>
>>Подскажите, пожалуйста, куда копать!
>
>обычно это NAT+Route-map
>
Спасибо за внимание.
Так в том то и дело , что в нат на роутере (где опубликованы порты) указана карта в которой написано
deny 10.108.0.0 0.0.3.255   - это подсеть из которой подключаюсь ко второй LAN

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "карта "

Сообщение от paliss (ok) on 06-Июн-08, 17:39

Crypto Map "SDM_CMAP_1" 1 ipsec-isakmp
        Description: Tunnel to62.152.73.186
        Peer = 62.152.73.186
        Extended IP access list 104
            access-list 104 permit ip 172.16.0.0 0.0.0.3 10.107.197.0 0.0.0.255
            access-list 104 permit ip 10.108.0.0 0.0.3.255 10.107.197.0 0.0.0.25
5
        Current peer: 62.152.73.186
        Security association lifetime: 4608000 kilobytes/3600 seconds
        PFS (Y/N): N
        Transform sets={
                ESP-3DES-SHA1,
        }

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "опубликованные наружу порты, ipsec vpn & nat"

Сообщение от dxer on 06-Июн-08, 17:48

>[оверквотинг удален]
>>
>>обычно это NAT+Route-map
>>
>
>Спасибо за внимание.
>
>Так в том то и дело , что в нат на роутере
>(где опубликованы порты) указана карта в которой написано
>deny 10.108.0.0 0.0.3.255   - это подсеть из которой подключаюсь ко
>второй LAN
Не про нат0 тебе выше писали, а про то... что к статик-нату привязываешь роут-мап.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "опубликованные наружу порты, ipsec vpn & nat"

Сообщение от dxer on 06-Июн-08, 17:53

>[оверквотинг удален]
>>
>>Спасибо за внимание.
>>
>>Так в том то и дело , что в нат на роутере
>>(где опубликованы порты) указана карта в которой написано
>>deny 10.108.0.0 0.0.3.255   - это подсеть из которой подключаюсь ко
>>второй LAN
>
>Не про нат0 тебе выше писали, а про то... что к статик-нату
>привязываешь роут-мап.
Как то так
ip nat inside source static tcp 172.29.29.29 25 80.90.100.1 25 route-map 109 extendable
access-list 109 remark For SMTP NoNAT
access-list 109 deny   tcp host 172.29.29.29 eq smtp 172.30.0.0 0.0.31.255
access-list 109 permit tcp host 172.29.29.29 eq smtp any

Всё :)
route-map NoNAT permit 10
match ip address 110 <-- вот что ты именл ввиду за ACL на пару постов выше.
match interface GigabitEthernet0/0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "опубликованные наружу порты, ipsec vpn & nat"

Сообщение от paliss (ok) on 06-Июн-08, 19:41

DXER
Большое спасибо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "опубликованные наружу порты, ipsec vpn & nat"
Сообщение от CrAzOiD (ok) on 06-Июн-08, 16:37
>[оверквотинг удален] >при помощи IPsecVPN канала. >Все замечательно работает, но есть одно НО. Если на одном из роутеров >мы публикуем наружу >порт какой-нибудь машины, то при обращении к этой машине из второй подсети >(по внутреннему адресу)на порт который опубликован пакеты проходящие по туннелю убиваются >натом. >При этом, в правилах нат естественно есть правило запрещающее трогать пакеты из >подсети(откуда обращаемся). > >Подскажите, пожалуйста, куда копать! обычно это NAT+Route-map
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "опубликованные наружу порты, ipsec vpn & nat"
	Сообщение от paliss (ok) on 06-Июн-08, 17:27
	>>[оверквотинг удален] >>При этом, в правилах нат естественно есть правило запрещающее трогать пакеты из >>подсети(откуда обращаемся). >> >>Подскажите, пожалуйста, куда копать! > >обычно это NAT+Route-map > Спасибо за внимание. Так в том то и дело , что в нат на роутере (где опубликованы порты) указана карта в которой написано deny 10.108.0.0 0.0.3.255 - это подсеть из которой подключаюсь ко второй LAN
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "карта "
	Сообщение от paliss (ok) on 06-Июн-08, 17:39
	Crypto Map "SDM_CMAP_1" 1 ipsec-isakmp Description: Tunnel to62.152.73.186 Peer = 62.152.73.186 Extended IP access list 104 access-list 104 permit ip 172.16.0.0 0.0.0.3 10.107.197.0 0.0.0.255 access-list 104 permit ip 10.108.0.0 0.0.3.255 10.107.197.0 0.0.0.25 5 Current peer: 62.152.73.186 Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N): N Transform sets={ ESP-3DES-SHA1, }
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "опубликованные наружу порты, ipsec vpn & nat"
	Сообщение от dxer on 06-Июн-08, 17:48
	>[оверквотинг удален] >> >>обычно это NAT+Route-map >> > >Спасибо за внимание. > >Так в том то и дело , что в нат на роутере >(где опубликованы порты) указана карта в которой написано >deny 10.108.0.0 0.0.3.255 - это подсеть из которой подключаюсь ко >второй LAN Не про нат0 тебе выше писали, а про то... что к статик-нату привязываешь роут-мап.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "опубликованные наружу порты, ipsec vpn & nat"
	Сообщение от dxer on 06-Июн-08, 17:53
	>[оверквотинг удален] >> >>Спасибо за внимание. >> >>Так в том то и дело , что в нат на роутере >>(где опубликованы порты) указана карта в которой написано >>deny 10.108.0.0 0.0.3.255 - это подсеть из которой подключаюсь ко >>второй LAN > >Не про нат0 тебе выше писали, а про то... что к статик-нату >привязываешь роут-мап. Как то так ip nat inside source static tcp 172.29.29.29 25 80.90.100.1 25 route-map 109 extendable access-list 109 remark For SMTP NoNAT access-list 109 deny tcp host 172.29.29.29 eq smtp 172.30.0.0 0.0.31.255 access-list 109 permit tcp host 172.29.29.29 eq smtp any Всё :) route-map NoNAT permit 10 match ip address 110 <-- вот что ты именл ввиду за ACL на пару постов выше. match interface GigabitEthernet0/0
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "опубликованные наружу порты, ipsec vpn & nat"
	Сообщение от paliss (ok) on 06-Июн-08, 19:41
	DXER Большое спасибо.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]