форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Настройка IPSec-туннелей и списков доступа..."

Сообщение от Владимир (??) on 09-Июл-08, 18:48

добрый день! такая проблема:есть Cisco с настроенным PAT, через который люди ходят в интернет с серых IP. на Циске также поднят туннель IPSec с удаленным филиалом. встала задача-запретить выход в интернет некоторым пользователям. при попытке добавить в существующий список доступа эти правила-интернет отрубается... вот исходный конфиг когда есть инет и туннели: ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname *** ! boot-start-marker boot-end-marker ! logging buffered 51200 warnings enable password admin_ikc ! aaa new-model ! ! ! aaa session-id common ! resource policy ! ip subnet-zero ! ! ip cef ! ! ! !! crypto isakmp policy 100 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key 123456 address 777.777.777.777 255.255.***.*** no-xauth ! ! crypto ipsec transform-set PEERS esp-3des ! crypto map IPSEC 100 ipsec-isakmp set peer 777.777.777.777 set security-association idle-time 600 set transform-set PEERS set pfs group2 match address ACL_IPSEC ! ! ! interface GigabitEthernet0/0 description $ETH-LAN$ ip address 192.168.0.250 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto no snmp trap link-status ! interface GigabitEthernet0/1 description $ETH-WAN$ ip address 130.130.130.130 255.255.255.128 ip nat outside ip virtual-reassembly duplex auto speed auto no snmp trap link-status crypto map IPSEC ! ip classless ip route 0.0.0.0 0.0.0.0 129.129.129.129 ip route 192.168.1.0 255.255.255.0 777.777.777.777 ! ip http server ip http authentication local ip http secure-server ip nat inside source list 101 interface GigabitEthernet0/1 overload ! ip access-list extended ACL_IPSEC permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 permit ip host 130.130.130.130 host 777.777.777.777 permit ip host 83.102.193.232 host 130.130.130.130 deny   ip any any ! access-list 101 deny   ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 101 permit ip 192.168.0.0 0.0.0.255 any ! ! control-plane ! ! ! line con 0 line aux 0 line vty 0 4 privilege level 15 transport input telnet ssh ! scheduler allocate 20000 1000 ! end делаю так и пропадает туннель, но нужные пользователи "зарублены": ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router_IKC ! boot-start-marker boot-end-marker ! logging buffered 51200 warnings enable password admin_ikc ! aaa new-model ! ! ! aaa session-id common ! resource policy ! ip subnet-zero ! ! ip cef ! ! ! ! ! crypto pki trustpoint TP-self-signed-3300670599 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-3300670599 revocation-check none rsakeypair TP-self-signed-3300670599 ! ! ! ! ! crypto isakmp policy 100 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key 123456 address 777.777.777.777 255.255.***.*** no-xauth ! ! crypto ipsec transform-set PEERS esp-3des ! crypto map IPSEC 100 ipsec-isakmp set peer 777.777.777.777 set security-association idle-time 600 set transform-set PEERS set pfs group2 match address ACL_IPSEC ! ! ! interface GigabitEthernet0/0 description $ETH-LAN$ ip address 192.168.0.250 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto no snmp trap link-status ! interface GigabitEthernet0/1 description $ETH-WAN$ ip address 130.130.130.130 255.255.255.128 ip nat outside ip virtual-reassembly duplex auto speed auto no snmp trap link-status crypto map IPSEC ! ip classless ip route 0.0.0.0 0.0.0.0 82.137.165.129 ip route 192.168.1.0 255.255.255.0 777.777.777.777 ! ip http server ip http authentication local ip http secure-server ip nat inside source list Inet interface GigabitEthernet0/1 overload ! ip access-list standard Inet permit 192.168.0.0 permit 192.168.0.1 permit 192.168.0.2 permit 192.168.0.3 permit 192.168.0.4 permit 192.168.0.5 permit 192.168.0.6 permit 192.168.0.7 permit 192.168.0.8 permit 192.168.0.9 permit 192.168.0.10 permit 192.168.0.11 permit 192.168.0.12 permit 192.168.0.13 permit 192.168.0.14 permit 192.168.0.15 permit 192.168.0.16 permit 192.168.0.17 permit 192.168.0.18 permit 192.168.0.19 permit 192.168.0.20 permit 192.168.0.26 permit 192.168.0.27 permit 192.168.0.28 permit 192.168.0.29 permit 192.168.0.30 permit 192.168.0.31 permit 192.168.0.32 permit 192.168.0.36 permit 192.168.0.41 permit 192.168.0.42 permit 192.168.0.43 permit 192.168.0.44 permit 192.168.0.45 permit 192.168.0.46 permit 192.168.0.47 permit 192.168.0.48 permit 192.168.0.49 permit 192.168.0.50 permit 192.168.0.52 permit 192.168.0.53 permit 192.168.0.54 permit 192.168.0.55 permit 192.168.0.56 permit 192.168.0.57 permit 192.168.0.58 permit 192.168.0.59 permit 192.168.0.60 permit 192.168.0.71 permit 192.168.0.73 permit 192.168.0.75 permit 192.168.0.76 permit 192.168.0.78 permit 192.168.0.81 permit 192.168.0.86 permit 192.168.0.87 permit 192.168.0.88 permit 192.168.0.89 permit 192.168.0.90 permit 192.168.0.91 permit 192.168.0.92 permit 192.168.0.93 permit 192.168.0.94 permit 192.168.0.96 permit 192.168.0.98 permit 192.168.0.99 permit 192.168.0.100 permit 192.168.0.102 permit 192.168.0.103 permit 192.168.0.121 permit 192.168.0.122 permit 192.168.0.123 permit 192.168.0.124 permit 192.168.0.125 permit 192.168.0.126 permit 192.168.0.138 permit 192.168.0.139 permit 192.168.0.250 permit 192.168.0.251 permit 192.168.0.252 permit 192.168.0.253 permit 192.168.0.254 permit 192.168.0.255 permit ip host 130.130.130.130 host 777.777.777.777 permit ip host 777.777.777.777 host 130.130.130.130 ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 privilege level 15 transport input telnet ssh ! scheduler allocate 20000 1000 ! end ПОМОГИТЕ ПОЖАЛУЙСТА ЕСЛИ КТО СТАЛКИВАЛСЯ ИЛИ ЗНАЕТ КАК РАЗРЕШИТЬ ПРОБЛЕМУ!!! НО В ЛЮБОМ СЛУЧАЕ НУЖНЫ И ТУННЕЛИ И ГИБКОСТЬ УПРАВЛЕНИЯ ДОСТУПОМ С ИНТЕРНЕТУ С СЕРЫХ АДРЕСОВ... заранее БЛАГОДАРЕН ВСЕМ за ответы.

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Настройка IPSec-туннелей и списков доступа..."

Сообщение от CrAzOiD (ok) on 09-Июл-08, 23:24

>[оверквотинг удален] >! >scheduler allocate 20000 1000 >! >end > >ПОМОГИТЕ ПОЖАЛУЙСТА ЕСЛИ КТО СТАЛКИВАЛСЯ ИЛИ ЗНАЕТ КАК РАЗРЕШИТЬ ПРОБЛЕМУ!!! >НО В ЛЮБОМ СЛУЧАЕ НУЖНЫ И ТУННЕЛИ И ГИБКОСТЬ УПРАВЛЕНИЯ ДОСТУПОМ С >ИНТЕРНЕТУ С СЕРЫХ АДРЕСОВ... > >заранее БЛАГОДАРЕН ВСЕМ за ответы. crypto map IPSEC local-address Gi0/1 Для упрощения настройки и управления советую построить для связи с филиалом gre туннели с криптованием. А вообще над конфигом работать и работать...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Настройка IPSec-туннелей и списков доступа..."
	Сообщение от Владимир (??) on 10-Июл-08, 10:29
	>crypto map IPSEC local-address Gi0/1 > >Для упрощения настройки и управления советую построить для связи с филиалом gre >туннели с криптованием. >А вообще над конфигом работать и работать... CrAzOiD в том то и дело что в филиале стоит не Циска, а простенький VPN-комбайн в виде 824D-Link... поэтому вопросы с gre отпадают... если можно-"А вообще над конфигом работать и работать... "-подскажите если не затруднит, в каком направлении рыть...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Настройка IPSec-туннелей и списков доступа..."
	Сообщение от CrAzOiD (ok) on 10-Июл-08, 11:56
	>[оверквотинг удален] >>туннели с криптованием. >>А вообще над конфигом работать и работать... > >CrAzOiD > >в том то и дело что в филиале стоит не Циска, а >простенький VPN-комбайн в виде 824D-Link... поэтому вопросы с gre отпадают... > >если можно-"А вообще над конфигом работать и работать... "-подскажите если не затруднит, >в каком направлении рыть... 1. рекомендация по восстановлению работоспособности помогла? 2. относительно Длинка все понятно 3. относительно конфига. Для начала обратите пристальное внимание на защиту. У вас никаким образом не фильтруется входящий трафик. Смотрите в сторону ip inspect
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Настройка IPSec-туннелей и списков доступа..."
	Сообщение от Владимир (??) on 10-Июл-08, 14:16
	спасибо за советы... буду работать. пока не помогла... я влепил эту строку под конфой интерфейса 0/1 вот так ,.. ! interface GigabitEthernet0/1 description $ETH-WAN$ ip address 82.137.165.130 255.255.255.128 ip nat outside ip virtual-reassembly duplex auto speed auto no snmp trap link-status crypto map IPSEC ... интернет пропал... может весь конфиг выложить?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Настройка IPSec-туннелей и списков доступа..."
	Сообщение от Владимир (??) on 10-Июл-08, 16:26
	еще раз. вот конфиг где есть Инет и туннели. надо разрешить выход в интернет только определенным (около 50) юзерам с адресами типа 192.168.0.32 и т д  с сохранением Туннелей с удаленным офисом... ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname xxxxx ! boot-start-marker boot-end-marker ! logging buffered 51200 warnings enable password xxxxx ! aaa new-model ! ! aaa session-id common ! resource policy ! ip subnet-zero ! ! ip cef ! ! crypto pki trustpoint TP-self-signed-xxxxxxxxxx enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-xxxxxxxx revocation-check none rsakeypair TP-self-signed-xxxxxxxxxxx ! ! crypto pki certificate chain TP-self-signed-3300670599 certificate self-signed 01   30820243 308201AC A0030201 02020101 300D0609 2A864886 F70D0101 04050030   ...   AED726FA 5164D8   quit username xxxxx privilege 15 password 0 xxxxx ! ! crypto isakmp policy 100 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key xxxxx address 777.777.777.777 255.255.xxx.xxx no-xauth ! ! crypto ipsec transform-set PEERS esp-3des ! crypto map IPSEC 100 ipsec-isakmp set peer 777.777.777.777 set security-association idle-time 600 set transform-set PEERS set pfs group2 match address ACL_IPSEC ! ! ! interface GigabitEthernet0/0 description $ETH-LAN$ ip address 192.168.0.250 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto no snmp trap link-status ! interface GigabitEthernet0/1 description $ETH-WAN$ ip address 666.666.666.666 255.255.xxx.xxx ip nat outside ip virtual-reassembly duplex auto speed auto no snmp trap link-status crypto map IPSEC ! ip classless ip route 0.0.0.0 0.0.0.0 666.666.666.129 ip route 192.168.1.0 255.255.255.0 777.777.777.777 ! ip http server ip http authentication local ip http secure-server ip nat inside source list 101 interface GigabitEthernet0/1 overload ! ip access-list extended ACL_IPSEC permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 permit ip host 666.666.666.130 host 777.777.777.777 permit ip host 777.777.777.777 host 666.666.666.130 deny   ip any any ! access-list 101 deny   ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 101 permit ip 192.168.0.0 0.0.0.255 any ! ! control-plane ! ! ! line con 0 line aux 0 line vty 0 4 privilege level 15 transport input telnet ssh ! scheduler allocate 20000 1000 ! end второй день безуспешного перебирания списков доступа ни к чему не привел. либо есть туннель и инет как в конфе выше, но все 250 юзеров в инете, либо часть юзеров с инетом но туннель падает... может у кого нить есть на свежую голову мысли?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Настройка IPSec-туннелей и списков доступа..."
	Сообщение от SergTel (ok) on 11-Июл-08, 19:22
	>access-list 101 deny   ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 >access-list 101 permit ip 192.168.0.0 0.0.0.255 any >! > >второй день безуспешного перебирания списков доступа ни к чему не привел. либо >есть туннель и инет как в конфе выше, но все 250 >юзеров в инете, либо часть юзеров с инетом но туннель падает... > > >может у кого нить есть на свежую голову мысли? access-list 101 deny   ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 101 permit ip host 192.168.0.1 any access-list 101 permit ip host 192.168.0.2 any access-list 101 permit ip host 192.168.0.3 any access-list 101 permit ip host 192.168.0.4 any access-list 101 permit ip host 192.168.0.5 any access-list 101 deny ip any any
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Настройка IPSec-туннелей и списков доступа..."
	Сообщение от Владимир (??) on 12-Июл-08, 11:12
	Спасибо SergTel!!! все заработало и туннели, и нужные IP, и интернет. Тема закрыта.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]