forum.opennet.ru - "VPN IPSEC и проброска портов" (2)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"VPN IPSEC и проброска портов"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"VPN IPSEC и проброска портов"	+/–
Сообщение от InnocentS0ul (ok) on 14-Янв-11, 01:21
Поднят тунель между 871(c870-advipservicesk9-mz.124-24.T4.bin) и 2801 (c2801-advsecurityk9-mz.124-3h.bin). На 2801-й циске есть проброска портов на внутренние айпишники, которые должны быть доступны по этим же портам для другой стороны тунеля. 871# ping 192.168.1.245 source vlan 13 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.245, timeout is 2 seconds: Packet sent with a source address of 192.168.13.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/8/8 ms 871#telnet 192.168.1.245 25 /source-interface vlan 13 Trying 192.168.1.245, 25 ... % Connection timed out; remote host not responding если убрать ip nat inside source static tcp 192.168.1.245 25 217.2.1.1 25 extendable телнет проходит при неудачном телнете по 25-м порту со стороны 2801 видим, что по тунелю проходит интересующий трафик, а потом насколько я понимаю натиться 2801#sh access-lists NAT Extended IP access list NAT 5 deny ip host 192.168.1.245 192.168.13.0 0.0.0.255 15 deny ip 192.168.1.0 0.0.0.255 192.168.13.0 0.0.0.255 (8234 matches) 100 permit ip 192.168.1.0 0.0.0.255 any (14149 matches) 2801#sh access-lists INT_TRAFFIC Extended IP access list INT_TRAFFIC 50 permit ip host 192.168.1.245 192.168.13.0 0.0.0.255 (3 matches) 100 permit ip 192.168.1.0 0.0.0.255 192.168.13.0 0.0.0.255 (6892 matches) 871: interface FastEthernet4 ip address 188.1.2.2 255.255.255.248 ip nat outside ip virtual-reassembly duplex auto speed auto crypto map VPN_MAP ! vlan 13 interface Vlan13 ip address 192.168.13.1 255.255.255.0 ip nat inside ip virtual-reassembly ip nat inside source list NAT interface FastEthernet4 overload ! ip access-list extended INT_TRAFFIC permit ip 192.168.13.0 0.0.0.255 host 192.168.1.245 permit ip 192.168.13.0 0.0.0.255 192.168.1.0 0.0.0.255 ip access-list extended NAT deny ip 192.168.13.0 0.0.0.255 192.168.1.0 0.0.0.255 permit ip 192.168.13.0 0.0.0.255 any 2801: interface FastEthernet0/0.2 encapsulation dot1Q 2 ip address 192.168.1.250 255.255.255.0 ip nat inside ip virtual-reassembly no snmp trap link-status ! interface FastEthernet0/1 description $ETH-WAN$ ip address 217.2.1.1 255.255.255.248 ip nat outside ip virtual-reassembly duplex auto speed auto crypto map VPN_MAP ip nat inside source list NAT interface FastEthernet0/1 overload ip nat inside source static tcp 192.168.1.245 25 217.2.1.1 25 extendable ip nat inside source static tcp 192.168.1.245 110 217.2.1.1 110 extendable ip nat inside source static tcp 192.168.1.245 3000 217.2.1.1 3000 extendable ip nat inside source static tcp 192.168.1.51 10000 217.2.1.1 10000 extendable ! ip access-list extended INT_TRAFFIC permit ip host 192.168.1.245 192.168.13.0 0.0.0.255 log permit ip 192.168.1.0 0.0.0.255 192.168.13.0 0.0.0.255 ip access-list extended NAT deny ip 192.168.1.0 0.0.0.255 192.168.13.0 0.0.0.255 permit ip 192.168.1.0 0.0.0.255 any Заранее спасибо за помощь;)
Ответить \| Правка \| Cообщить модератору

Оглавление

VPN IPSEC и проброска портов, j_vw, 20:27 , 14-Янв-11, (1)

VPN IPSEC и проброска портов, InnocentS0ul, 00:44 , 15-Янв-11, (2)

Сообщения по теме [Сортировка по времени | RSS]

1. "VPN IPSEC и проброска портов" +/–

Сообщение от j_vw on 14-Янв-11, 20:27

> Поднят тунель между 871(c870-advipservicesk9-mz.124-24.T4.bin) и 2801 (c2801-advsecurityk9-mz.124-3h.bin).
> На 2801-й циске есть проброска портов на внутренние айпишники, которые должны
> быть доступны по этим же портам для другой стороны тунеля.
Чета мне ЭТО напоминает ;)
http://anticisco.ru/forum/viewtopic.php?f=2&t=1139

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "VPN IPSEC и проброска портов" +/–

Сообщение от InnocentS0ul (ok) on 15-Янв-11, 00:44

ааа.. оно, спасибо
ip nat inside source static tcp 192.168.1.245 25 217.2.1.1 25 route-map NONATMAP extendable
ip access-list extended NONAT
deny ip host 192.168.1.245 192.168.13.0 0.0.0.255
permit ip any any
route-map NONATMAP permit 10
match ip address NONAT

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "VPN IPSEC и проброска портов"	+/–
Сообщение от j_vw on 14-Янв-11, 20:27
> Поднят тунель между 871(c870-advipservicesk9-mz.124-24.T4.bin) и 2801 (c2801-advsecurityk9-mz.124-3h.bin). > На 2801-й циске есть проброска портов на внутренние айпишники, которые должны > быть доступны по этим же портам для другой стороны тунеля. Чета мне ЭТО напоминает ;) http://anticisco.ru/forum/viewtopic.php?f=2&t=1139
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "VPN IPSEC и проброска портов"	+/–
	Сообщение от InnocentS0ul (ok) on 15-Янв-11, 00:44
	ааа.. оно, спасибо ip nat inside source static tcp 192.168.1.245 25 217.2.1.1 25 route-map NONATMAP extendable ip access-list extended NONAT deny ip host 192.168.1.245 192.168.13.0 0.0.0.255 permit ip any any route-map NONATMAP permit 10 match ip address NONAT
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору