forum.opennet.ru - "VPN IPSec + NAT + Routing" (2)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"VPN IPSec + NAT + Routing"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"VPN IPSec + NAT + Routing"	+/–
Сообщение от masterok (ok) on 25-Июл-11, 22:18
Здравствуйте уважаемые коллеги! Вот такая задачка у меня уж все мозги высушил. Есть сервак на стороне у провайдера где крутятся мои сервисы, есть мой рутер cisco 2821 с кторым мне необходимо настроить VPN но причем провайдер хочет видеть шифрованные пакеты на сервак от моего имени (то есть с сорс адресом = моим внешним ИП и дст адресом нужный мне сервер) эта задача вроде решилась методом натинга, сначала я шифрую трафик от моего внешнего адреса до сервака у провайдера а потом начу любой серый адрес на мой внешний и все работает. Но проблема еще в том что есть партнеры компании которым также нужен сервис что вертится на серваке у провайдера, а условие провайдера чтобы я стал впн шлюзом для своих партнеров - создавал тунели с партнерами и кидал их запросы на сервак от своего имени (в сорс адресе пакета должен быть мой внешний адрес). Создаю тунели с партнерами и канал на провайдера падает, это еще не считая того что пакеты еще надо рутить до провайдера. На каждого партнера завожу отдельную запись в криптомапах crypto map VPN 1,2,3.... security policy тоже по отдельным последовательностям. Не работает нивкакую, конфиги жаль на данный момент не могу приложить но сэмплы при необходимости предоставлю. Буду рад совету! [ISP]----vpn-----[ME]-------vpn------partner1 \| \| \| \|--------vpn------partner2 [srv] \| .... \|--------vpn------partnerN
Ответить \| Правка \| Cообщить модератору

Оглавление

VPN IPSec + NAT + Routing, dmitry, 12:03 , 28-Июл-11, (1)

VPN IPSec + NAT + Routing, masterok, 13:48 , 29-Июл-11, (2)

Сообщения по теме [Сортировка по времени | RSS]

1. "VPN IPSec + NAT + Routing" +/–

Сообщение от dmitry (??) on 28-Июл-11, 12:03

>[оверквотинг удален]
>   |
>       |
>   |
>       |--------vpn------partner2
> [srv]
>   |
>
>    ....
>
>        |--------vpn------partnerN
конфиг бы...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "VPN IPSec + NAT + Routing" +/–

Сообщение от masterok (ok) on 29-Июл-11, 13:48

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto isakmp key 123456 address 79.170.x.x
crypto isakmp key testtest address 89.28.y.y
crypto isakmp aggressive-mode disable
!
!
crypto ipsec transform-set MY_SET esp-3des esp-sha-hmac
mode transport
!
crypto map VPN 5 ipsec-isakmp
description Crypto map sequence to Moldcell
set peer 79.170.x.x
set transform-set MY_SET
match address MY_MGMT
crypto map VPN 10 ipsec-isakmp
description Crypto map sequence to Partners
set peer 89.28.y.y
set transform-set MY_SET
match address PARTNERS
!
!
!
ip ssh authentication-retries 2
ip ssh version 2
!
!
!
!
interface Loopback0
description Management VPN inteface to turkcell
ip address 192.168.20.1 255.255.255.255
ip nat outside
ip virtual-reassembly
!
interface Loopback1
description Staff VPN interface to turkcell
ip address 192.168.30.1 255.255.255.255
ip virtual-reassembly
!
interface Loopback2
description VPN interface to Partners
ip address 192.168.35.1 255.255.255.255
!
interface GigabitEthernet0/0
description WAN Interface
ip address 89.29.*.*
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
crypto map VPN
!
interface GigabitEthernet0/1
description LAN Interface
ip address 192.168.4.254 255.255.255.0
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
duplex auto
speed auto
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 89.28.53.1
no ip http server
no ip http secure-server
!
!
!
ip access-list extended MY_MGMT
permit ip host 192.168.20.1 host 192.168.101.150
permit ip host 192.168.20.1 host 192.168.101.145
permit ip host 192.168.20.1 host 192.168.101.146
permit ip host 192.168.30.1 host 192.168.101.151
deny   ip any any
ip access-list extended PARTNERS
permit ip host 192.168.35.1 host 10.201.24.254
deny   ip any any
!
Вот конфиг, 2 тунеля поднял но теперь задача чтобы партнер стучался ко мне на адрес 192,168,35,1 и попадал на 192,168,101,151 (это адрес сервера у провайдера)
Помогите плиз очень надо!!!

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "VPN IPSec + NAT + Routing"	+/–
Сообщение от dmitry (??) on 28-Июл-11, 12:03
>[оверквотинг удален] > \| > \| > \| > \|--------vpn------partner2 > [srv] > \| > > .... > > \|--------vpn------partnerN конфиг бы...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "VPN IPSec + NAT + Routing"	+/–
	Сообщение от masterok (ok) on 29-Июл-11, 13:48
	crypto isakmp policy 1 encr 3des authentication pre-share group 2 lifetime 3600 crypto isakmp key 123456 address 79.170.x.x crypto isakmp key testtest address 89.28.y.y crypto isakmp aggressive-mode disable ! ! crypto ipsec transform-set MY_SET esp-3des esp-sha-hmac mode transport ! crypto map VPN 5 ipsec-isakmp description Crypto map sequence to Moldcell set peer 79.170.x.x set transform-set MY_SET match address MY_MGMT crypto map VPN 10 ipsec-isakmp description Crypto map sequence to Partners set peer 89.28.y.y set transform-set MY_SET match address PARTNERS ! ! ! ip ssh authentication-retries 2 ip ssh version 2 ! ! ! ! interface Loopback0 description Management VPN inteface to turkcell ip address 192.168.20.1 255.255.255.255 ip nat outside ip virtual-reassembly ! interface Loopback1 description Staff VPN interface to turkcell ip address 192.168.30.1 255.255.255.255 ip virtual-reassembly ! interface Loopback2 description VPN interface to Partners ip address 192.168.35.1 255.255.255.255 ! interface GigabitEthernet0/0 description WAN Interface ip address 89.29.. no ip unreachables no ip proxy-arp duplex auto speed auto crypto map VPN ! interface GigabitEthernet0/1 description LAN Interface ip address 192.168.4.254 255.255.255.0 no ip unreachables no ip proxy-arp ip virtual-reassembly duplex auto speed auto ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 89.28.53.1 no ip http server no ip http secure-server ! ! ! ip access-list extended MY_MGMT permit ip host 192.168.20.1 host 192.168.101.150 permit ip host 192.168.20.1 host 192.168.101.145 permit ip host 192.168.20.1 host 192.168.101.146 permit ip host 192.168.30.1 host 192.168.101.151 deny ip any any ip access-list extended PARTNERS permit ip host 192.168.35.1 host 10.201.24.254 deny ip any any ! Вот конфиг, 2 тунеля поднял но теперь задача чтобы партнер стучался ко мне на адрес 192,168,35,1 и попадал на 192,168,101,151 (это адрес сервера у провайдера) Помогите плиз очень надо!!!
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору