The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Traffic between PIXes"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Traffic between PIXes" 
Сообщение от ZeeD Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 17-Июн-04, 16:30  (MSK)
============ схема
-192.168.100.0/24-(515)-- PUBLIC --(501)-192.168.101.0/24-
============
Настройка 515

access-list out permit ip any any
access-list in permit ip any any
access-list dnz permit ip any any
access-list tunnel permit ip 192.168.100.0 255.255.255.0 192.168.101.0 255.255.255.0

ip address outside 1.1.1.2 255.255.255.255
ip address inside 192.168.100.1 255.255.255.0

ip local pool loc_pool 192.168.100.155-192.168.100.254

global (outside) 1 interface
nat (inside) 0 access-list tunnel
nat (inside) 1 192.168.100.0 255.255.255.0 0 0

access-group out in interface outside
access-group in in interface inside
access-group dnz in interface dmz
route outside 0.0.0.0 0.0.0.0 1.1.1.1 1

sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set ESP-3DES-MD5
crypto map mymap 5 ipsec-isakmp
crypto map mymap 5 match address tunnel
crypto map mymap 5 set peer 2.2.2.2
crypto map mymap 5 set transform-set ESP-3DES-MD5
crypto map mymap 10 ipsec-isakmp dynamic dynmap
crypto map mymap interface outside
isakmp enable outside
isakmp key ******** address 2.2.2.2 netmask 255.255.255.255 no-xauth no-config-mode
isakmp identity address
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
vpngroup mygroup address-pool loc_pool
vpngroup mygroup dns-server 192.168.100.22
vpngroup mygroup idle-time 1800
vpngroup mygroup password ********
vpngroup idle-time idle-time 1800
===============

настройка 501

access-list out permit ip any any
access-list in permit ip any any
access-list tunnel permit ip 192.168.101.0 255.255.255.0 192.168.100.0 255.255.255.0

ip address outside 2.2.2.2 255.255.255.255
ip address inside 192.168.101.1 255.255.255.0

global (outside) 1 interface
nat (inside) 0 access-list tunnel
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
access-group out in interface outside
access-group in in interface inside

route outside 0.0.0.0 0.0.0.0 2.2.2.1 1

sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto map to_515 10 ipsec-isakmp
crypto map to_515 10 match address tunnel
crypto map to_515 10 set peer 1.1.1.2
crypto map to_515 10 set transform-set ESP-3DES-MD5
crypto map to_515 interface outside
isakmp enable outside
isakmp key ******** address 1.1.1.2 netmask 255.255.255.255 no-xauth no-config-mode
isakmp identity address
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
=========
IPsec поднимается между PIX'ами, пакеты криптуются но такое ощущение что в туннель не попадают! Посылаю один ICMP пакет с машины за 501 пиксом, вижу:

501(config)# sh cry ip sa
interface: outside
Crypto map tag: to_515, local addr. 2.2.2.2

local ident (addr/mask/prot/port): (192.168.101.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.100.0/255.255.255.0/0/0)
current_peer: 1.1.1.2:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 1, #pkts encrypt: 1, #pkts digest 1
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0
==========
515(config)# sh cry ip sa
interface: outside
Crypto map tag: mymap, local addr. 1.1.1.2

local ident (addr/mask/prot/port): (192.168.100.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.101.0/255.255.255.0/0/0)
current_peer: 2.2.2.2:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
#pkts decaps: 1, #pkts decrypt: 1, #pkts verify 1
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
=========
Как сделать нормальное хождение пакетов межу 192.168.100.0/24 и 192.168.101.0/24?

И второй вопрос: коннекчусь к 515 с внешнего адреса Cisco VPN клиентом, получаю IP из пула, машиины в серой сети не вижу, но из серой сети клиента вижу, как лечить?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Traffic between PIXes" 
Сообщение от ВОЛКА emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 17-Июн-04, 16:45  (MSK)
убрать
access-group in in interface inside
  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Traffic between PIXes" 
Сообщение от ВОЛКА emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 17-Июн-04, 17:01  (MSK)
хотя же у вас всё разрешено...

а на компах циски указаны как default gateway?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Traffic between PIXes" 
Сообщение от ZeeD Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 17-Июн-04, 17:29  (MSK)
Да, кошки указаны шлюзами.
Ощущение что шаманство скрыто в 515'м пиксе.
Соединения из серой сети 501'го пикса инициализируются с серой сетью за 515'м нормально, в обратную сторону нет...

Если соедениться с 515'м извне, Cisco VPN клиентом, ситуация противоположная! Из серой сети 515'го соединение с клиентом проходит отлично(на клиенте есть www демон + ICMP ответы от клиента приходят), а с клиента инициализация гибнет на пиксе не доходя до серой сети, даже ICMP не доходит. Я уже не знаю что дебажить, голова уже не варит:(

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Traffic between PIXes" 
Сообщение от ВОЛКА emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 17-Июн-04, 17:46  (MSK)
>============ схема
>-192.168.100.0/24-(515)-- PUBLIC --(501)-192.168.101.0/24-
>============
>Настройка 515
>
>access-list out permit ip any any
>access-list in permit ip any any
>access-list dnz permit ip any any
>access-list tunnel permit ip 192.168.100.0 255.255.255.0 192.168.101.0 255.255.255.0
access-list NO-NAT permit ip 192.168.100.0 255.255.255.0 192.168.101.0 255.255.255.0
access-list NO-NAT permit ip 192.168.100.0 255.255.255.0 192.168.99.0 255.255.255.0  
>
>ip address outside 1.1.1.2 255.255.255.255
>ip address inside 192.168.100.1 255.255.255.0
>
ip local pool loc_pool 192.168.99.1-192.168.99.254
>
>global (outside) 1 interface
nat (inside) 0 access-list NO-NAT
>nat (inside) 1 192.168.100.0 255.255.255.0 0 0
>
>access-group out in interface outside
>access-group in in interface inside
>access-group dnz in interface dmz
>route outside 0.0.0.0 0.0.0.0 1.1.1.1 1
>
>sysopt connection permit-ipsec
>crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
>crypto dynamic-map dynmap 10 set transform-set ESP-3DES-MD5
>crypto map mymap 5 ipsec-isakmp
>crypto map mymap 5 match address tunnel
>crypto map mymap 5 set peer 2.2.2.2
>crypto map mymap 5 set transform-set ESP-3DES-MD5
>crypto map mymap 10 ipsec-isakmp dynamic dynmap
>crypto map mymap interface outside
>isakmp enable outside
>isakmp key ******** address 2.2.2.2 netmask 255.255.255.255 no-xauth no-config-mode
>isakmp identity address
>isakmp policy 20 authentication pre-share
>isakmp policy 20 encryption 3des
>isakmp policy 20 hash md5
>isakmp policy 20 group 2
>isakmp policy 20 lifetime 86400
>vpngroup mygroup address-pool loc_pool
>vpngroup mygroup dns-server 192.168.100.22
>vpngroup mygroup idle-time 1800
>vpngroup mygroup password ********
>vpngroup idle-time idle-time 1800
>===============
попробуй так с vpn-клиентом
  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Traffic between PIXes" 
Сообщение от ZeeD Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 17-Июн-04, 17:58  (MSK)
Так совсем работать перестало:)
  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Traffic between PIXes" 
Сообщение от Lex emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 21-Июн-04, 18:09  (MSK)
>============ схема
>-192.168.100.0/24-(515)-- PUBLIC --(501)-192.168.101.0/24-
>============

Для начала нужно добавить маршруты через vpn:
На 501
route outside 192.168.100.0 255.255.255.0 1.1.1.2

На 515
route outside 192.168.101.0 255.255.255.0 2.2.2.2

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Traffic between PIXes" 
Сообщение от ВОЛКА emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 22-Июн-04, 00:19  (MSK)
это не важно... так как на обоих PIX'ax прописан default route
  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Traffic between PIXes" 
Сообщение от Lex emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации.(??) on 22-Июн-04, 09:32  (MSK)
>это не важно... так как на обоих PIX'ax прописан default route
Создавая VPN - мы, по сути,добавляем еще один интерфейс. Для того, что бы знать, какие сетки доступны через другой конец этого интерфейса нужно прописать дополнительные роуты.
  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру