forum.opennet.ru - "pre-NAT and IPSEC on router" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"pre-NAT and IPSEC on router"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"pre-NAT and IPSEC on router"
Сообщение от lomo on 02-Авг-05, 14:52 (MSK)
привет! помогите plz понять в каком направлении голову вправить... Есть: cisco 831. >Cisco IOS Software, C831 Software (C831-K9O3Y6-M), Version 12.3(11)YS, RELEASE SOFTWARE (fc1) >Synched to version 12.4(0.6) что надо: ipsec(gre) tunnel with pre-NAT. Вот кусок конфига (вроде рабочего ;)): ip multicast-routing crypto isakmp policy 1 encr 3des hash md5 authentication pre-share crypto isakmp key secret address 123.123.123.123 ! crypto ipsec transform-set myvpn esp-3des esp-md5-hmac ! crypto map cmevpn 1 ipsec-isakmp set peer 123.123.123.123 set transform-set myvpn match address 100 ! interface Loopback0 ip address 10.72.0.56 255.255.255.255 ! interface Tunnel0 ip address 10.72.1.178 255.255.255.252 ip pim sparse-mode tunnel source 10.72.0.56 tunnel destination 10.72.254.1 ! interface Ethernet0 ip address 10.72.56.1 255.255.255.0 ip pim sparse-mode duplex auto speed auto no cdp enable ! interface Ethernet1 ip address 222.222.222.222 255.255.255.0 crypto map myvpn ! ip classless ip route 0.0.0.0 0.0.0.0 222.222.222.223 ip route 10.71.0.0 255.255.255.0 Tunnel0 ! ip pim rp-address 10.71.0.4 ip mroute 10.71.0.0 255.255.255.0 Tunnel0 ip route 10.1.63.0 255.255.255.0 222.222.222.223 ip route 10.1.56.0 255.255.255.0 222.222.222.223 ip route 10.1.16.0 255.255.255.0 222.222.222.223 ! 222.222.222.223 - Corp router or gateway for all IPSEC Traffic ! access-list 100 remark Permit GRE Traffic access-list 100 permit gre host 10.72.0.56 host 10.72.254.1 access-list 100 permit ip 10.1.16.0 0.0.0.255 10.72.56.0 0.0.0.255 access-list 100 permit ip 10.1.56.0 0.0.0.255 10.72.56.0 0.0.0.255 access-list 100 permit ip 10.1.63.0 0.0.0.255 10.72.56.0 0.0.0.255 --------------- Хочется чтобы один из интерфейсов cisco был в сети имел адрес из сети 192.168.33.0/24 (например: 192.168.33.2). Пробовал присвоить адрес 192.168.33.2 на Ethernet0 и делать NAT в pool 10.72.56.2-10.72.56.254, примерно так можно делать на PIX(е).. Но ничего не получилось.. Все примеры с cisco.com смотрел - все почти так, как у меня, но не до конца.. Возможно ли вообще сделать такой NAT и потом пропустить его в IPSEC? Поделитесь plz советом...
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

pre-NAT and IPSEC on router, Eduard_k, 00:07 , 03-Авг-05, (1)
- pre-NAT and IPSEC on router, lomo, 16:48 , 03-Авг-05, (2)
  - pre-NAT and IPSEC on router, Eduard_k, 18:25 , 03-Авг-05, (3)
    - pre-NAT and IPSEC on router, lomo, 20:40 , 03-Авг-05, (4)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "pre-NAT and IPSEC on router"

Сообщение от Eduard_k (ok) on 03-Авг-05, 00:07  (MSK)

>привет!
>
>помогите plz понять в каком направлении голову вправить...
>
>Есть: cisco 831.
>
>>Cisco IOS Software, C831 Software (C831-K9O3Y6-M), Version 12.3(11)YS, RELEASE SOFTWARE (fc1)
>>Synched to version 12.4(0.6)
>
>что надо: ipsec(gre) tunnel with pre-NAT.
>
>Вот кусок конфига (вроде рабочего ;)):
>
>ip multicast-routing
>crypto isakmp policy 1
> encr 3des
> hash md5
> authentication pre-share
>crypto isakmp key secret address 123.123.123.123
>!
>crypto ipsec transform-set myvpn esp-3des esp-md5-hmac
>!
>crypto map cmevpn 1 ipsec-isakmp
> set peer 123.123.123.123
> set transform-set myvpn
> match address 100
>!
>
>interface Loopback0
> ip address 10.72.0.56 255.255.255.255
>!
>
>interface Tunnel0
> ip address 10.72.1.178 255.255.255.252
> ip pim sparse-mode
> tunnel source 10.72.0.56
> tunnel destination 10.72.254.1
>!
>interface Ethernet0
> ip address 10.72.56.1 255.255.255.0
> ip pim sparse-mode
> duplex auto
> speed auto
> no cdp enable
>!
>
>interface Ethernet1
> ip address 222.222.222.222 255.255.255.0
> crypto map myvpn
>!
>ip classless
>ip route 0.0.0.0 0.0.0.0 222.222.222.223
>ip route 10.71.0.0 255.255.255.0 Tunnel0
>!
>
>ip pim rp-address 10.71.0.4
>ip mroute 10.71.0.0 255.255.255.0 Tunnel0
>ip route 10.1.63.0 255.255.255.0  222.222.222.223
>ip route 10.1.56.0 255.255.255.0  222.222.222.223
>ip route 10.1.16.0 255.255.255.0  222.222.222.223
>
>! 222.222.222.223 - Corp router or gateway for all IPSEC Traffic
>
>!
>access-list 100 remark Permit GRE Traffic
>access-list 100 permit gre host 10.72.0.56 host 10.72.254.1
>access-list 100 permit ip 10.1.16.0 0.0.0.255 10.72.56.0 0.0.0.255
>access-list 100 permit ip 10.1.56.0 0.0.0.255 10.72.56.0 0.0.0.255
>access-list 100 permit ip 10.1.63.0 0.0.0.255 10.72.56.0 0.0.0.255
>
>
>---------------
>
>Хочется чтобы один из интерфейсов cisco был в сети имел адрес из
>сети 192.168.33.0/24 (например: 192.168.33.2).
>Пробовал присвоить адрес 192.168.33.2 на Ethernet0 и делать NAT в pool 10.72.56.2-10.72.56.254,
>примерно так можно делать
>на PIX(е).. Но ничего не получилось.. Все примеры с cisco.com смотрел -
>все почти так, как у меня, но не до конца..
>
>Возможно ли вообще сделать такой NAT и потом пропустить его в IPSEC?
>
>Поделитесь plz советом...
Не очень ясна задача. Я так понимаю,
ip route 10.1.63.0 255.255.255.0  222.222.222.223
ip route 10.1.56.0 255.255.255.0  222.222.222.223
ip route 10.1.16.0 255.255.255.0  222.222.222.223 - удаленные сети, доступные по ipsec???
тогда не понятно
access-list 100 permit ip 10.1.16.0 0.0.0.255 10.72.56.0 0.0.0.255
access-list 100 permit ip 10.1.56.0 0.0.0.255 10.72.56.0 0.0.0.255
access-list 100 permit ip 10.1.63.0 0.0.0.255 10.72.56.0 0.0.0.255
должно быть наоборот
access-list 100 permit ip 10.72.56.0 0.0.0.255 10.1.16.0 0.0.0.255
и т.д.
Или я чего-то не понимаю, или ipsec  у вас не работает.
Вообще как то неясна вцелом схема, и что нужно получить.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "pre-NAT and IPSEC on router"

Сообщение от lomo on 03-Авг-05, 16:48  (MSK)

Сорри, возможно был не до конца точен...
(Конфиг того, что есть - ниже)
Делаю с машины 192.168.33.100: "ping 10.1.16.1"

ISAKMP встает..
>#sh crypto isakmp sa
>dst             src             state          conn-id slot status
>123.123.123.123  222.222.222.222   QM_IDLE           1002    0 ACTIVE
>123.123.123.123  222.222.222.222   MM_NO_STATE       1001    0 ACTIVE (deleted)
NAT отрабатывает:
>cisco831-gw#sh ip nat trans
>Pro Inside global      Inside local       Outside local      Outside global
>icmp 10.72.56.2:16687  192.168.33.100:16687 10.1.16.1:16687 10.1.16.1:16687
>--- 10.72.56.2         192.168.33.100    ---                ---
А ACL, который привязан к crypto map все попадает...
>cisco831-gw#sh access-list 100
>Extended IP access list 100
>    10 permit gre host 10.72.0.56 host 10.72.254.1 (80 matches)
>    20 permit ip 10.72.56.0 0.0.0.255 10.1.16.0 0.0.0.255 (44 matches)
>    30 permit ip 10.72.56.0 0.0.0.255 10.1.56.0 0.0.0.255 (5 matches)
>    40 permit ip 10.72.56.0 0.0.0.255 10.1.63.0 0.0.0.255

Такое чувство, что этот траффик просто уходит в Инет, а не проходит crypto map перед этим..
----------------------------------------------------------------------------------------

cisco831-cme-gw#sh run
Building configuration...
Current configuration : 5365 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname cisco831-gw
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 XXXXXXXXXXXXXXXXXXXXX
!
no aaa new-model
!
resource policy
!
ip subnet-zero
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1
!
!
ip cef
ip domain name test.domain.com
ip name-server 172.27.1.5
ip multicast-routing
no ip ips deny-action ips-interface
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
crypto isakmp key secret address 123.123.123.123
!
!
crypto ipsec transform-set 3desmd5 esp-3des esp-md5-hmac
!
crypto map mymap 10 ipsec-isakmp
set peer 123.123.123.123
set transform-set 3desmd5
match address 100
!
!
!
interface Tunnel0
ip address 10.72.1.178 255.255.255.252
ip pim sparse-mode
tunnel source 10.72.0.56
tunnel destination 10.72.254.1
!
interface Loopback0
ip address 10.72.0.56 255.255.255.255
!
interface Ethernet0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-Ethernet 10/100$
ip address 192.168.33.2 255.255.255.0
ip pim sparse-mode
ip nat inside
ip virtual-reassembly
no cdp enable
!
interface Ethernet1
description $ES_WAN$
ip address 222.222.222.222 255.255.255.248
ip access-group 101 in
ip nat outside
ip virtual-reassembly
duplex auto
crypto map m
!
interface Ethernet2
no ip address
ip pim sparse-mode
ip nat outside
ip virtual-reassembly
shutdown
no cdp enable
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 222.222.222.223
ip route 10.1.16.0 255.255.255.0 222.222.222.223
ip route 10.1.56.0 255.255.255.0 222.222.222.223
ip route 10.1.63.0 255.255.255.0 222.222.222.223
ip route 10.71.0.0 255.255.255.0 Tunnel0
ip route 123.123.123.123 255.255.255.255 222.222.222.223
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
!
ip pim rp-address 10.71.0.4
ip mroute 10.71.0.0 255.255.255.0 Tunnel0
ip nat pool mypool 10.72.56.2 10.72.56.254 netmask 255.255.255.0
ip nat inside source list 103 pool mypool
!
access-list 100 remark Permit GRE Traffic
access-list 100 permit ip 10.72.56.0 0.0.0.255 10.1.16.0 0.0.0.255
access-list 100 permit ip 10.72.56.0 0.0.0.255 10.1.56.0 0.0.0.255
access-list 100 permit ip 10.72.56.0 0.0.0.255 10.1.63.0 0.0.0.255
access-list 101 permit gre host 160.81.179.10 any
access-list 101 deny   tcp any any eq telnet log-input
access-list 101 deny   udp any any eq syslog log-input
access-list 101 deny   tcp any any eq cmd log-input
access-list 101 permit ip any any
access-list 101 permit icmp any any
access-list 103 permit ip 192.168.33.0 0.0.0.255 10.1.63.0 0.0.0.255
access-list 103 permit ip 192.168.33.0 0.0.0.255 10.1.56.0 0.0.0.255
access-list 103 permit ip 192.168.33.0 0.0.0.255 10.1.16.0 0.0.0.255
!
control-plane
!
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end
cisco831-cme-gw#

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "pre-NAT and IPSEC on router"

Сообщение от Eduard_k (??) on 03-Авг-05, 18:25  (MSK)

>Сорри, возможно был не до конца точен...
>(Конфиг того, что есть - ниже)
>
>Делаю с машины 192.168.33.100: "ping 10.1.16.1"
>
>
>ISAKMP встает..
>
>>#sh crypto isakmp sa
>>dst             src             state          conn-id slot status
>>123.123.123.123  222.222.222.222   QM_IDLE           1002    0 ACTIVE
>>123.123.123.123  222.222.222.222   MM_NO_STATE       1001    0 ACTIVE (deleted)
>
>NAT отрабатывает:
>
>>cisco831-gw#sh ip nat trans
>>Pro Inside global      Inside local       Outside local      Outside global
>>icmp 10.72.56.2:16687  192.168.33.100:16687 10.1.16.1:16687 10.1.16.1:16687
>>--- 10.72.56.2         192.168.33.100    ---                ---
>
>А ACL, который привязан к crypto map все попадает...
>
>>cisco831-gw#sh access-list 100
>>Extended IP access list 100
>>    10 permit gre host 10.72.0.56 host 10.72.254.1 (80 matches)
>>    20 permit ip 10.72.56.0 0.0.0.255 10.1.16.0 0.0.0.255 (44 matches)
>>    30 permit ip 10.72.56.0 0.0.0.255 10.1.56.0 0.0.0.255 (5 matches)
>>    40 permit ip 10.72.56.0 0.0.0.255 10.1.63.0 0.0.0.255
>
>
>Такое чувство, что этот траффик просто уходит в Инет, а не проходит
>crypto map перед этим..
>
>----------------------------------------------------------------------------------------
>
>
>
>cisco831-cme-gw#sh run
>Building configuration...
>
>Current configuration : 5365 bytes
>!
>version 12.3
>no service pad
>service timestamps debug datetime msec localtime show-timezone
>service timestamps log datetime msec localtime show-timezone
>service password-encryption
>!
>hostname cisco831-gw
>!
>boot-start-marker
>boot-end-marker
>!
>logging buffered 51200 warnings
>enable secret 5 XXXXXXXXXXXXXXXXXXXXX
>!
>no aaa new-model
>!
>resource policy
>!
>ip subnet-zero
>no ip dhcp use vrf connected
>ip dhcp excluded-address 10.10.10.1
>!
>!
>ip cef
>ip domain name test.domain.com
>ip name-server 172.27.1.5
>ip multicast-routing
>no ip ips deny-action ips-interface
>
>!
>!
>crypto isakmp policy 10
> encr 3des
> hash md5
> authentication pre-share
>crypto isakmp key secret address 123.123.123.123
>!
>!
>crypto ipsec transform-set 3desmd5 esp-3des esp-md5-hmac
>!
>crypto map mymap 10 ipsec-isakmp
> set peer 123.123.123.123
> set transform-set 3desmd5
> match address 100
>!
>!
>!
>interface Tunnel0
> ip address 10.72.1.178 255.255.255.252
> ip pim sparse-mode
> tunnel source 10.72.0.56
> tunnel destination 10.72.254.1
>!
>interface Loopback0
> ip address 10.72.0.56 255.255.255.255
>!
>interface Ethernet0
> description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-Ethernet 10/100$
> ip address 192.168.33.2 255.255.255.0
> ip pim sparse-mode
> ip nat inside
> ip virtual-reassembly
> no cdp enable
>!
>interface Ethernet1
> description $ES_WAN$
> ip address 222.222.222.222 255.255.255.248
> ip access-group 101 in
> ip nat outside
> ip virtual-reassembly
> duplex auto
> crypto map m
>!
>interface Ethernet2
> no ip address
> ip pim sparse-mode
> ip nat outside
> ip virtual-reassembly
> shutdown
> no cdp enable
>!
>interface FastEthernet1
> duplex auto
> speed auto
>!
>interface FastEthernet2
> duplex auto
> speed auto
>!
>interface FastEthernet3
> duplex auto
> speed auto
>!
>interface FastEthernet4
> duplex auto
> speed auto
>!
>ip classless
>ip route 0.0.0.0 0.0.0.0 222.222.222.223
>ip route 10.1.16.0 255.255.255.0 222.222.222.223
>ip route 10.1.56.0 255.255.255.0 222.222.222.223
>ip route 10.1.63.0 255.255.255.0 222.222.222.223
>ip route 10.71.0.0 255.255.255.0 Tunnel0
>ip route 123.123.123.123 255.255.255.255 222.222.222.223
>ip http server
>ip http authentication local
>ip http secure-server
>ip http timeout-policy idle 600 life 86400 requests 10000
>!
>ip pim rp-address 10.71.0.4
>ip mroute 10.71.0.0 255.255.255.0 Tunnel0
>ip nat pool mypool 10.72.56.2 10.72.56.254 netmask 255.255.255.0
>ip nat inside source list 103 pool mypool
>!
>access-list 100 remark Permit GRE Traffic
>access-list 100 permit ip 10.72.56.0 0.0.0.255 10.1.16.0 0.0.0.255
>access-list 100 permit ip 10.72.56.0 0.0.0.255 10.1.56.0 0.0.0.255
>access-list 100 permit ip 10.72.56.0 0.0.0.255 10.1.63.0 0.0.0.255
>access-list 101 permit gre host 160.81.179.10 any
>access-list 101 deny   tcp any any eq telnet log-input
>access-list 101 deny   udp any any eq syslog log-input
>access-list 101 deny   tcp any any eq cmd log-input
>access-list 101 permit ip any any
>access-list 101 permit icmp any any
>access-list 103 permit ip 192.168.33.0 0.0.0.255 10.1.63.0 0.0.0.255
>access-list 103 permit ip 192.168.33.0 0.0.0.255 10.1.56.0 0.0.0.255
>access-list 103 permit ip 192.168.33.0 0.0.0.255 10.1.16.0 0.0.0.255
>!
>control-plane
>!
>!
>line con 0
> login local
> no modem enable
>line aux 0
>line vty 0 4
> privilege level 15
> login local
> transport input telnet ssh
>!
>scheduler max-task-time 5000
>end
>
>cisco831-cme-gw#
>#sh crypto isakmp sa
>dst             src             state          conn-id slot status
>123.123.123.123  222.222.222.222   QM_IDLE           1002    0 ACTIVE
>123.123.123.123  222.222.222.222   MM_NO_STATE       1001    0 ACTIVE (deleted)
conn id 1002 - это тоннель у вас врядли встает. посмотрите deb crypto isakmp - сразу увидите.

Мне кажется, прблема с access-list 101
для начала надо
1)
access-list 101 permit udp host 123.123.123.123 host222.222.222.222 eq 500
access-list 101 permit 50 host 123.123.123.123 host 222.222.222.222
access-list 101 permit 51 host 123.123.123.123 host 222.222.222.222
2)permit ip 10.1.16.0 0.0.0.255 10.72.56.0 0.0.0.255 и т.д.
потому что трафик будет проверяться акцесс листом 2 раза.
и с натом по-моему криво
может проще с той стороны роут прописать на 192.168.33.0 255.255.255.0 и обойтись без ната.
а если без этого нельзя тогда создавать еще один loopback c адресом 10.72.56.1 и он будет nat outside, но уж точно не eth1

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "pre-NAT and IPSEC on router"

Сообщение от lomo on 03-Авг-05, 20:40  (MSK)

>conn id 1002 - это тоннель у вас врядли встает. посмотрите deb
>crypto isakmp - сразу увидите.
Вот такой вот debug я получаю после clear crypto sa и последующего ping(а) в cеть назначения:
*Mar  8 23:34:28.532 UTC: ISAKMP: set new node 0 to QM_IDLE
*Mar  8 23:34:28.532 UTC: ISAKMP:(1016): sitting IDLE. Starting QM immediately (QM_IDLE      )
*Mar  8 23:34:28.532 UTC: ISAKMP:(1016):beginning Quick Mode exchange, M-ID of -2128586135
*Mar  8 23:34:28.540 UTC: ISAKMP:(1016): sending packet to XXXXXX my_port 500 peer_port 500 (I) QM_IDLE
*Mar  8 23:34:28.540 UTC: ISAKMP:(1016):Node -2128586135, Input = IKE_MESG_INTERNAL, IKE_INIT_QM
*Mar  8 23:34:28.540 UTC: ISAKMP:(1016):Old State = IKE_QM_READY  New State = IKE_QM_I_QM1
*Mar  8 23:34:28.564 UTC: ISAKMP (0:1016): received packet from XXXXXXXXXXXX dport 500 sport 500 Global (I) QM_IDLE
*Mar  8 23:34:28.564 UTC: ISAKMP: set new node 1616188392 to QM_IDLE
*Mar  8 23:34:28.572 UTC: ISAKMP:(1016): processing HASH payload. message ID = 1616188392
*Mar  8 23:34:28.576 UTC: ISAKMP:(1016): processing NOTIFY PROPOSAL_NOT_CHOSEN protocol 3
        spi 3739858741, message ID = 1616188392, sa = 8188C97C
*Mar  8 23:34:28.576 UTC: ISAKMP:(1016): deleting spi 3739858741 message ID = -2128586135
*Mar  8 23:34:28.576 UTC: ISAKMP:(1016):deleting node -2128586135 error TRUE reason "Delete Larval"
*Mar  8 23:34:28.576 UTC: ISAKMP:(1016):deleting node 1616188392 error FALSE reason "Informational (in) state 1"
*Mar  8 23:34:28.576 UTC: ISAKMP:(1016):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY
*Mar  8 23:34:28.576 UTC: ISAKMP:(1016):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE

Вроде все встает...
>
>
>Мне кажется, прблема с access-list 101
>для начала надо
>1)
>access-list 101 permit udp host 123.123.123.123 host222.222.222.222 eq 500
>access-list 101 permit 50 host 123.123.123.123 host 222.222.222.222
>access-list 101 permit 51 host 123.123.123.123 host 222.222.222.222
Добавил, но совпадений (matches) нет.. Ну пусть будет..
>2)permit ip 10.1.16.0 0.0.0.255 10.72.56.0 0.0.0.255 и т.д.
>потому что трафик будет проверяться акцесс листом 2 раза.
А это к какому ACL относится? Явно не к 101, т.к. такого траффика на 101 просто нет...

>а если без этого нельзя тогда создавать еще один loopback c адресом
>10.72.56.1 и он будет nat outside, но уж точно не eth1
>
Я пробовал так сделать, но почему-то никаких NAT-трансляций не возникало..

Еще странно, что я не нашел примеров на cisco.com для моего случая.. :)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "pre-NAT and IPSEC on router"
Сообщение от Eduard_k (ok) on 03-Авг-05, 00:07 (MSK)
>привет! > >помогите plz понять в каком направлении голову вправить... > >Есть: cisco 831. > >>Cisco IOS Software, C831 Software (C831-K9O3Y6-M), Version 12.3(11)YS, RELEASE SOFTWARE (fc1) >>Synched to version 12.4(0.6) > >что надо: ipsec(gre) tunnel with pre-NAT. > >Вот кусок конфига (вроде рабочего ;)): > >ip multicast-routing >crypto isakmp policy 1 > encr 3des > hash md5 > authentication pre-share >crypto isakmp key secret address 123.123.123.123 >! >crypto ipsec transform-set myvpn esp-3des esp-md5-hmac >! >crypto map cmevpn 1 ipsec-isakmp > set peer 123.123.123.123 > set transform-set myvpn > match address 100 >! > >interface Loopback0 > ip address 10.72.0.56 255.255.255.255 >! > >interface Tunnel0 > ip address 10.72.1.178 255.255.255.252 > ip pim sparse-mode > tunnel source 10.72.0.56 > tunnel destination 10.72.254.1 >! >interface Ethernet0 > ip address 10.72.56.1 255.255.255.0 > ip pim sparse-mode > duplex auto > speed auto > no cdp enable >! > >interface Ethernet1 > ip address 222.222.222.222 255.255.255.0 > crypto map myvpn >! >ip classless >ip route 0.0.0.0 0.0.0.0 222.222.222.223 >ip route 10.71.0.0 255.255.255.0 Tunnel0 >! > >ip pim rp-address 10.71.0.4 >ip mroute 10.71.0.0 255.255.255.0 Tunnel0 >ip route 10.1.63.0 255.255.255.0 222.222.222.223 >ip route 10.1.56.0 255.255.255.0 222.222.222.223 >ip route 10.1.16.0 255.255.255.0 222.222.222.223 > >! 222.222.222.223 - Corp router or gateway for all IPSEC Traffic > >! >access-list 100 remark Permit GRE Traffic >access-list 100 permit gre host 10.72.0.56 host 10.72.254.1 >access-list 100 permit ip 10.1.16.0 0.0.0.255 10.72.56.0 0.0.0.255 >access-list 100 permit ip 10.1.56.0 0.0.0.255 10.72.56.0 0.0.0.255 >access-list 100 permit ip 10.1.63.0 0.0.0.255 10.72.56.0 0.0.0.255 > > >--------------- > >Хочется чтобы один из интерфейсов cisco был в сети имел адрес из >сети 192.168.33.0/24 (например: 192.168.33.2). >Пробовал присвоить адрес 192.168.33.2 на Ethernet0 и делать NAT в pool 10.72.56.2-10.72.56.254, >примерно так можно делать >на PIX(е).. Но ничего не получилось.. Все примеры с cisco.com смотрел - >все почти так, как у меня, но не до конца.. > >Возможно ли вообще сделать такой NAT и потом пропустить его в IPSEC? > >Поделитесь plz советом... Не очень ясна задача. Я так понимаю, ip route 10.1.63.0 255.255.255.0 222.222.222.223 ip route 10.1.56.0 255.255.255.0 222.222.222.223 ip route 10.1.16.0 255.255.255.0 222.222.222.223 - удаленные сети, доступные по ipsec??? тогда не понятно access-list 100 permit ip 10.1.16.0 0.0.0.255 10.72.56.0 0.0.0.255 access-list 100 permit ip 10.1.56.0 0.0.0.255 10.72.56.0 0.0.0.255 access-list 100 permit ip 10.1.63.0 0.0.0.255 10.72.56.0 0.0.0.255 должно быть наоборот access-list 100 permit ip 10.72.56.0 0.0.0.255 10.1.16.0 0.0.0.255 и т.д. Или я чего-то не понимаю, или ipsec у вас не работает. Вообще как то неясна вцелом схема, и что нужно получить.
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "pre-NAT and IPSEC on router"
	Сообщение от lomo on 03-Авг-05, 16:48 (MSK)
	Сорри, возможно был не до конца точен... (Конфиг того, что есть - ниже) Делаю с машины 192.168.33.100: "ping 10.1.16.1" ISAKMP встает.. >#sh crypto isakmp sa >dst src state conn-id slot status >123.123.123.123 222.222.222.222 QM_IDLE 1002 0 ACTIVE >123.123.123.123 222.222.222.222 MM_NO_STATE 1001 0 ACTIVE (deleted) NAT отрабатывает: >cisco831-gw#sh ip nat trans >Pro Inside global Inside local Outside local Outside global >icmp 10.72.56.2:16687 192.168.33.100:16687 10.1.16.1:16687 10.1.16.1:16687 >--- 10.72.56.2 192.168.33.100 --- --- А ACL, который привязан к crypto map все попадает... >cisco831-gw#sh access-list 100 >Extended IP access list 100 > 10 permit gre host 10.72.0.56 host 10.72.254.1 (80 matches) > 20 permit ip 10.72.56.0 0.0.0.255 10.1.16.0 0.0.0.255 (44 matches) > 30 permit ip 10.72.56.0 0.0.0.255 10.1.56.0 0.0.0.255 (5 matches) > 40 permit ip 10.72.56.0 0.0.0.255 10.1.63.0 0.0.0.255 Такое чувство, что этот траффик просто уходит в Инет, а не проходит crypto map перед этим.. ---------------------------------------------------------------------------------------- cisco831-cme-gw#sh run Building configuration... Current configuration : 5365 bytes ! version 12.3 no service pad service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption ! hostname cisco831-gw ! boot-start-marker boot-end-marker ! logging buffered 51200 warnings enable secret 5 XXXXXXXXXXXXXXXXXXXXX ! no aaa new-model ! resource policy ! ip subnet-zero no ip dhcp use vrf connected ip dhcp excluded-address 10.10.10.1 ! ! ip cef ip domain name test.domain.com ip name-server 172.27.1.5 ip multicast-routing no ip ips deny-action ips-interface ! ! crypto isakmp policy 10 encr 3des hash md5 authentication pre-share crypto isakmp key secret address 123.123.123.123 ! ! crypto ipsec transform-set 3desmd5 esp-3des esp-md5-hmac ! crypto map mymap 10 ipsec-isakmp set peer 123.123.123.123 set transform-set 3desmd5 match address 100 ! ! ! interface Tunnel0 ip address 10.72.1.178 255.255.255.252 ip pim sparse-mode tunnel source 10.72.0.56 tunnel destination 10.72.254.1 ! interface Loopback0 ip address 10.72.0.56 255.255.255.255 ! interface Ethernet0 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-Ethernet 10/100$ ip address 192.168.33.2 255.255.255.0 ip pim sparse-mode ip nat inside ip virtual-reassembly no cdp enable ! interface Ethernet1 description $ES_WAN$ ip address 222.222.222.222 255.255.255.248 ip access-group 101 in ip nat outside ip virtual-reassembly duplex auto crypto map m ! interface Ethernet2 no ip address ip pim sparse-mode ip nat outside ip virtual-reassembly shutdown no cdp enable ! interface FastEthernet1 duplex auto speed auto ! interface FastEthernet2 duplex auto speed auto ! interface FastEthernet3 duplex auto speed auto ! interface FastEthernet4 duplex auto speed auto ! ip classless ip route 0.0.0.0 0.0.0.0 222.222.222.223 ip route 10.1.16.0 255.255.255.0 222.222.222.223 ip route 10.1.56.0 255.255.255.0 222.222.222.223 ip route 10.1.63.0 255.255.255.0 222.222.222.223 ip route 10.71.0.0 255.255.255.0 Tunnel0 ip route 123.123.123.123 255.255.255.255 222.222.222.223 ip http server ip http authentication local ip http secure-server ip http timeout-policy idle 600 life 86400 requests 10000 ! ip pim rp-address 10.71.0.4 ip mroute 10.71.0.0 255.255.255.0 Tunnel0 ip nat pool mypool 10.72.56.2 10.72.56.254 netmask 255.255.255.0 ip nat inside source list 103 pool mypool ! access-list 100 remark Permit GRE Traffic access-list 100 permit ip 10.72.56.0 0.0.0.255 10.1.16.0 0.0.0.255 access-list 100 permit ip 10.72.56.0 0.0.0.255 10.1.56.0 0.0.0.255 access-list 100 permit ip 10.72.56.0 0.0.0.255 10.1.63.0 0.0.0.255 access-list 101 permit gre host 160.81.179.10 any access-list 101 deny tcp any any eq telnet log-input access-list 101 deny udp any any eq syslog log-input access-list 101 deny tcp any any eq cmd log-input access-list 101 permit ip any any access-list 101 permit icmp any any access-list 103 permit ip 192.168.33.0 0.0.0.255 10.1.63.0 0.0.0.255 access-list 103 permit ip 192.168.33.0 0.0.0.255 10.1.56.0 0.0.0.255 access-list 103 permit ip 192.168.33.0 0.0.0.255 10.1.16.0 0.0.0.255 ! control-plane ! ! line con 0 login local no modem enable line aux 0 line vty 0 4 privilege level 15 login local transport input telnet ssh ! scheduler max-task-time 5000 end cisco831-cme-gw#
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "pre-NAT and IPSEC on router"
	Сообщение от Eduard_k (??) on 03-Авг-05, 18:25 (MSK)
	>Сорри, возможно был не до конца точен... >(Конфиг того, что есть - ниже) > >Делаю с машины 192.168.33.100: "ping 10.1.16.1" > > >ISAKMP встает.. > >>#sh crypto isakmp sa >>dst src state conn-id slot status >>123.123.123.123 222.222.222.222 QM_IDLE 1002 0 ACTIVE >>123.123.123.123 222.222.222.222 MM_NO_STATE 1001 0 ACTIVE (deleted) > >NAT отрабатывает: > >>cisco831-gw#sh ip nat trans >>Pro Inside global Inside local Outside local Outside global >>icmp 10.72.56.2:16687 192.168.33.100:16687 10.1.16.1:16687 10.1.16.1:16687 >>--- 10.72.56.2 192.168.33.100 --- --- > >А ACL, который привязан к crypto map все попадает... > >>cisco831-gw#sh access-list 100 >>Extended IP access list 100 >> 10 permit gre host 10.72.0.56 host 10.72.254.1 (80 matches) >> 20 permit ip 10.72.56.0 0.0.0.255 10.1.16.0 0.0.0.255 (44 matches) >> 30 permit ip 10.72.56.0 0.0.0.255 10.1.56.0 0.0.0.255 (5 matches) >> 40 permit ip 10.72.56.0 0.0.0.255 10.1.63.0 0.0.0.255 > > >Такое чувство, что этот траффик просто уходит в Инет, а не проходит >crypto map перед этим.. > >---------------------------------------------------------------------------------------- > > > >cisco831-cme-gw#sh run >Building configuration... > >Current configuration : 5365 bytes >! >version 12.3 >no service pad >service timestamps debug datetime msec localtime show-timezone >service timestamps log datetime msec localtime show-timezone >service password-encryption >! >hostname cisco831-gw >! >boot-start-marker >boot-end-marker >! >logging buffered 51200 warnings >enable secret 5 XXXXXXXXXXXXXXXXXXXXX >! >no aaa new-model >! >resource policy >! >ip subnet-zero >no ip dhcp use vrf connected >ip dhcp excluded-address 10.10.10.1 >! >! >ip cef >ip domain name test.domain.com >ip name-server 172.27.1.5 >ip multicast-routing >no ip ips deny-action ips-interface > >! >! >crypto isakmp policy 10 > encr 3des > hash md5 > authentication pre-share >crypto isakmp key secret address 123.123.123.123 >! >! >crypto ipsec transform-set 3desmd5 esp-3des esp-md5-hmac >! >crypto map mymap 10 ipsec-isakmp > set peer 123.123.123.123 > set transform-set 3desmd5 > match address 100 >! >! >! >interface Tunnel0 > ip address 10.72.1.178 255.255.255.252 > ip pim sparse-mode > tunnel source 10.72.0.56 > tunnel destination 10.72.254.1 >! >interface Loopback0 > ip address 10.72.0.56 255.255.255.255 >! >interface Ethernet0 > description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-Ethernet 10/100$ > ip address 192.168.33.2 255.255.255.0 > ip pim sparse-mode > ip nat inside > ip virtual-reassembly > no cdp enable >! >interface Ethernet1 > description $ES_WAN$ > ip address 222.222.222.222 255.255.255.248 > ip access-group 101 in > ip nat outside > ip virtual-reassembly > duplex auto > crypto map m >! >interface Ethernet2 > no ip address > ip pim sparse-mode > ip nat outside > ip virtual-reassembly > shutdown > no cdp enable >! >interface FastEthernet1 > duplex auto > speed auto >! >interface FastEthernet2 > duplex auto > speed auto >! >interface FastEthernet3 > duplex auto > speed auto >! >interface FastEthernet4 > duplex auto > speed auto >! >ip classless >ip route 0.0.0.0 0.0.0.0 222.222.222.223 >ip route 10.1.16.0 255.255.255.0 222.222.222.223 >ip route 10.1.56.0 255.255.255.0 222.222.222.223 >ip route 10.1.63.0 255.255.255.0 222.222.222.223 >ip route 10.71.0.0 255.255.255.0 Tunnel0 >ip route 123.123.123.123 255.255.255.255 222.222.222.223 >ip http server >ip http authentication local >ip http secure-server >ip http timeout-policy idle 600 life 86400 requests 10000 >! >ip pim rp-address 10.71.0.4 >ip mroute 10.71.0.0 255.255.255.0 Tunnel0 >ip nat pool mypool 10.72.56.2 10.72.56.254 netmask 255.255.255.0 >ip nat inside source list 103 pool mypool >! >access-list 100 remark Permit GRE Traffic >access-list 100 permit ip 10.72.56.0 0.0.0.255 10.1.16.0 0.0.0.255 >access-list 100 permit ip 10.72.56.0 0.0.0.255 10.1.56.0 0.0.0.255 >access-list 100 permit ip 10.72.56.0 0.0.0.255 10.1.63.0 0.0.0.255 >access-list 101 permit gre host 160.81.179.10 any >access-list 101 deny tcp any any eq telnet log-input >access-list 101 deny udp any any eq syslog log-input >access-list 101 deny tcp any any eq cmd log-input >access-list 101 permit ip any any >access-list 101 permit icmp any any >access-list 103 permit ip 192.168.33.0 0.0.0.255 10.1.63.0 0.0.0.255 >access-list 103 permit ip 192.168.33.0 0.0.0.255 10.1.56.0 0.0.0.255 >access-list 103 permit ip 192.168.33.0 0.0.0.255 10.1.16.0 0.0.0.255 >! >control-plane >! >! >line con 0 > login local > no modem enable >line aux 0 >line vty 0 4 > privilege level 15 > login local > transport input telnet ssh >! >scheduler max-task-time 5000 >end > >cisco831-cme-gw# >#sh crypto isakmp sa >dst src state conn-id slot status >123.123.123.123 222.222.222.222 QM_IDLE 1002 0 ACTIVE >123.123.123.123 222.222.222.222 MM_NO_STATE 1001 0 ACTIVE (deleted) conn id 1002 - это тоннель у вас врядли встает. посмотрите deb crypto isakmp - сразу увидите. Мне кажется, прблема с access-list 101 для начала надо 1) access-list 101 permit udp host 123.123.123.123 host222.222.222.222 eq 500 access-list 101 permit 50 host 123.123.123.123 host 222.222.222.222 access-list 101 permit 51 host 123.123.123.123 host 222.222.222.222 2)permit ip 10.1.16.0 0.0.0.255 10.72.56.0 0.0.0.255 и т.д. потому что трафик будет проверяться акцесс листом 2 раза. и с натом по-моему криво может проще с той стороны роут прописать на 192.168.33.0 255.255.255.0 и обойтись без ната. а если без этого нельзя тогда создавать еще один loopback c адресом 10.72.56.1 и он будет nat outside, но уж точно не eth1
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "pre-NAT and IPSEC on router"
	Сообщение от lomo on 03-Авг-05, 20:40 (MSK)
	>conn id 1002 - это тоннель у вас врядли встает. посмотрите deb >crypto isakmp - сразу увидите. Вот такой вот debug я получаю после clear crypto sa и последующего ping(а) в cеть назначения: Mar 8 23:34:28.532 UTC: ISAKMP: set new node 0 to QM_IDLE Mar 8 23:34:28.532 UTC: ISAKMP:(1016): sitting IDLE. Starting QM immediately (QM_IDLE ) Mar 8 23:34:28.532 UTC: ISAKMP:(1016):beginning Quick Mode exchange, M-ID of -2128586135 Mar 8 23:34:28.540 UTC: ISAKMP:(1016): sending packet to XXXXXX my_port 500 peer_port 500 (I) QM_IDLE Mar 8 23:34:28.540 UTC: ISAKMP:(1016):Node -2128586135, Input = IKE_MESG_INTERNAL, IKE_INIT_QM Mar 8 23:34:28.540 UTC: ISAKMP:(1016):Old State = IKE_QM_READY New State = IKE_QM_I_QM1 Mar 8 23:34:28.564 UTC: ISAKMP (0:1016): received packet from XXXXXXXXXXXX dport 500 sport 500 Global (I) QM_IDLE Mar 8 23:34:28.564 UTC: ISAKMP: set new node 1616188392 to QM_IDLE Mar 8 23:34:28.572 UTC: ISAKMP:(1016): processing HASH payload. message ID = 1616188392 Mar 8 23:34:28.576 UTC: ISAKMP:(1016): processing NOTIFY PROPOSAL_NOT_CHOSEN protocol 3 spi 3739858741, message ID = 1616188392, sa = 8188C97C Mar 8 23:34:28.576 UTC: ISAKMP:(1016): deleting spi 3739858741 message ID = -2128586135 Mar 8 23:34:28.576 UTC: ISAKMP:(1016):deleting node -2128586135 error TRUE reason "Delete Larval" Mar 8 23:34:28.576 UTC: ISAKMP:(1016):deleting node 1616188392 error FALSE reason "Informational (in) state 1" Mar 8 23:34:28.576 UTC: ISAKMP:(1016):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY *Mar 8 23:34:28.576 UTC: ISAKMP:(1016):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE Вроде все встает... > > >Мне кажется, прблема с access-list 101 >для начала надо >1) >access-list 101 permit udp host 123.123.123.123 host222.222.222.222 eq 500 >access-list 101 permit 50 host 123.123.123.123 host 222.222.222.222 >access-list 101 permit 51 host 123.123.123.123 host 222.222.222.222 Добавил, но совпадений (matches) нет.. Ну пусть будет.. >2)permit ip 10.1.16.0 0.0.0.255 10.72.56.0 0.0.0.255 и т.д. >потому что трафик будет проверяться акцесс листом 2 раза. А это к какому ACL относится? Явно не к 101, т.к. такого траффика на 101 просто нет... >а если без этого нельзя тогда создавать еще один loopback c адресом >10.72.56.1 и он будет nat outside, но уж точно не eth1 > Я пробовал так сделать, но почему-то никаких NAT-трансляций не возникало.. Еще странно, что я не нашел примеров на cisco.com для моего случая.. :)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]