форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"IPSec между Белым и серым адресом , ребят выручайте"
Сообщение от Изгой (ok) on 07-Окт-05, 16:01  (MSK)
Озадачил меня начальник задачей , циска в живую у меня первая,кхе кхе, В общем всё вроде бы просто , но не хватат знаний и практики. Очень прошу помочь советами. Задача такова , есть офис , смотрит в инет по белому адресу через циску , на циску клиенты выходят через прокссисервер, и есть удалённое подразделение которое смотрит в инет по серому адресу через прова , там маршрутизатор Телесин, там поднят нат и фаерволл, задача такая по запросу той или иной стороны должен создатся ipsec туннель , и при этом должен остаться выход в инет и у той стороны и у другой. Вопрос первый - возможно ли вообще создать ipsec  между белым и серым адресом. Вопрос второй - если возможно создать ipsec  между белым и серым адресом , то возможно ли сделать так чтоб при этом клиенты спокойно ходили в инет. вопрос 3 - если так невозможно , то как обьяснить всё шефу(( Оборудование поддерживает ipsec . Если можно то от кусочков конфигоф я бы не отказался бы и был бы рад. Как я понимаю эту задачу -поднять Ipsec с двух сторон с ключами , прописать для этого трафик который шифруется , остальной будет соответсятвенно инет трафиком.. NAT  соответственно с телесима убрать , поставить перед телсимом прокси сервер. Вот будет ли так работать вот в чём вопрос.
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Сообщения по теме

[Сортировка по времени, UBB]

1. "IPSec между Белым и серым адресом , ребят выручайте"
Сообщение от Иван (??) on 07-Окт-05, 17:58  (MSK)
>Вопрос первый - возможно ли вообще создать ipsec  между белым и >серым адресом. >Вопрос второй - если возможно создать ipsec  между белым и серым >адресом > , то возможно ли сделать так чтоб при этом клиенты спокойно >ходили в инет. >вопрос 3 - если так невозможно , то как обьяснить всё шефу(( Я в IPSec не спец, но интересно как белый адрес будет искать серый адрес через сеть? Т.е. в любом случае тебе нужно юзать белый адреса, а будет ли это собственный или провайдер будет тебе делать редирект по портам не знаю. А что пров такой бедный на айпишники, что не может дать один белый адрес?
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "IPSec между Белым и серым адресом , ребят выручайте"
	Сообщение от toor99 (??) on 08-Окт-05, 17:46  (MSK)
	>Я в IPSec не спец, но интересно как белый адрес будет искать >серый адрес через сеть? У него NAT. Ему надо лишь пробросить 500 порт UDP вовнутрь, чтобы ISAKMP с "белого" на "серый" адрес смог инициироваьт обмен ключами. Если это невозможно, то либо всегда инициировать обмен с "серого" адреса на "белый", либо вообще отказаться от ISAKMP и использовать статику.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "IPSec между Белым и серым адресом , ребят выручайте"
Сообщение от toor99 (??) on 08-Окт-05, 17:44  (MSK)
На 1-й и 2-й вопросы ответ положительный. 1) Есть такая вещь под названием IPSec NAT Traversal. Это инкапсуляция ESP-пакетов в пакеты UDP. Его поддерживают уже, кажется, все мало-мальски приличные устройства. 2) Надо правильно настроить маршрутизацию и NAT.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "IPSec между Белым и серым адресом , ребят выручайте"
	Сообщение от Изгой (??) on 10-Окт-05, 09:05  (MSK)
	>На 1-й и 2-й вопросы ответ положительный. >1) Есть такая вещь под названием IPSec NAT Traversal. Это инкапсуляция ESP-пакетов >в пакеты UDP. Его поддерживают уже, кажется, все мало-мальски приличные устройства. > >2) Надо правильно настроить маршрутизацию и NAT. Спасибо большое на  ответы буду пробывать.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "IPSec между Белым и серым адресом , ребят выручайте"
	Сообщение от Изгой (??) on 11-Окт-05, 12:37  (MSK)
	Продолжение .Братия и сестры !!! к вам обращаюсь я за советом в трудное для сети время )Построение ipsec  туннеля между серым и белым адрессом. Схемка сети 212.4.3.1 – Адрес сети за маршрутизатором тоже белый , трафик должен шифроваться  при обмене с этом адресом и серым адресом . * * 212.4.3.2 – Адрес внутреннего шлюза на маршрутизаторе – белый. 212.3.5.6 – Адрес внешнего шлюза на маршрутизаторе -белый( на котором поднимаем туннель IPSEC * * 82.35.65.1 – Адрес внешнего шлюза провайдера  - Белый (Маршрутизатор провайдера) выходит наш серый адрес в инет под этим адресом 192.168.3.4 -  Адрес внутреннего шлюза провайдера.(скорее всего натит все приходящие адреса в адрес внешнего шлюза ) * * 192.168.3.3- Адрес внешнего шлюза нашего маршрутизатора (филиал), по которому мы приходим на шлюз маршрутизатора провайдера 192.168.3.4 Естественно серый. Вот это должна быть конечная точка туннеля IPSEC (Должен шифроваться трафик 192.168.3.3 к белому адресу 212.4.3.1 , сам туннель должен быть поднят между серым адресом 192.168.3.3 – 212.3.5.6 белый адрес. 10.1.1.2 – Шлюз на маршрутизаторе филиала (Натим адреса сети в 192.168.3.3) * * 10.1.1.1 – Сеть филиала Вопрос! В общем если провайдера попросить пробросить на своём маршрутизаторе Udp порт 500 через свой маршрутизатор , туда и обратно для нашего серого и белого адресса, ещё разрешить esp трафик при обмене между нашими адресами,  соответственно у нас тоже открыть тоже самое , будет ли поднят между серым и белым адресом туннель Ipsec , хотя бы в случае когда инициатором построения туннеля выступает серый адресс.? Ещё один Вопрос, какие адреса ставить в настройке Ipsec туннеля , они должны быть все белые или можно писать серые адреса.? Вопрос третий – если так нельзя поднять туннель то где же у него кнопка )))? Вот  в принципе все вопросы, если кто сможет ответить , буду признателен , если кто в Москве могу пыва поставить.   sh run Building configuration... Current configuration: ! version 12.0 no service timestamps debug uptime no service timestamps log uptime service password-encryption no service dhcp ! hostname Router enable secret 5 enable password 7 ! ! ! ! clock timezone GMT 3 no ip subnet-zero no ip source-route no ip finger ! no ip bootp server ! ! ! crypto isakmp policy 1 ! Устанавливаем полиси ISAKMP, приоритет 1. hash md5 ! Используем MD5, как алгоритм аутентификации (вместо SHA, который ! медленнее, но более защищённый). authentication pre-share ! Используем жёстко заданный ключ "MySecureKey". ! crypto isakmp key MySecureKey address (Пишется адрес другой стороны ,вот тут то и грабли адрес другой стороны серый_) ! Устанавливаем ключ и адрес другой системы, которой проходит первичная аутентификация по общему ! ключю.   ! crypto ipsec transform-set MYTS esp-des esp-md5-hmac ! Создаем transform-set и назовём его MYTS, который использует ! ESP (Encapsulating Security Payload) шифрацию с ! DES и аутентификацию с MD5.  В этом случае мы будем ! шифровать только полезную часть пакета не трогая ! заголовков. ! . ! crypto map IPSECLINKSYS 1 ipsec-isakmp ! Определяем, что IPSECLINKSYS, порядковый номер 1, использует ! ISAKMP для обмена ключами. set peer (Серый  Адрес другой стороны – в общем я думаю если сделать проброс нужных портов у провайдера и на наших маршрутизаторах , по крайней мере запрос на соединение с серой стороны будет устанавливатся, а вот от белого адреса к серому врятли, поэтому надо писать белый адрес другой стороны) set transform-set MYTS ! Устанавливаем нужную трансформацию match address SECURED-TUN ! Пропускать только пакеты IPSEC, которые подпадают под расширенный ! ACL, под именем SECURED-TUN ip access-list extended SECURED-TUN ! Создаем ACL для определения сетей для шифрации IPSEC. remark IPSEC ACL ! Комментарии обязательно нужны.  :-) permit ip Вот тут тоже надо подумать какие адреса писать на шифрацию (Белый-белый или Серый –Белый) ! Разрешаем проходить через туннель только с (неизвестно) permit ip Вот тут тоже надо подумать какие адреса писать на шифрацию (Белый-белый или Серый –Белый) ! и обратно. interface FastEthernet0/0 ! interface Serial0/0 description bandwidth 256 ip address ip access-group  in no ip directed-broadcast no ip mroute-cache fair-queue 64 256 0 ignore-dcd no cdp enable crypto map SECURED-TUN ! interface FastEthernet0/1 bandwidth 100000 ip address ip access-group  in ip access-group  out no ip directed-broadcast no ip mroute-cache duplex auto speed auto no cdp enable
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "IPSec между Белым и серым адресом , ребят выручайте"
	Сообщение от toor99 (??) on 11-Окт-05, 13:02  (MSK)
	>Вопрос! >В общем если провайдера попросить пробросить на своём маршрутизаторе >Udp порт 500 через свой маршрутизатор , туда и обратно для нашего >серого и белого адресса, ещё разрешить esp трафик при обмене между >нашими адресами,  соответственно у нас тоже открыть тоже самое , >будет ли поднят между серым и белым адресом туннель Ipsec , >хотя бы в случае когда инициатором построения туннеля выступает серый адресс.? Нет, не будет, поскольку ваш провайдер наверняка делает NAT Overload (много внутренних адресов в один внешний). В этом случае, как я уже говорил, нужно использовать NAT Traversal. Таким образом, разрешать трафик ESP не нужно, а вот NAT Traversal (UDP:4500) - необходимо. >Ещё один Вопрос, какие адреса ставить в настройке Ipsec туннеля , они >должны быть все белые или можно писать серые адреса.? Подумайте. Эти адреса суть конечные точки туннеля. Они будут стоять в заголовках ESP (в вашем случае - NAT-T) пакетов. Очевидно, что адреса должны быть публичными, "белыми". >Вопрос третий – если так нельзя поднять туннель то где же у >него кнопка )))? Почитайте теорию, если хотите разобраться. Не хотите - идите на www.cisco.com и покопайтесь в тамошних примерах. Там есть примеры, представляющие собой один в один ваш случай.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "IPSec между Белым и серым адресом , ребят выручайте"
	Сообщение от Изгой (??) on 11-Окт-05, 15:05  (MSK)
	>>Вопрос! >>В общем если провайдера попросить пробросить на своём маршрутизаторе >>Udp порт 500 через свой маршрутизатор , туда и обратно для нашего >>серого и белого адресса, ещё разрешить esp трафик при обмене между >>нашими адресами,  соответственно у нас тоже открыть тоже самое , >>будет ли поднят между серым и белым адресом туннель Ipsec , >>хотя бы в случае когда инициатором построения туннеля выступает серый адресс.? > >Нет, не будет, поскольку ваш провайдер наверняка делает NAT Overload (много внутренних >адресов в один внешний). В этом случае, как я уже говорил, >нужно использовать NAT Traversal. Таким образом, разрешать трафик ESP не нужно, >а вот NAT Traversal (UDP:4500) - необходимо. > >>Ещё один Вопрос, какие адреса ставить в настройке Ipsec туннеля , они >>должны быть все белые или можно писать серые адреса.? > >Подумайте. Эти адреса суть конечные точки туннеля. Они будут стоять в заголовках >ESP (в вашем случае - NAT-T) пакетов. Очевидно, что адреса должны >быть публичными, "белыми". > >>Вопрос третий – если так нельзя поднять туннель то где же у >>него кнопка )))? > >Почитайте теорию, если хотите разобраться. Не хотите - идите на www.cisco.com и >покопайтесь в тамошних примерах. Там есть примеры, представляющие собой один в >один ваш случай. Пока на циско ком нашёл пример в котором нужно создавать общие ключи своего роутера с провайдерским - это не подходит, надо чтобы провайдер был посредником( что то такого найти не могу.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "IPSec между Белым и серым адресом , ребят выручайте"
	Сообщение от Изгой (??) on 12-Окт-05, 08:53  (MSK)
	>>>Вопрос! >>>В общем если провайдера попросить пробросить на своём маршрутизаторе >>>Udp порт 500 через свой маршрутизатор , туда и обратно для нашего >>>серого и белого адресса, ещё разрешить esp трафик при обмене между >>>нашими адресами,  соответственно у нас тоже открыть тоже самое , >>>будет ли поднят между серым и белым адресом туннель Ipsec , >>>хотя бы в случае когда инициатором построения туннеля выступает серый адресс.? >> >>Нет, не будет, поскольку ваш провайдер наверняка делает NAT Overload (много внутренних >>адресов в один внешний). В этом случае, как я уже говорил, >>нужно использовать NAT Traversal. Таким образом, разрешать трафик ESP не нужно, >>а вот NAT Traversal (UDP:4500) - необходимо. >> >>>Ещё один Вопрос, какие адреса ставить в настройке Ipsec туннеля , они >>>должны быть все белые или можно писать серые адреса.? >> >>Подумайте. Эти адреса суть конечные точки туннеля. Они будут стоять в заголовках >>ESP (в вашем случае - NAT-T) пакетов. Очевидно, что адреса должны >>быть публичными, "белыми". >> >>>Вопрос третий – если так нельзя поднять туннель то где же у >>>него кнопка )))? >> >>Почитайте теорию, если хотите разобраться. Не хотите - идите на www.cisco.com и >>покопайтесь в тамошних примерах. Там есть примеры, представляющие собой один в >>один ваш случай. > >Пока на циско ком нашёл пример в котором нужно создавать общие ключи >своего роутера с провайдерским - это не подходит, надо чтобы провайдер >был посредником( что то такого найти не могу. toor99 огромное спасибо нашел то что нужно!!! С меня пыво ) так что если что пишите на мыло )))
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "IPSec между Белым и серым адресом , ребят выручайте"
	Сообщение от anonim on 17-Ноя-05, 17:56  (MSK)
	>toor99 огромное спасибо нашел то что нужно!!! С меня пыво ) так >что если что пишите на мыло ))) а где нашел? дай ссылку плиз
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "IPSec между Белым и серым адресом , ребят выручайте"
	Сообщение от Изгой (??) on 18-Ноя-05, 09:05  (MSK)
	> >>toor99 огромное спасибо нашел то что нужно!!! С меня пыво ) так >>что если что пишите на мыло ))) > > >а где нашел? > >дай ссылку плиз О тема поднялась , надо вспоминать где лежит , PDF  я скачал . Нажо посмотреть.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "IPSec между Белым и серым адресом , ребят выручайте"
	Сообщение от Изгой (??) on 18-Ноя-05, 09:31  (MSK)
	>> >>>toor99 огромное спасибо нашел то что нужно!!! С меня пыво ) так >>>что если что пишите на мыло ))) >> >> >>а где нашел? >> >>дай ссылку плиз > >О тема поднялась , надо вспоминать где лежит , PDF  я >скачал . Нажо посмотреть. Отослал по почте PDF  если почта у тебя правильно указана то  дорлжно придти.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "IPSec между Белым и серым адресом , ребят выручайте"
	Сообщение от anonim on 21-Ноя-05, 09:07  (MSK)
	>Отослал по почте PDF  если почта у тебя правильно указана то > дорлжно придти. Почту указал правильно, но ниче не пришло. Плиз, попробуй выслать на igor.semeryukov@gmail.ru Заранее большое спасибо.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "IPSec между Белым и серым адресом , ребят выручайте"
	Сообщение от anonim on 21-Ноя-05, 09:11  (MSK)
	>Почту указал правильно, но ниче не пришло. > >Плиз, попробуй выслать на igor.semeryukov@gmail.ru > >Заранее большое спасибо. т.е. gmail.com сори описался
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]