форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Изначальное сообщение		[ Отслеживать ]

"IPSec VPN"	+/–
Сообщение от orange (ok) on 24-Май-11, 19:11
Здравствуйте уважаемые коллеги. Можно ли создать IPSec VPN на оборудование Cisco|Router/ASA в такой сети? Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть Б ----(LAN,R3)---Сеть В можно ли создать IPSec VPN Между роутерами R1 и R2  c шифрованием трафика между сетью  А и сетью В ? Давно и много )))) создавал VPN между сетями типа А и Б а между А и В сходу не получилось, я дурак или так нельзя?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "IPSec VPN"	+/–
Сообщение от Aleks305 (ok) on 24-Май-11, 21:40
> Здравствуйте уважаемые коллеги. > Можно ли создать IPSec VPN на оборудование Cisco|Router/ASA в такой сети? > Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть Б ----(LAN,R3)---Сеть В > можно ли создать IPSec VPN Между роутерами R1 и R2  c > шифрованием трафика между сетью  А и сетью В ? > Давно и много )))) создавал VPN между сетями типа А и Б > а между А и В сходу не получилось, я дурак или > так нельзя? А случайно не пробовали acl заворачивать трафик из сети В в ipsec-туннель??? не забывайте из nat исключить этот трафик... короче все элементарно просто
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "IPSec VPN"	+/–
	Сообщение от Orange (ok) on 24-Май-11, 23:37
	У меня вот так. LAN A 192.168.104.0 255.255.255.0 LAN Б 192.168.70.0 255.255.255.0 LAN B 192.168.68.0 255.255.255.0 crypto isakmp policy 1 encr 3des ... ! crypto isakmp key key123 address "ip_add_R1" no-xauth crypto ipsec transform-set IPSec esp-3des esp-sha-hmac crypto map CRY_MAP 110 ipsec-isakmp set peer "ip_add_R1" set transform-set IPSec match address 121 ! ! interface Vlan1 description LAN-B ip address 192.168.70.67 255.255.255.0 ip nat inside ip virtual-reassembly ... ! interface Vlan2 ip address in_Internet ... crypto map CRY_MAP ! ip nat inside source route-map NAT interface Vlan2 overload` ! access-list 121 permit ip 192.168.68.96 0.0.0.15 192.168.104.0 0.0.0.255 access-list 121 permit ip host 192.168.70.67 192.168.104.0 0.0.0.255 access-list 130 deny ip 192.168.68.96 0.0.0.15 192.168.104.0 0.0.0.255 access-list 130 permit ip host 192.168.68.81 any ... access-list 130 permit ip host 192.168.70.97 any ! route-map NAT permit 10 match ip address 130 match interface Vlan2 Трафик из сети B не поднимает isakmp и никаких событий в дебаге при пинге из сети В в сеть А. Уже измучился 4 часа сидел ковырял так и не понял в чем дело.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "IPSec VPN"	+/–
	Сообщение от Aleks305 (ok) on 25-Май-11, 10:41
	>[оверквотинг удален] > crypto isakmp policy 1 >  encr 3des >  ... > ! > crypto isakmp key key123 address "ip_add_R1" no-xauth > crypto ipsec transform-set IPSec esp-3des esp-sha-hmac > crypto map CRY_MAP 110 ipsec-isakmp >  set peer "ip_add_R1" >  set transform-set IPSec >  match address 121 - то есть интересный трафик описывается acl 121 > ! > ! > interface Vlan1 >  description LAN-B а мне показалось, что 70.0 lan Б...ну не суть >[оверквотинг удален] >  ... > ! > interface Vlan2 >  ip address in_Internet >  ... >  crypto map CRY_MAP > ! > ip nat inside source route-map NAT interface Vlan2 overload` > ! > access-list 121 permit ip 192.168.68.96 0.0.0.15 192.168.104.0 0.0.0.255 вижу хосты из lan В > access-list 121 permit ip host 192.168.70.67 192.168.104.0 0.0.0.255 вижу хосты из lan Б > access-list 130 deny ip 192.168.68.96 0.0.0.15 192.168.104.0 0.0.0.255 вижу что трафик из сети В исключается из NAT, но не вижу что трафик из сети Б исключается из NAT, то есть должно быть еще одно правило access-list 130 deny ip host 192.168.70.67 192.168.104.0 0.0.0.255 А у Вас из сети Б работало без этого правила? а из сети В не работало... Странно...либо Вы не правильно обозвали сети Б и В...либо я ничего не понимаю в ipsec на cisco Отпишись в любом случае... >[оверквотинг удален] > access-list 130 permit ip host 192.168.68.81 any > ... > access-list 130 permit ip host 192.168.70.97 any > ! > route-map NAT permit 10 >  match ip address 130 >  match interface Vlan2 > Трафик из сети B не поднимает isakmp и никаких событий в дебаге > при пинге из сети В в сеть А. Уже измучился 4 > часа сидел ковырял так и не понял в чем дело.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	6. "IPSec VPN"	+/–
	Сообщение от orange (ok) on 25-Май-11, 13:34
	>>[оверквотинг удален] Ошибся с наименованиями сетей в Дискрипшине. чтобы не путаться перейду на A B и C сети     Здравствуйте уважаемые коллеги.     Можно ли создать IPSec VPN на оборудование Cisco|Router/ASA в такой сети?     Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть B ----(LAN,R3)---Сеть C     можно ли создать IPSec VPN Между роутерами R1 и R2  c шифрованием трафика между сетью  А и сетью C ?     Давно и много )))) создавал VPN между сетями типа А и B а между А и C сходу не получилось, я дурак или так нельзя? У меня вот так. LAN A 192.168.104.0 255.255.255.0 LAN B 192.168.70.0 255.255.255.0 LAN C 192.168.68.0 255.255.255.0 crypto isakmp policy 1 encr 3des ... ! crypto isakmp key key123 address "ip_add_R1" no-xauth crypto ipsec transform-set IPSec esp-3des esp-sha-hmac crypto map CRY_MAP 110 ipsec-isakmp set peer "ip_add_R1" set transform-set IPSec match address 121 ! ! interface Vlan1 description LAN-B ip address 192.168.70.67 255.255.255.0 ip nat inside ip virtual-reassembly ... ! interface Vlan2 ip address in_Internet ... crypto map CRY_MAP ! ip nat inside source route-map NAT interface Vlan2 overload` ! ---Основной трафик подлежащий шифрованию access-list 121 permit ip 192.168.68.0 0.0.0.255 192.168.104.0 0.0.0.255 --Добавлено потом для тестирования access-list 121 permit ip host 192.168.70.67 192.168.104.0 0.0.0.255 --ACL для NAT access-list 130 deny ip 192.168.68.0 0.0.0.255 192.168.104.0 0.0.0.255 access-list 130 deny ip host 192.168.70.67 192.168.104.0 0.0.0.255 access-list 130 permit ip host 192.168.68.81 any ... access-list 130 permit ip host 192.168.70.97 any ! route-map NAT permit 10 match ip address 130 match interface Vlan2 Трафик из сети B не поднимает isakmp и никаких событий в дебаге при пинге из сети C в сеть А. маршруты со стороны LAN смотрят на 192.168.70.67 трасерт доходит до 192.168.70.67 дальше звездочки. Что подозрительно включаю дебаг пингую из сети C в сеть А и isakmp события не генерятся... Где я ошибся?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	4. "IPSec VPN"	+/–
	Сообщение от himik1986 (ok) on 25-Май-11, 11:31
	покажи маршруты на r1, r2, r3
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "IPSec VPN"	+/–
Сообщение от mishai (ok) on 25-Май-11, 12:26
> Здравствуйте уважаемые коллеги. > Можно ли создать IPSec VPN на оборудование Cisco|Router/ASA в такой сети? > Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть Б ----(LAN,R3)---Сеть В > можно ли создать IPSec VPN Между роутерами R1 и R2  c > шифрованием трафика между сетью  А и сетью В ? > Давно и много )))) создавал VPN между сетями типа А и Б > а между А и В сходу не получилось, я дурак или > так нельзя? если есть связь между сетями А и Б, а также Б и В - то проблема в маршрутизации или ACL!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "IPSec VPN"	+/–
	Сообщение от orange (ok) on 26-Май-11, 18:35
	Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть B ----(LAN,R3)---Сеть C > если есть связь между сетями А и Б, а также Б и > В - то проблема в маршрутизации или ACL! Между А и B(новое обозначение)через интернет есть по внешним IP есть.   Вот мой конфиг , где может быть ошибка ?    Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть B ----(LAN,R3)---Сеть C     можно ли создать IPSec VPN Между роутерами R1 и R2  c шифрованием трафика между сетью  А и сетью C ?     Давно и много )))) создавал VPN между сетями типа А и B а между А и C сходу не получилось, я дурак или так нельзя? У меня вот так. LAN A 192.168.104.0 255.255.255.0 LAN B 192.168.70.0 255.255.255.0 LAN C 192.168.68.0 255.255.255.0 crypto isakmp policy 1 encr 3des ... ! crypto isakmp key key123 address "ip_add_R1" no-xauth crypto ipsec transform-set IPSec esp-3des esp-sha-hmac crypto map CRY_MAP 110 ipsec-isakmp set peer "ip_add_R1" set transform-set IPSec match address 121 ! ! interface Vlan1 description LAN-B ip address 192.168.70.67 255.255.255.0 ip nat inside ip virtual-reassembly ... ! interface Vlan2 ip address in_Internet ... crypto map CRY_MAP ! ip nat inside source route-map NAT interface Vlan2 overload` ! ---Основной трафик подлежащий шифрованию access-list 121 permit ip 192.168.68.0 0.0.0.255 192.168.104.0 0.0.0.255 --Добавлено потом для тестирования access-list 121 permit ip host 192.168.70.67 192.168.104.0 0.0.0.255 --ACL для NAT access-list 130 deny ip 192.168.68.0 0.0.0.255 192.168.104.0 0.0.0.255 access-list 130 deny ip host 192.168.70.67 192.168.104.0 0.0.0.255 access-list 130 permit ip host 192.168.68.81 any ... access-list 130 permit ip host 192.168.70.97 any ! route-map NAT permit 10 match ip address 130 match interface Vlan2 ==== Я вот тут подумал может в 121 ACL нужно обязательно указывать трафик и между сетями А и B ? Хотя мне это не нужно по соображениям безопасности.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "IPSec VPN"	+/–
	Сообщение от Aleks305 (ok) on 26-Май-11, 22:49
	>[оверквотинг удален] > access-list 130 permit ip host 192.168.70.97 any > ! > route-map NAT permit 10 > match ip address 130 > match interface Vlan2 > ==== > Я вот тут подумал может в 121 ACL нужно обязательно указывать трафик > и между сетями А и B ? Хотя мне это не > нужно по соображениям безопасности. > ip nat inside source route-map NAT interface Vlan2 overload` на первый взгляд у вас все правильно...кстати, конфиг роутера R1 тоже неплохо было бы привести, вдруг там проблема...Попробуйте избавится от route-map на nat. Просто сделайте через acl 130 ip nat inside source list 130 interface vlan2 overload Кстати, может быть вы забыли на интерфейсе int vlan 2 нет ip nat outside. В интернет вообще хосты ходят? И тут еще...я че-то подумал...сделайте gre-туннель, а уже поверх него ipsec!!!тогда точно все получится
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "IPSec VPN"	+/–
	Сообщение от Orange (??) on 02-Июн-11, 13:35
	> Кстати, может быть вы забыли на интерфейсе int vlan 2 нет ip > nat outside. > В интернет вообще хосты ходят? > И тут еще...я че-то подумал...сделайте gre-туннель, а уже поверх него ipsec!!!тогда точно > все получится Это да но нужен именно IPSec. В итоге я поставил ASA в сети С одним интерфейсом и в интернет другим , настроил запустил и забыл про первую схему как про страшный сон )) Спасибо
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема