forum.opennet.ru - "NAT через туннель.... HELP!!" (17)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"NAT через туннель.... HELP!!"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"NAT через туннель.... HELP!!"
Сообщение от chart (??) on 21-Дек-04, 19:29 (MSK)
помогите разобраться с NAT нужно организовать шифр.туннель между оффисами, причем в туннеле должны быть связанны внутренние сети оффисов... построил туннель-работает, поднял ipsec-работает, но внутренние сети друг друга не видят, видимо нужен NAT Тоесть нужно связать по шифрованному туннелю 10.10.221.0 и 10.10.223.0 на обоих рутерах s0 - внешний ip e0 - внешний и внутренний ip addr sec конфиг рутера 1 -------------------------------------------------------------------------------------------- crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key cisco123 address 82.82.82.82 ! crypto ipsec transform-set strong esp-3des esp-md5-hmac ! crypto map vpn 10 ipsec-isakmp set peer 82.82.82.82 set transform-set strong match address 101 ! interface Tunnel0 ip address 192.168.1.1 255.255.255.252 tunnel source Serial0/0 tunnel destination 82.82.82.82 crypto map vpn ! interface FastEthernet0/0 ip address 10.10.221.251 255.255.255.0 secondary ip address 217.69.200.213 255.255.255.252 interface Serial0/0 ip address 217.69.223.6 255.255.255.252 crypto map vpn ip route 10.10.223.0 255.255.255.0 Tunnel0 access-list 101 permit gre host 217.69.223.6 host 82.82.82.82 --------------------------------------------------------------------------------------------- роутер 2 crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key cisco123 address 217.69.223.6 ! ! crypto ipsec transform-set strong esp-3des esp-md5-hmac ! crypto map vpn 10 ipsec-isakmp set peer 217.69.223.6 set transform-set strong match address 101 interface Tunnel0 ip address 192.168.1.2 255.255.255.252 no keepalive tunnel source Serial0 tunnel destination 217.69.223.6 crypto map vpn interface Ethernet0 ip address 10.10.223.3 255.255.255.0 secondary ip address 62.62.133.133 255.255.255.252 interface Serial0 ip address 82.82.82.82 255.255.255.252 crypto map vpn ip route 10.10.0.0 255.255.0.0 Tunnel0 access-list 101 permit gre host 82.82.82.82 host 217.69.223.6 помогите с натом, плиз...неполучается
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

NAT через туннель.... HELP!!, pwn, 21:06 , 21-Дек-04, (1)
- NAT через туннель.... HELP!!, chart, 09:57 , 22-Дек-04, (2)
  - NAT через туннель.... HELP!!, pwn, 11:22 , 22-Дек-04, (3)
    - NAT через туннель.... HELP!!, ВОЛКА, 11:33 , 22-Дек-04, (4)
  - NAT через туннель.... HELP!!, ВОЛКА, 11:37 , 22-Дек-04, (5)
    - NAT через туннель.... HELP!!, chart, 11:45 , 22-Дек-04, (6)
      - NAT через туннель.... HELP!!, chart, 13:24 , 22-Дек-04, (7)
        
        NAT через туннель.... HELP!!, ВОЛКА, 14:40 , 22-Дек-04, (11)
NAT через туннель.... HELP!!, jomb, 13:39 , 22-Дек-04, (8)
- NAT через туннель.... HELP!!, chart, 13:46 , 22-Дек-04, (9)
  - NAT через туннель.... HELP!!, jomb, 14:14 , 22-Дек-04, (10)
    - NAT через туннель.... HELP!!, chart, 15:52 , 22-Дек-04, (12)
      - NAT через туннель.... HELP!!, jomb, 17:14 , 22-Дек-04, (13)
        
        NAT через туннель.... HELP!!, chart, 17:33 , 22-Дек-04, (14)
        
        NAT через туннель.... HELP!!, ВОЛКА, 17:56 , 22-Дек-04, (15)
        
        NAT через туннель.... HELP!!, chart, 18:10 , 22-Дек-04, (17)
        
        NAT через туннель.... HELP!!, jomb, 18:02 , 22-Дек-04, (16)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "NAT через туннель.... HELP!!"

Сообщение от pwn (??) on 21-Дек-04, 21:06  (MSK)

ти оффисов...
>построил туннель-работает, поднял ipsec-работает, но внутренние сети друг друга не видят, видимо
>нужен NAT
Зачем? должна работать обычная статическая маршрутизация. Скорее всего
проблема в настроках компов, вы им шлюз на роутеры хотя бы прописали?
попробуйте прогнать трассу с компа в одной локали на комп в другой локали подключенной через тунель, и посмотрите где заткнется :) Если на самом первом хопе то явно компы не знают где искать "соседнюю" сеть :)

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "NAT через туннель.... HELP!!"

Сообщение от chart (??) on 22-Дек-04, 09:57  (MSK)

нет, компы знают...все собственно работает только без шифрования, поднимая шифрование нужно изменить access-list на адреса внешн.(s0)
....в этом случае шиврование поднимается но естесно врутр сети не видят друг друга.....  поэтому переброску пакетов наверное нужно сделать через НАТ...может так к примеру ip nat inside source static 10.10.221.? <адрес s0 с другого конца тунеля>
я не уверен....так будет рвботать? или как лучше?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "NAT через туннель.... HELP!!"

Сообщение от pwn (??) on 22-Дек-04, 11:22  (MSK)

>нет, компы знают...все собственно работает только без шифрования, поднимая шифрование нужно изменить
>access-list на адреса внешн.(s0)
>....в этом случае шиврование поднимается но естесно врутр сети не видят друг друга.....  поэтому переброску пакетов наверное нужно сделать через НАТ...может так к примеру ip nat inside source static 10.10.221.? <адрес s0 с другого конца тунеля>
>я не уверен....так будет рвботать? или как лучше?
А нафига вы подымаете шифрование как трафика до тунеля так и после него уже инкапуслированного в ГРЕ?
interface Tunnel0
crypto map vpn -????
interface Serial0
crypto map vpn
Помоему уж что-то одно - либо шифруете уже инкапсулированный в ГРЕ тунель на сериале либо шифруете до инкапсуляции трафик локалей на интерфейсе тунеля. Если шифровать сам тунель то access-list 101  остается в том виде как есть если шифровать траф до инкапсуляции то 101 лист должен содержать адреса лвс и в принципе можно шифровать не апсалютно весь траф по тунелю а только определенный, попадающий под 101-й лист... По идее если убрать шифрование и у вас все работает через обычный нешифрованный ГРЕ то просто включение шифрования на сериале должно никак не отразиться на работе вааще. За исключением того что через WAN  поедет уже шифрованный ГРЕ.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "NAT через туннель.... HELP!!"

Сообщение от ВОЛКА on 22-Дек-04, 11:33  (MSK)

вы не правы...
так оно должно работать...
криптомап вешается на тунельный и на физический интерфейс.

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "NAT через туннель.... HELP!!"

Сообщение от ВОЛКА on 22-Дек-04, 11:37  (MSK)

давайте выберем два компа для тестов...
покажите вывод ipconfig /all с этих компов
также запустите ping
ping 10.10.223.3 source 10.10.221.251

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "NAT через туннель.... HELP!!"

Сообщение от chart (??) on 22-Дек-04, 11:45  (MSK)

ping 10.10.223.3 source 10.10.221.251  проходят (это sec ip адреса интерфейсов E0 на обоих концах туннеля) , собственно у меня все сейчас работает сети видят друг друга и т.д. но не поднимается ipsec потому как в access-list должны быть ip source и destination туннеля
если я меняю адреса то туннель шифруется и все ок, но естесно сеть 10.10.221.0 перестает видить 10.10.223.0

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "NAT через туннель.... HELP!!"

Сообщение от chart (??) on 22-Дек-04, 13:24  (MSK)

неужели нет вариантов решения проблемы??????

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "NAT через туннель.... HELP!!"

Сообщение от ВОЛКА on 22-Дек-04, 14:40  (MSK)

ВЫ МОЖЕТЕ НОРМАЛЬНО ОПИСАТЬ, ЧТО У ВАС НЕ РАБОТАЕТ!!!!!!
и конфиги ещё

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "NAT через туннель.... HELP!!"

Сообщение от jomb (ok) on 22-Дек-04, 13:39  (MSK)

>помогите разобраться с NAT
>нужно организовать шифр.туннель между оффисами, причем в туннеле должны быть
>связанны внутренние сети оффисов...
>построил туннель-работает, поднял ipsec-работает, но внутренние сети друг друга не видят, видимо
>нужен NAT
>
>Тоесть нужно связать по шифрованному туннелю 10.10.221.0 и 10.10.223.0
>
>на обоих рутерах
>s0 - внешний ip
>e0 - внешний и внутренний ip addr sec
>
>конфиг рутера 1
>--------------------------------------------------------------------------------------------
>crypto isakmp policy 1
> hash md5
> authentication pre-share
>crypto isakmp key cisco123 address 82.82.82.82
>!
>crypto ipsec transform-set strong esp-3des esp-md5-hmac
>!
>crypto map vpn 10 ipsec-isakmp
> set peer 82.82.82.82
> set transform-set strong
> match address 101
>!
>interface Tunnel0
> ip address 192.168.1.1 255.255.255.252
> tunnel source Serial0/0
> tunnel destination 82.82.82.82
> crypto map vpn
>!
> interface FastEthernet0/0
> ip address 10.10.221.251 255.255.255.0 secondary
> ip address 217.69.200.213 255.255.255.252
>
>interface Serial0/0
> ip address 217.69.223.6 255.255.255.252
>  crypto map vpn
>
>ip route 10.10.223.0 255.255.255.0 Tunnel0
>
>access-list 101 permit gre host 217.69.223.6 host 82.82.82.82
>---------------------------------------------------------------------------------------------
>
>роутер 2
>
>crypto isakmp policy 1
> hash md5
> authentication pre-share
>crypto isakmp key cisco123 address 217.69.223.6
>!
>!
>crypto ipsec transform-set strong esp-3des esp-md5-hmac
>!
>crypto map vpn 10 ipsec-isakmp
> set peer 217.69.223.6
> set transform-set strong
> match address 101
>
>interface Tunnel0
> ip address 192.168.1.2 255.255.255.252
> no keepalive
> tunnel source Serial0
> tunnel destination 217.69.223.6
> crypto map vpn
>
>interface Ethernet0
> ip address 10.10.223.3 255.255.255.0 secondary
> ip address 62.62.133.133 255.255.255.252
>
>interface Serial0
> ip address 82.82.82.82 255.255.255.252
> crypto map vpn
>
>ip route 10.10.0.0 255.255.0.0 Tunnel0
>
>access-list 101 permit gre host 82.82.82.82 host 217.69.223.6
>
>помогите с натом, плиз...неполучается
Я бы предложил отказатсья от тунеля, можно сделать гораздо проще
1 рутер
---------
crypto isakmp policy 1
hash md5
authentication pre-share
group 2
crypto isakmp key cisco123 address 82.82.82.82
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer 82.82.82.82
set transform-set strong
match address 101
!
interface Serial0/0
ip address 217.69.223.6 255.255.255.252
  crypto map vpn
!
access-list 101 permit ip 10.10.221.0 0.0.0.255 10.10.223.0 0.0.0.255
-----------------------
Рутер 2
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 217.69.223.6
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer 217.69.223.6
set transform-set strong
match address 101
!
interface Serial0
ip address 82.82.82.82 255.255.255.252
crypto map vpn
access-list 101 permit ip 10.10.223.0 0.0.0.255 10.10.221.0 0.0.0.255

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "NAT через туннель.... HELP!!"

Сообщение от chart (??) on 22-Дек-04, 13:46  (MSK)

да, но разве шифрование поддержится в данном случае? по факту меняется только правило с gre на ip  и с хоста на сеть....что это дает? расскажите пожалуйста

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "NAT через туннель.... HELP!!"

Сообщение от jomb (ok) on 22-Дек-04, 14:14  (MSK)

>да, но разве шифрование поддержится в данном случае? по факту меняется только
>правило с gre на ip  и с хоста на сеть....что
>это дает? расскажите пожалуйста
по дефолту все
пакеты уходят через внешний интерфейс на внешнем интерфейсе есть crypto mapи циска проверяет что в crypto map должно попасть согласно 101 access-list
поподая в 101 access-list весь ip трафик  будет матчится шифроваться
в 101 access-list должна быть src network to dst network, а не src host to dst network !

Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "NAT через туннель.... HELP!!"

Сообщение от chart (??) on 22-Дек-04, 15:52  (MSK)

сделал как на вашем примере....
даю команды
sh crypto isakmp sa
sh crypto ipsec sa
sh crypto engine connect active
ПУСТО!!!! шифрования нет!

Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "NAT через туннель.... HELP!!"

Сообщение от jomb (ok) on 22-Дек-04, 17:14  (MSK)

>сделал как на вашем примере....
>даю команды
>sh crypto isakmp sa
>sh crypto ipsec sa
>sh crypto engine connect active
>
>ПУСТО!!!! шифрования нет!
покажите debug crypto isakmp
         debug crypto ipsec
Что за IOS что за циска  sh run plzz

Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "NAT через туннель.... HELP!!"

Сообщение от chart (??) on 22-Дек-04, 17:33  (MSK)

cisco 2610 и 805
ios 12.2
по debug ничего не показывает...

!
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 82.82.82.82
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer 82.82.82.82
set transform-set strong
match address 101
!
!
!
!
!
!
!
interface Tunnel0
ip address 192.168.1.1 255.255.255.252
tunnel source Serial0/0
tunnel destination 82.142.136.210
crypto map vpn
!
interface FastEthernet0/0
ip address 10.10.221.251 255.255.255.0 secondary
logging event subif-link-status
speed auto
full-duplex
no cdp enable
no mop enabled
!
interface Serial0/0
ip address 217.69.223.6 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
no fair-queue
no cdp enable
crypto map vpn
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 217.69.223.5
ip route 10.10.223.0 255.255.255.0 Tunnel0
!
no ip http server
no ip http secure-server
!
!
access-list 101 permit ip 10.10.223.0 0.0.0.255 10.10.221.0 0.0.0.255

Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "NAT через туннель.... HELP!!"

Сообщение от ВОЛКА on 22-Дек-04, 17:56  (MSK)

два конфига покажите...

Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "NAT через туннель.... HELP!!"

Сообщение от chart (??) on 22-Дек-04, 18:10  (MSK)

конфиг 1
ip cef
ip name-server 217.69.192.135
ip name-server 217.69.192.133
ip audit notify log
ip audit po max-events 100
ip ssh break-string
no ftp-server write-enable
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 82.82.82.82
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
!
crypto map vpn 10 ipsec-isakmp
set peer 82.142.136.210
set transform-set strong
match address 101
!
interface Tunnel0
ip address 192.168.1.1 255.255.255.252
tunnel source Serial0/0
tunnel destination 82.142.136.210
crypto map vpn
!
interface FastEthernet0/0
ip address 10.10.221.251 255.255.255.0 secondary
logging event subif-link-status
speed auto
full-duplex
no cdp enable
no mop enabled
!
interface Serial0/0
ip address 217.69.223.6 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
no fair-queue
no cdp enable
crypto map vpn
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 217.69.223.5
ip route 10.10.223.0 255.255.255.0 Tunnel0
!
!
access-list 102 permit gre host 217.69.223.6 host 82.82.82.82
----------------------------------------------------------------
конфиг 2
clock timezone Msk 3
ip subnet-zero
!
ip name-server 194.85.129.80
ip name-server 194.85.128.10
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco123 address 217.69.223.6
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
mode transport
!
crypto map vpn 10 ipsec-isakmp
set peer 217.69.223.6
set transform-set strong
match address 101
!
!
!
!
interface Tunnel0
ip address 192.168.2.2 255.255.255.252
no keepalive
tunnel source Serial0
tunnel destination 217.69.223.6
crypto map vpn
!
interface Ethernet0
ip address 10.10.224.3 255.255.255.0 secondary
no ip mroute-cache
!
interface Serial0
ip address 82.82.82.82 255.255.255.252
   no ip mroute-cache
no fair-queue
crypto map vpn
!
ip classless
ip route 0.0.0.0 0.0.0.0 194.85.147.53
ip route 10.10.0.0 255.255.0.0 Tunnel0
no ip http server
ip pim bidir-enable
!
!
access-list 101 permit gre host 82.82.82.82 host 217.69.223.6
ПРИ ТАКОМ КОНФИГЕ ТУННЕЛЬ РАБОТАЕТ, IPSEC ПОДНИМАЕТСЯ ...НО, НУЖНО ЧТОБ ВИДИЛИСЬ ВНУТРЕННИЕ СЕТКИ (10.10.221.0 должна видить 10.10.223.0)
и строки типа ip route 10.10.0.0 255.255.0.0 Tunnel0 не помогают

Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "NAT через туннель.... HELP!!"

Сообщение от jomb (ok) on 22-Дек-04, 18:02  (MSK)

>cisco 2610 и 805
>ios 12.2
>по debug ничего не показывает...
>
>
>
>!
>!
>crypto isakmp policy 1
> hash md5
> authentication pre-share
>crypto isakmp key cisco123 address 82.82.82.82
>!
>!
>crypto ipsec transform-set strong esp-3des esp-md5-hmac
>!
>crypto map vpn 10 ipsec-isakmp
> set peer 82.82.82.82
> set transform-set strong
> match address 101
>!
>!
>!
>!
>!
>!
>!
>interface Tunnel0
> ip address 192.168.1.1 255.255.255.252
> tunnel source Serial0/0
> tunnel destination 82.142.136.210
> crypto map vpn
Убери интерфейс
>!
>interface FastEthernet0/0
> ip address 10.10.221.251 255.255.255.0 secondary
> logging event subif-link-status
> speed auto
> full-duplex
> no cdp enable
> no mop enabled
>!
>interface Serial0/0
> ip address 217.69.223.6 255.255.255.252
> no ip redirects
> no ip unreachables
> no ip proxy-arp
> no fair-queue
> no cdp enable
> crypto map vpn
>!
>!
>ip classless
>ip route 0.0.0.0 0.0.0.0 217.69.223.5
>ip route 10.10.223.0 255.255.255.0 Tunnel0
Удали этот роут
>!
>no ip http server
>no ip http secure-server
>!
>!
>
>access-list 101 permit ip 10.10.223.0 0.0.0.255 10.10.221.0 0.0.0.255
access-list 101 permit ip 10.10.221.0 0.0.0.255 10.10.222.0 0.0.0.255
(src->dst)

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "NAT через туннель.... HELP!!"
Сообщение от pwn (??) on 21-Дек-04, 21:06 (MSK)
ти оффисов... >построил туннель-работает, поднял ipsec-работает, но внутренние сети друг друга не видят, видимо >нужен NAT Зачем? должна работать обычная статическая маршрутизация. Скорее всего проблема в настроках компов, вы им шлюз на роутеры хотя бы прописали? попробуйте прогнать трассу с компа в одной локали на комп в другой локали подключенной через тунель, и посмотрите где заткнется :) Если на самом первом хопе то явно компы не знают где искать "соседнюю" сеть :)
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "NAT через туннель.... HELP!!"
	Сообщение от chart (??) on 22-Дек-04, 09:57 (MSK)
	нет, компы знают...все собственно работает только без шифрования, поднимая шифрование нужно изменить access-list на адреса внешн.(s0) ....в этом случае шиврование поднимается но естесно врутр сети не видят друг друга..... поэтому переброску пакетов наверное нужно сделать через НАТ...может так к примеру ip nat inside source static 10.10.221.? <адрес s0 с другого конца тунеля> я не уверен....так будет рвботать? или как лучше?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "NAT через туннель.... HELP!!"
	Сообщение от pwn (??) on 22-Дек-04, 11:22 (MSK)
	>нет, компы знают...все собственно работает только без шифрования, поднимая шифрование нужно изменить >access-list на адреса внешн.(s0) >....в этом случае шиврование поднимается но естесно врутр сети не видят друг друга..... поэтому переброску пакетов наверное нужно сделать через НАТ...может так к примеру ip nat inside source static 10.10.221.? <адрес s0 с другого конца тунеля> >я не уверен....так будет рвботать? или как лучше? А нафига вы подымаете шифрование как трафика до тунеля так и после него уже инкапуслированного в ГРЕ? interface Tunnel0 crypto map vpn -???? interface Serial0 crypto map vpn Помоему уж что-то одно - либо шифруете уже инкапсулированный в ГРЕ тунель на сериале либо шифруете до инкапсуляции трафик локалей на интерфейсе тунеля. Если шифровать сам тунель то access-list 101 остается в том виде как есть если шифровать траф до инкапсуляции то 101 лист должен содержать адреса лвс и в принципе можно шифровать не апсалютно весь траф по тунелю а только определенный, попадающий под 101-й лист... По идее если убрать шифрование и у вас все работает через обычный нешифрованный ГРЕ то просто включение шифрования на сериале должно никак не отразиться на работе вааще. За исключением того что через WAN поедет уже шифрованный ГРЕ.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "NAT через туннель.... HELP!!"
	Сообщение от ВОЛКА on 22-Дек-04, 11:33 (MSK)
	вы не правы... так оно должно работать... криптомап вешается на тунельный и на физический интерфейс.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "NAT через туннель.... HELP!!"
	Сообщение от ВОЛКА on 22-Дек-04, 11:37 (MSK)
	давайте выберем два компа для тестов... покажите вывод ipconfig /all с этих компов также запустите ping ping 10.10.223.3 source 10.10.221.251
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "NAT через туннель.... HELP!!"
	Сообщение от chart (??) on 22-Дек-04, 11:45 (MSK)
	ping 10.10.223.3 source 10.10.221.251 проходят (это sec ip адреса интерфейсов E0 на обоих концах туннеля) , собственно у меня все сейчас работает сети видят друг друга и т.д. но не поднимается ipsec потому как в access-list должны быть ip source и destination туннеля если я меняю адреса то туннель шифруется и все ок, но естесно сеть 10.10.221.0 перестает видить 10.10.223.0
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "NAT через туннель.... HELP!!"
	Сообщение от chart (??) on 22-Дек-04, 13:24 (MSK)
	неужели нет вариантов решения проблемы??????
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "NAT через туннель.... HELP!!"
	Сообщение от ВОЛКА on 22-Дек-04, 14:40 (MSK)
	ВЫ МОЖЕТЕ НОРМАЛЬНО ОПИСАТЬ, ЧТО У ВАС НЕ РАБОТАЕТ!!!!!! и конфиги ещё
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

8. "NAT через туннель.... HELP!!"
Сообщение от jomb (ok) on 22-Дек-04, 13:39 (MSK)
>помогите разобраться с NAT >нужно организовать шифр.туннель между оффисами, причем в туннеле должны быть >связанны внутренние сети оффисов... >построил туннель-работает, поднял ipsec-работает, но внутренние сети друг друга не видят, видимо >нужен NAT > >Тоесть нужно связать по шифрованному туннелю 10.10.221.0 и 10.10.223.0 > >на обоих рутерах >s0 - внешний ip >e0 - внешний и внутренний ip addr sec > >конфиг рутера 1 >-------------------------------------------------------------------------------------------- >crypto isakmp policy 1 > hash md5 > authentication pre-share >crypto isakmp key cisco123 address 82.82.82.82 >! >crypto ipsec transform-set strong esp-3des esp-md5-hmac >! >crypto map vpn 10 ipsec-isakmp > set peer 82.82.82.82 > set transform-set strong > match address 101 >! >interface Tunnel0 > ip address 192.168.1.1 255.255.255.252 > tunnel source Serial0/0 > tunnel destination 82.82.82.82 > crypto map vpn >! > interface FastEthernet0/0 > ip address 10.10.221.251 255.255.255.0 secondary > ip address 217.69.200.213 255.255.255.252 > >interface Serial0/0 > ip address 217.69.223.6 255.255.255.252 > crypto map vpn > >ip route 10.10.223.0 255.255.255.0 Tunnel0 > >access-list 101 permit gre host 217.69.223.6 host 82.82.82.82 >--------------------------------------------------------------------------------------------- > >роутер 2 > >crypto isakmp policy 1 > hash md5 > authentication pre-share >crypto isakmp key cisco123 address 217.69.223.6 >! >! >crypto ipsec transform-set strong esp-3des esp-md5-hmac >! >crypto map vpn 10 ipsec-isakmp > set peer 217.69.223.6 > set transform-set strong > match address 101 > >interface Tunnel0 > ip address 192.168.1.2 255.255.255.252 > no keepalive > tunnel source Serial0 > tunnel destination 217.69.223.6 > crypto map vpn > >interface Ethernet0 > ip address 10.10.223.3 255.255.255.0 secondary > ip address 62.62.133.133 255.255.255.252 > >interface Serial0 > ip address 82.82.82.82 255.255.255.252 > crypto map vpn > >ip route 10.10.0.0 255.255.0.0 Tunnel0 > >access-list 101 permit gre host 82.82.82.82 host 217.69.223.6 > >помогите с натом, плиз...неполучается Я бы предложил отказатсья от тунеля, можно сделать гораздо проще 1 рутер --------- crypto isakmp policy 1 hash md5 authentication pre-share group 2 crypto isakmp key cisco123 address 82.82.82.82 ! crypto ipsec transform-set strong esp-3des esp-md5-hmac ! crypto map vpn 10 ipsec-isakmp set peer 82.82.82.82 set transform-set strong match address 101 ! interface Serial0/0 ip address 217.69.223.6 255.255.255.252 crypto map vpn ! access-list 101 permit ip 10.10.221.0 0.0.0.255 10.10.223.0 0.0.0.255 ----------------------- Рутер 2 crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key cisco123 address 217.69.223.6 ! ! crypto ipsec transform-set strong esp-3des esp-md5-hmac ! crypto map vpn 10 ipsec-isakmp set peer 217.69.223.6 set transform-set strong match address 101 ! interface Serial0 ip address 82.82.82.82 255.255.255.252 crypto map vpn access-list 101 permit ip 10.10.223.0 0.0.0.255 10.10.221.0 0.0.0.255
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "NAT через туннель.... HELP!!"
	Сообщение от chart (??) on 22-Дек-04, 13:46 (MSK)
	да, но разве шифрование поддержится в данном случае? по факту меняется только правило с gre на ip и с хоста на сеть....что это дает? расскажите пожалуйста
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "NAT через туннель.... HELP!!"
	Сообщение от jomb (ok) on 22-Дек-04, 14:14 (MSK)
	>да, но разве шифрование поддержится в данном случае? по факту меняется только >правило с gre на ip и с хоста на сеть....что >это дает? расскажите пожалуйста по дефолту все пакеты уходят через внешний интерфейс на внешнем интерфейсе есть crypto mapи циска проверяет что в crypto map должно попасть согласно 101 access-list поподая в 101 access-list весь ip трафик будет матчится шифроваться в 101 access-list должна быть src network to dst network, а не src host to dst network !
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "NAT через туннель.... HELP!!"
	Сообщение от chart (??) on 22-Дек-04, 15:52 (MSK)
	сделал как на вашем примере.... даю команды sh crypto isakmp sa sh crypto ipsec sa sh crypto engine connect active ПУСТО!!!! шифрования нет!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	13. "NAT через туннель.... HELP!!"
	Сообщение от jomb (ok) on 22-Дек-04, 17:14 (MSK)
	>сделал как на вашем примере.... >даю команды >sh crypto isakmp sa >sh crypto ipsec sa >sh crypto engine connect active > >ПУСТО!!!! шифрования нет! покажите debug crypto isakmp debug crypto ipsec Что за IOS что за циска sh run plzz
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	14. "NAT через туннель.... HELP!!"
	Сообщение от chart (??) on 22-Дек-04, 17:33 (MSK)
	cisco 2610 и 805 ios 12.2 по debug ничего не показывает... ! ! crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key cisco123 address 82.82.82.82 ! ! crypto ipsec transform-set strong esp-3des esp-md5-hmac ! crypto map vpn 10 ipsec-isakmp set peer 82.82.82.82 set transform-set strong match address 101 ! ! ! ! ! ! ! interface Tunnel0 ip address 192.168.1.1 255.255.255.252 tunnel source Serial0/0 tunnel destination 82.142.136.210 crypto map vpn ! interface FastEthernet0/0 ip address 10.10.221.251 255.255.255.0 secondary logging event subif-link-status speed auto full-duplex no cdp enable no mop enabled ! interface Serial0/0 ip address 217.69.223.6 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp no fair-queue no cdp enable crypto map vpn ! ! ip classless ip route 0.0.0.0 0.0.0.0 217.69.223.5 ip route 10.10.223.0 255.255.255.0 Tunnel0 ! no ip http server no ip http secure-server ! ! access-list 101 permit ip 10.10.223.0 0.0.0.255 10.10.221.0 0.0.0.255
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	15. "NAT через туннель.... HELP!!"
	Сообщение от ВОЛКА on 22-Дек-04, 17:56 (MSK)
	два конфига покажите...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	17. "NAT через туннель.... HELP!!"
	Сообщение от chart (??) on 22-Дек-04, 18:10 (MSK)
	конфиг 1 ip cef ip name-server 217.69.192.135 ip name-server 217.69.192.133 ip audit notify log ip audit po max-events 100 ip ssh break-string no ftp-server write-enable ! ! crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key cisco123 address 82.82.82.82 ! ! crypto ipsec transform-set strong esp-3des esp-md5-hmac ! crypto map vpn 10 ipsec-isakmp set peer 82.142.136.210 set transform-set strong match address 101 ! interface Tunnel0 ip address 192.168.1.1 255.255.255.252 tunnel source Serial0/0 tunnel destination 82.142.136.210 crypto map vpn ! interface FastEthernet0/0 ip address 10.10.221.251 255.255.255.0 secondary logging event subif-link-status speed auto full-duplex no cdp enable no mop enabled ! interface Serial0/0 ip address 217.69.223.6 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp no fair-queue no cdp enable crypto map vpn ! ! ip classless ip route 0.0.0.0 0.0.0.0 217.69.223.5 ip route 10.10.223.0 255.255.255.0 Tunnel0 ! ! access-list 102 permit gre host 217.69.223.6 host 82.82.82.82 ---------------------------------------------------------------- конфиг 2 clock timezone Msk 3 ip subnet-zero ! ip name-server 194.85.129.80 ip name-server 194.85.128.10 ip ssh time-out 120 ip ssh authentication-retries 3 ! crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco123 address 217.69.223.6 ! ! crypto ipsec transform-set strong esp-3des esp-md5-hmac mode transport ! crypto map vpn 10 ipsec-isakmp set peer 217.69.223.6 set transform-set strong match address 101 ! ! ! ! interface Tunnel0 ip address 192.168.2.2 255.255.255.252 no keepalive tunnel source Serial0 tunnel destination 217.69.223.6 crypto map vpn ! interface Ethernet0 ip address 10.10.224.3 255.255.255.0 secondary no ip mroute-cache ! interface Serial0 ip address 82.82.82.82 255.255.255.252 no ip mroute-cache no fair-queue crypto map vpn ! ip classless ip route 0.0.0.0 0.0.0.0 194.85.147.53 ip route 10.10.0.0 255.255.0.0 Tunnel0 no ip http server ip pim bidir-enable ! ! access-list 101 permit gre host 82.82.82.82 host 217.69.223.6 ПРИ ТАКОМ КОНФИГЕ ТУННЕЛЬ РАБОТАЕТ, IPSEC ПОДНИМАЕТСЯ ...НО, НУЖНО ЧТОБ ВИДИЛИСЬ ВНУТРЕННИЕ СЕТКИ (10.10.221.0 должна видить 10.10.223.0) и строки типа ip route 10.10.0.0 255.255.0.0 Tunnel0 не помогают
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	16. "NAT через туннель.... HELP!!"
	Сообщение от jomb (ok) on 22-Дек-04, 18:02 (MSK)
	>cisco 2610 и 805 >ios 12.2 >по debug ничего не показывает... > > > >! >! >crypto isakmp policy 1 > hash md5 > authentication pre-share >crypto isakmp key cisco123 address 82.82.82.82 >! >! >crypto ipsec transform-set strong esp-3des esp-md5-hmac >! >crypto map vpn 10 ipsec-isakmp > set peer 82.82.82.82 > set transform-set strong > match address 101 >! >! >! >! >! >! >! >interface Tunnel0 > ip address 192.168.1.1 255.255.255.252 > tunnel source Serial0/0 > tunnel destination 82.142.136.210 > crypto map vpn Убери интерфейс >! >interface FastEthernet0/0 > ip address 10.10.221.251 255.255.255.0 secondary > logging event subif-link-status > speed auto > full-duplex > no cdp enable > no mop enabled >! >interface Serial0/0 > ip address 217.69.223.6 255.255.255.252 > no ip redirects > no ip unreachables > no ip proxy-arp > no fair-queue > no cdp enable > crypto map vpn >! >! >ip classless >ip route 0.0.0.0 0.0.0.0 217.69.223.5 >ip route 10.10.223.0 255.255.255.0 Tunnel0 Удали этот роут >! >no ip http server >no ip http secure-server >! >! > >access-list 101 permit ip 10.10.223.0 0.0.0.255 10.10.221.0 0.0.0.255 access-list 101 permit ip 10.10.221.0 0.0.0.255 10.10.222.0 0.0.0.255 (src->dst)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх