Автор |
Сообщение |
plastilin
Зарегистрирован: 31 июл 2016, 16:14 Сообщения: 10
|
Ситуация следующая. Построен Site-To-Site IPSEC. Пир выдал для построения туннеля IP 172.16.197.100/32. С его стороны 212.XX.XX.XX. Со стороны локалки пира клиет пингует мой туннельный интерфейс, который я поднял на Loopback. Внутри моей локалки сервис на 80 порту на адресе 192.168.1.7. Клиент должен получать ответ от веб сервера. Пробовал NAT не получается. Как решить?
|
31 авг 2018, 23:56 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
то есть у вас site-to-site, но на самом деле это не так?
|
01 сен 2018, 05:59 |
|
|
plastilin
Зарегистрирован: 31 июл 2016, 16:14 Сообщения: 10
|
Не совсем так. Есть туннель в котором трафик ходит только от ПК клиента до Loopback туннельного адреса на моей стороне. А должен ходить внутрь моей сети.
|
01 сен 2018, 09:32 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
так настройте, чтобы ходило до вашей сети
|
01 сен 2018, 12:17 |
|
|
plastilin
Зарегистрирован: 31 июл 2016, 16:14 Сообщения: 10
|
И как правильно это сделать? Неправильно я уже делал.
|
01 сен 2018, 15:25 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
видимо исправить то, что вы сделали неправильно. Читайте https://juniper.io.ua/s422979/cisco_nastroyka_vpn_tunnelya_site_to_site_ipsec_mejdu_marshrutizatorami, потому как никто кроме вас не знает что у вас настроено, а вы не показываете.
|
01 сен 2018, 16:21 |
|
|
plastilin
Зарегистрирован: 31 июл 2016, 16:14 Сообщения: 10
|
Конфигурация такова: Код: crypto isakmp policy 1 encr aes authentication pre-share group 2 crypto isakmp key XXXXXXXXXXXXX address X1X.XX.XX.X60
crypto ipsec transform-set lf esp-aes esp-sha-hmac
crypto map lf 1 ipsec-isakmp set peer X1X.XX.XX.X60 set security-association lifetime seconds 28800 set transform-set lf match address LF
interface Loopback0 ip address 172.16.197.100 255.255.255.255 ip nat outside ip virtual-reassembly in
interface FastEthernet0/0 description --==EXTERNAL==-- ip address X93.XX.XX.4 255.255.255.0 secondary ip address X93.XX.XX.6 255.255.255.192 ip access-group EXTERNALTOLAN in no ip redirects no ip proxy-arp ip nat outside ip virtual-reassembly in duplex auto speed auto no cdp enable crypto map lf
interface Vlan5 description --==LAN==-- ip address 192.168.1.1 255.255.255.0 ip access-group LANTOEXTERNAL in no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly in
ip nat pool OFFICEIP X93.XX.XX.4 X93.XX.XX.4 netmask 255.255.255.192 ip nat pool TECHIP X93.XX.XX.6 X93.XX.XX.6 netmask 255.255.255.128 ip nat source list LFNAT interface Loopback0 overload ip nat inside source list OFFICENAT pool OFFICEIP overload ip nat inside source list TECHNAT pool TECHIP overload ip nat inside source static tcp 192.168.1.7 80 172.16.197.100 80 extendable
ip access-list extended LFNAT permit ip host 192.168.1.7 host X1X.XX.XX.39 log
ip access-list extended OFFICENAT deny ip object-group TECHIP any deny ip 192.168.1.0 0.0.0.255 host X1X.XX.XX.39 permit ip object-group OFFICEIP any permit ip object-group GUESTIP any
ip access-list extended TECHNAT deny ip object-group OFFICEIP any deny ip object-group GUESTIP any deny ip 192.168.1.0 0.0.0.255 host X1X.XX.XX.39 permit ip object-group TECHIP any
|
04 сен 2018, 17:26 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
|
05 сен 2018, 17:55 |
|
|
plastilin
Зарегистрирован: 31 июл 2016, 16:14 Сообщения: 10
|
Пардон Код: ip access-list extended LF permit ip host 172.16.197.100 host X1X.XX.XX.39
|
05 сен 2018, 20:04 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
то есть у вас по итогу никакого site-to-site нет. Вы просто разрешаете трафик со своего лупбека на адрес удаленный и всё.
|
06 сен 2018, 17:21 |
|
|
plastilin
Зарегистрирован: 31 июл 2016, 16:14 Сообщения: 10
|
Как такового туннеля нет. Шифруется трафик с моего loopback до пира и обратно. Все. С настройками разобрался - все работает.
|
06 сен 2018, 20:57 |
|
|