forum.opennet.ru

Составление сообщения

Исходное сообщение

"помогите засунуть один сайт в VPN"
Отправлено McS555, 30-Июл-13 18:26

>[оверквотинг удален]
>>> него соурс IP стал=WAN ASA..
>> Блин, надо подумать... Если б у тебя с двух сторон стоял роутер,
>> то проблем не было. Был бы к примеру gre тунель, на
>> которых настроен нат. У тебя сейчас как раз так и выходит,
>> с роутера пакеты улетают, даже до сайта доходят, но вернувшись на
>> ASA не знают куда идти дальше (на сколько я знаю, АSA
>> не может не gre, не loopback , и даже была идея
>> с pptp сервером, и то не умеет). Вообщем надо еще подумать
> я easyVPN настроил, в общем то же самое, локалку пингую, а сайт
> - нет.
если еще актуально получилось собрать схемку на gns
____________________________________________
ASA2# sh ver
Cisco Adaptive Security Appliance Software Version 8.0(2)
ISR#sh version
Cisco IOS Software, 2600 Software (C2691-ADVSECURITYK9-M), Version 12.3(11)T4, RELEASE SOFTWARE (fc4)
________________________________________________________

Со стороны маршрутера все ок. На ASA сделал нужную сайт с адресом 10,0,244,1
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 10.0.248.14 255.255.255.252
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 172.18.9.1 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/5
shutdown
no nameif
no security-level
no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
same-security-traffic permit intra-interface
access-list WORK extended permit ip any any
access-list NONAT extended permit ip 172.18.9.0 255.255.255.0 172.18.10.0 255.255.255.0
access-list OUTSIDE_IN_ACL extended permit ip any any
access-list CRYPTO extended permit ip 172.18.9.0 255.255.255.0 172.18.10.0 255.255.255.0
access-list CRYPTO extended permit ip host 10.0.244.1 172.18.10.0 255.255.255.0
access-list NATPOOL extended permit ip 172.18.9.0 255.255.255.0 any
access-list 101 extended permit ip 172.18.10.0 255.255.255.0 host 10.0.244.1
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 12 interface
nat (inside) 0 access-list NONAT
nat (inside) 12 access-list NATPOOL
nat (outside) 12 access-list 101
access-group WORK in interface inside
access-group OUTSIDE_IN_ACL in interface outside
route outside 0.0.0.0 0.0.0.0 10.0.248.13 1
route outside 172.18.10.0 255.255.255.0 10.0.248.13 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set vpn-set esp-3des esp-md5-hmac
crypto map co-vpn 1 match address CRYPTO
crypto map co-vpn 1 set peer 10.0.248.2
crypto map co-vpn 1 set transform-set vpn-set
crypto map co-vpn interface outside
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 3600
crypto isakmp policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
!
username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 15
tunnel-group 10.0.248.2 type ipsec-l2l
tunnel-group 10.0.248.2 ipsec-attributes
pre-shared-key *
----------------------------------
ASA2# sh xlate
4 in use, 4 most used
PAT Global 10.0.248.14(1026) Local 172.18.10.2(58457)
PAT Global 10.0.248.14(10) Local 172.18.10.2 ICMP id 44551
PAT Global 10.0.248.14(1027) Local 172.18.9.2(56394)
PAT Global 10.0.248.14(11) Local 172.18.9.2 ICMP id 20487

Исходное сообщение
"помогите засунуть один сайт в VPN" Отправлено McS555, 30-Июл-13 18:26
>[оверквотинг удален] >>> него соурс IP стал=WAN ASA.. >> Блин, надо подумать... Если б у тебя с двух сторон стоял роутер, >> то проблем не было. Был бы к примеру gre тунель, на >> которых настроен нат. У тебя сейчас как раз так и выходит, >> с роутера пакеты улетают, даже до сайта доходят, но вернувшись на >> ASA не знают куда идти дальше (на сколько я знаю, АSA >> не может не gre, не loopback , и даже была идея >> с pptp сервером, и то не умеет). Вообщем надо еще подумать > я easyVPN настроил, в общем то же самое, локалку пингую, а сайт > - нет. если еще актуально получилось собрать схемку на gns ____________________________________________ ASA2# sh ver Cisco Adaptive Security Appliance Software Version 8.0(2) ISR#sh version Cisco IOS Software, 2600 Software (C2691-ADVSECURITYK9-M), Version 12.3(11)T4, RELEASE SOFTWARE (fc4) ________________________________________________________ Со стороны маршрутера все ок. На ASA сделал нужную сайт с адресом 10,0,244,1 ! interface Ethernet0/0 nameif outside security-level 0 ip address 10.0.248.14 255.255.255.252 ! interface Ethernet0/1 nameif inside security-level 100 ip address 172.18.9.1 255.255.255.0 ! interface Ethernet0/2 shutdown no nameif no security-level no ip address ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Ethernet0/4 shutdown no nameif no security-level no ip address ! interface Ethernet0/5 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive same-security-traffic permit intra-interface access-list WORK extended permit ip any any access-list NONAT extended permit ip 172.18.9.0 255.255.255.0 172.18.10.0 255.255.255.0 access-list OUTSIDE_IN_ACL extended permit ip any any access-list CRYPTO extended permit ip 172.18.9.0 255.255.255.0 172.18.10.0 255.255.255.0 access-list CRYPTO extended permit ip host 10.0.244.1 172.18.10.0 255.255.255.0 access-list NATPOOL extended permit ip 172.18.9.0 255.255.255.0 any access-list 101 extended permit ip 172.18.10.0 255.255.255.0 host 10.0.244.1 pager lines 24 mtu inside 1500 mtu outside 1500 no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 global (outside) 12 interface nat (inside) 0 access-list NONAT nat (inside) 12 access-list NATPOOL nat (outside) 12 access-list 101 access-group WORK in interface inside access-group OUTSIDE_IN_ACL in interface outside route outside 0.0.0.0 0.0.0.0 10.0.248.13 1 route outside 172.18.10.0 255.255.255.0 10.0.248.13 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set vpn-set esp-3des esp-md5-hmac crypto map co-vpn 1 match address CRYPTO crypto map co-vpn 1 set peer 10.0.248.2 crypto map co-vpn 1 set transform-set vpn-set crypto map co-vpn interface outside crypto isakmp enable outside crypto isakmp policy 1 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto isakmp policy 10 authentication pre-share encryption 3des hash md5 group 2 lifetime 3600 crypto isakmp policy 65535 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list ! ! username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 15 tunnel-group 10.0.248.2 type ipsec-l2l tunnel-group 10.0.248.2 ipsec-attributes pre-shared-key * ---------------------------------- ASA2# sh xlate 4 in use, 4 most used PAT Global 10.0.248.14(1026) Local 172.18.10.2(58457) PAT Global 10.0.248.14(10) Local 172.18.10.2 ICMP id 44551 PAT Global 10.0.248.14(1027) Local 172.18.9.2(56394) PAT Global 10.0.248.14(11) Local 172.18.9.2 ICMP id 20487

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>[оверквотинг удален] 
>>>> него соурс IP стал=WAN ASA..
>>> Блин, надо подумать... Если б у тебя с двух сторон стоял роутер, 
>>> то проблем не было. Был бы к примеру gre тунель, на 
>>> которых настроен нат. У тебя сейчас как раз так и выходит, 
>>> с роутера пакеты улетают, даже до сайта доходят, но вернувшись на 
>>> ASA не знают куда идти дальше (на сколько я знаю, АSA 
>>> не может не gre, не loopback , и даже была идея 
>>> с pptp сервером, и то не умеет). Вообщем надо еще подумать 
>> я easyVPN настроил, в общем то же самое, локалку пингую, а сайт 
>> - нет.

> если еще актуально получилось собрать схемку на gns

> ____________________________________________

> ASA2# sh ver

> Cisco Adaptive Security Appliance Software Version 8.0(2)

> ISR#sh version 
> Cisco IOS Software, 2600 Software (C2691-ADVSECURITYK9-M), Version 12.3(11)T4, RELEASE 
> SOFTWARE (fc4)

> ________________________________________________________

> Со стороны маршрутера все ок. На ASA сделал нужную сайт с адресом 
> 10,0,244,1

> !
> interface Ethernet0/0 
>  nameif outside 
>  security-level 0 
>  ip address 10.0.248.14 255.255.255.252 
> !
> interface Ethernet0/1 
>  nameif inside 
>  security-level 100 
>  ip address 172.18.9.1 255.255.255.0 
> !
> interface Ethernet0/2 
>  shutdown 
>  no nameif 
>  no security-level 
>  no ip address 
> !
> interface Ethernet0/3 
>  shutdown 
>  no nameif 
>  no security-level 
>  no ip address 
> !
> interface Ethernet0/4 
>  shutdown 
>  no nameif 
>  no security-level 
>  no ip address 
> !
> interface Ethernet0/5 
>  shutdown 
>  no nameif 
>  no security-level 
>  no ip address 
> !
> passwd 2KFQnbNIdI.2KYOU encrypted 
> ftp mode passive 
> same-security-traffic permit intra-interface 
> access-list WORK extended permit ip any any 
> access-list NONAT extended permit ip 172.18.9.0 255.255.255.0 172.18.10.0 255.255.255.0 
 
> access-list OUTSIDE_IN_ACL extended permit ip any any 
> access-list CRYPTO extended permit ip 172.18.9.0 255.255.255.0 172.18.10.0 255.255.255.0 
 
> access-list CRYPTO extended permit ip host 10.0.244.1 172.18.10.0 255.255.255.0 
> access-list NATPOOL extended permit ip 172.18.9.0 255.255.255.0 any 
> access-list 101 extended permit ip 172.18.10.0 255.255.255.0 host 10.0.244.1 
> pager lines 24 
> mtu inside 1500 
> mtu outside 1500 
> no failover 
> icmp unreachable rate-limit 1 burst-size 1 
> no asdm history enable 
> arp timeout 14400 
> global (outside) 12 interface 
> nat (inside) 0 access-list NONAT 
> nat (inside) 12 access-list NATPOOL 
> nat (outside) 12 access-list 101 
> access-group WORK in interface inside 
> access-group OUTSIDE_IN_ACL in interface outside 
> route outside 0.0.0.0 0.0.0.0 10.0.248.13 1 
> route outside 172.18.10.0 255.255.255.0 10.0.248.13 1 
> timeout xlate 3:00:00 
> timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 
> timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 
> timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 
> timeout uauth 0:05:00 absolute 
> dynamic-access-policy-record DfltAccessPolicy 
> no snmp-server location 
> no snmp-server contact 
> snmp-server enable traps snmp authentication linkup linkdown coldstart 
> crypto ipsec transform-set vpn-set esp-3des esp-md5-hmac 
> crypto map co-vpn 1 match address CRYPTO 
> crypto map co-vpn 1 set peer 10.0.248.2 
> crypto map co-vpn 1 set transform-set vpn-set 
> crypto map co-vpn interface outside 
> crypto isakmp enable outside 
> crypto isakmp policy 1 
>  authentication pre-share 
>  encryption 3des 
>  hash sha 
>  group 2 
>  lifetime 86400 
> crypto isakmp policy 10 
>  authentication pre-share 
>  encryption 3des 
>  hash md5 
>  group 2 
>  lifetime 3600 
> crypto isakmp policy 65535 
>  authentication pre-share 
>  encryption 3des 
>  hash sha 
>  group 2 
>  lifetime 86400 
> telnet timeout 5 
> ssh timeout 5 
> console timeout 0 
> threat-detection basic-threat 
> threat-detection statistics access-list 
> !
> !
> username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 15 
> tunnel-group 10.0.248.2 type ipsec-l2l 
> tunnel-group 10.0.248.2 ipsec-attributes 
>  pre-shared-key *

> ----------------------------------

> ASA2# sh xlate 
> 4 in use, 4 most used 
> PAT Global 10.0.248.14(1026) Local 172.18.10.2(58457) 
> PAT Global 10.0.248.14(10) Local 172.18.10.2 ICMP id 44551 
> PAT Global 10.0.248.14(1027) Local 172.18.9.2(56394) 
> PAT Global 10.0.248.14(11) Local 172.18.9.2 ICMP id 20487

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру