The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"IPSec site2site + ISA nat"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"IPSec site2site + ISA nat"  +/
Сообщение от Евгений (??) on 25-Мрт-10, 13:34 
Добрый день.

Есть необходимость реализовать следующую схему:

LAN 10.0.0.0/8 --- ISA 192.168.249.253/30----- 192.168.249.254/30 Cisco 3828 -------- Cisco ----- LAN 192.168.100.0/24

Весь трафик из интернета необходимо натить на ISA (там много корпоративных правил), при этом весь трафик для удаленных подразделений должен маршрутизироваться Cisco3825.
Задача вроде бы тривиальна, но получается все это запустить только по одиночке.
Если не указывать строчку с ip nat inside **** то филиалы подключаются на "ура". Если включить эту строчку (ip nat inside **) компы из локальной сети выходят в инет, но сразу пропадает связь с филиалами.
Если есть какие-либо идеи - welcome.  Есть подозрение на access-lists.

access-list 105 deny   ip 172.16.0.0 0.15.255.255 192.168.100.0 0.0.0.255
access-list 105 deny   ip 10.0.0.0 0.255.255.255 192.168.100.0 0.0.0.255
access-list 105 permit ip host 192.168.249.253 any
access-list 105 deny   ip any any

access-list 123 permit ip 10.0.0.0 0.255.255.255 192.168.100.32 0.0.0.15
access-list 123 permit ip 172.16.0.0 0.15.255.255 192.168.100.32 0.0.0.15

route-map nonat permit 10
match ip address 105

ip nat inside source static 192.168.249.253 195.xx.xxx.x route-map nonat

Заранее спасибо.

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "IPSec site2site + ISA nat"  +/
Сообщение от Pve1 (ok) on 25-Мрт-10, 18:12 
Аксес лист 105 у вас не правильный.
Как я понимаю надо сделать так:
deny ip any 10.0.0.0/8
deny ip any 192.168.0.0/16
deny ip any 172.16.0.0/12
permit host ISA any

Тем самым весь трафик на внутренние адреса пойдет без ната.
А в интернет - с натом.


Ваше правило
access-list 105 permit ip host 192.168.249.253 any
разрешает всем пакетам с исы идти через нат.

А вообще, как я понимаю, весь трафик натится в любом случае?
Ест нат в филиалы не нуже - надо на ису и рутер  заводить дополнительный интерфейс.
Тогда такие проблемы в принципе не возникнут.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "IPSec site2site + ISA nat"  +/
Сообщение от Евгений (??) on 25-Мрт-10, 19:13 
>[оверквотинг удален]
>
>
>Ваше правило
>access-list 105 permit ip host 192.168.249.253 any
>разрешает всем пакетам с исы идти через нат.
>
>А вообще, как я понимаю, весь трафик натится в любом случае?
>Ест нат в филиалы не нуже - надо на ису и рутер
> заводить дополнительный интерфейс.
>Тогда такие проблемы в принципе не возникнут.

Если можно - поподробней вашу идею.
На текущий момент у Cisco есть интерфейс и в 10.0.0.0/8 подсеть и в подсеть с ИСА.

Логика такая: Выход в интернет должна иметь только ИСА, потому как на ней много правил, разрешающих интернет по протоколам/группам, публикуются сервера в интеренет и т.п.
Роутинг между подсетями филиалов и офиса должна осуществлять Cisco.

Спасибо за ответ.. сегодня/завтра попробую.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "IPSec site2site + ISA nat"  +/
Сообщение от Pve1 (ok) on 25-Мрт-10, 21:43 
>[оверквотинг удален]
>Если можно - поподробней вашу идею.
>На текущий момент у Cisco есть интерфейс и в 10.0.0.0/8 подсеть и
>в подсеть с ИСА.
>
>Логика такая: Выход в интернет должна иметь только ИСА, потому как на
>ней много правил, разрешающих интернет по протоколам/группам, публикуются сервера в интеренет
>и т.п.
>Роутинг между подсетями филиалов и офиса должна осуществлять Cisco.
>
>Спасибо за ответ.. сегодня/завтра попробую.

Просто по нарисованной схеме я понял, что весь внутренний лан подключен к исе без прямого выхода на роутер.  И весь трафик проходит через ису. И соответственно предложил 2 интерфейса между исой и рутером. На одном нат - в интернет. На другом роутинг в впн-каналы. Тогда и роут-мап не нужен, т.к. нат на 1-м интерфейсе.

Но раз рутер подключен напрямую в 10.0.0.0 сетку - то это очевидно излишне.
Я правильно понял, что в вашей 10.0.0.0.24 сетке - рутер является шлюзом по умолчанию.
А интернет трафик перенаправляется на ису файервол-клиентом по socks-proxy? При этом иса шлюзом не является?
В этом случае все должно работать с предложенным мной ACL.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "IPSec site2site + ISA nat"  +/
Сообщение от Valery12 (ok) on 26-Мрт-10, 14:38 
>Если можно - поподробней вашу идею.
>На текущий момент у Cisco есть интерфейс и в 10.0.0.0/8 подсеть и
>в подсеть с ИСА.

я поступил проще, взял дополнительный белый IP
первый на интерфейсе роутера на нем DMVPN с крипто-мап для связи с филиалами
а второй для ИСА
и уже для него
ip nat pool ISA хх.хх.хх.хх хх.хх.хх.хх netmask 255.255.255.252
ip nat inside source list 70 pool ISA overload
ip nat inside source static 10.0.0.40 хх.хх.хх.хх extendable
access-list 70 permit 10.0.0.40

ip nat inside source static 10.0.0.40 хх.хх.хх.хх extendable
можно заменить указав только разрешенные из-вне протоколы, ну и не забыть поправить входящий акцесс-лист

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру