Cisco nat---tunnel---nat
Добавлено: 2010-12-05 12:06:54
Всем доброго времени суток.
Схема:
OUR OFFICE CYPRUS OFFICE
------------------- ----------------------
192.168.1.0====|CISCO|xxx.xxx.53.99 |CISCO |===192.168.18.0
192.168.4.0====|1841 |xxx.xxx.53.105=====tunnel===xxx.xxx.42.130|871 |===192.168.16.0
192.168.10.0===| |xxx.xxx.101 | |===192.168.5.0
В нашем офисе 3 локалки описанные выше.Они все выходят под разными внешними айпишниками.
На Кипре тоже 3 локалки они выходят все под одним айпи адресом.Сеть 5.0 выходит в нет через другой гейтвей в сети.
Через циско ей запрещенно выходить в нет но разрешено общаться с другими внутренними хостами.
---------------------
Постановка задачи:
Необходимо чтобы хосты из нашего оффиса(192.168.1.18;192.168.1.16;192.168.10.5;192.168.10.3) видели удаленную сеть 18.0 и 16.0
через туннель.В данный момент туннель поднят и работает.Но хосты за натом не могут общаться.
Далее очень выжно будет ли работать такая схема?Возможности протестить нет.Тем более что циска находится на Кипре
и через нее идут платежи ))
Обе циски настраивал я с нуля поетому имею к ним полный доступ.
Я набросал конфиг и ошибок не заметил.Посмотрите пожалуста внимательно может я где ошибься..Спасибо
================
CISCO 1841
================
================
CYPRUS:
================
Схема:
OUR OFFICE CYPRUS OFFICE
------------------- ----------------------
192.168.1.0====|CISCO|xxx.xxx.53.99 |CISCO |===192.168.18.0
192.168.4.0====|1841 |xxx.xxx.53.105=====tunnel===xxx.xxx.42.130|871 |===192.168.16.0
192.168.10.0===| |xxx.xxx.101 | |===192.168.5.0
В нашем офисе 3 локалки описанные выше.Они все выходят под разными внешними айпишниками.
На Кипре тоже 3 локалки они выходят все под одним айпи адресом.Сеть 5.0 выходит в нет через другой гейтвей в сети.
Через циско ей запрещенно выходить в нет но разрешено общаться с другими внутренними хостами.
---------------------
Постановка задачи:
Необходимо чтобы хосты из нашего оффиса(192.168.1.18;192.168.1.16;192.168.10.5;192.168.10.3) видели удаленную сеть 18.0 и 16.0
через туннель.В данный момент туннель поднят и работает.Но хосты за натом не могут общаться.
Далее очень выжно будет ли работать такая схема?Возможности протестить нет.Тем более что циска находится на Кипре
и через нее идут платежи ))
Обе циски настраивал я с нуля поетому имею к ним полный доступ.
Я набросал конфиг и ошибок не заметил.Посмотрите пожалуста внимательно может я где ошибься..Спасибо
================
CISCO 1841
================
Код: Выделить всё
crypto map VPN 10 ipsec-isakmp
set peer xxx.xxx.42.130
set transform-set CYPRUS
match address VPN_CYPRUS
!
ip nat pool xxx.xxx.53.99 xxx.xxx.53.99 xxx.xxx.53.99 prefix-length 30
ip nat pool xxx.xxx.53.101 xxx.xxx.53.101 xxx.xxx.53.101 prefix-length 30
ip nat inside source list 10 interface FastEthernet0/1 overload
ip nat inside source route-map VPN_CYPRUS pool xxx.xxx.53.99 overload
ip nat inside source list 30 pool xxx.xxx.53.101 overload
ip nat inside source static tcp 192.168.10.4 80 xxx.xxx.53.84 80 extendable
ip nat inside source static udp 192.168.10.4 80 xxx.xxx.53.84 80 extendable
ip nat inside source static tcp 192.168.10.3 80 xxx.xxx.53.85 80 extendable
ip nat inside source static udp 192.168.10.3 80 xxx.xxx.53.85 80 extendable
ip nat inside source static tcp 192.168.1.100 80 xxx.xxx.53.99 80 extendable
ip nat inside source static udp 192.168.1.100 80 xxx.xxx.53.99 80 extendable
ip nat inside source static tcp 192.168.10.8 443 xxx.xxx.53.99 443 extendable
ip nat inside source static udp 192.168.10.8 443 xxx.xxx.53.99 443 extendable
ip nat inside source static tcp 192.168.10.8 8221 xxx.xxx.53.99 8221 extendable
ip nat inside source static udp 192.168.10.8 8221 xxx.xxx.53.99 8221 extendable
ip nat inside source static tcp 192.168.10.5 1200 xxx.xxx.53.101 1200 extendable
ip nat inside source static udp 192.168.10.5 1200 xxx.xxx.53.101 1200 extendable
ip nat inside source static tcp 192.168.10.5 1210 xxx.xxx.53.101 1210 extendable
ip nat inside source static udp 192.168.10.5 1210 xxx.xxx.53.101 1210 extendable
ip nat inside source static tcp 192.168.10.5 1211 xxx.xxx.53.101 1211 extendable
ip nat inside source static udp 192.168.10.5 1211 xxx.xxx.53.101 1211 extendable
ip nat inside source static tcp 192.168.10.5 1212 xxx.xxx.53.101 1212 extendable
ip nat inside source static udp 192.168.10.5 1212 xxx.xxx.53.101 1212 extendable
ip nat inside source static tcp 192.168.10.5 8221 xxx.xxx.53.101 8221 extendable
ip nat inside source static udp 192.168.10.5 8221 xxx.xxx.53.101 8221 extendable
access-list 10 remark 192.168.1.0=>>xxx.xxx.53.105
access-list 10 deny 192.168.1.100
access-list 10 deny 192.168.1.28
access-list 10 deny 192.168.1.16
access-list 10 deny 192.168.1.21
access-list 10 permit 192.168.1.0 0.0.0.255
access-list 30 permit 192.168.4.4
access-list 30 remark permit 192.168.4.0=>xxx.xxx.53.101
access-list 30 permit 192.168.4.1
access-list 30 permit 192.168.4.2
access-list 30 permit 192.168.4.3
access-list 30 deny any
!
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
ip address 192.168.4.1 255.255.255.0 secondary
ip address 192.168.10.1 255.255.255.0 secondary
ip nat inside
!
interface Ethernet0/1
ip address xxx.xxx.53.105 255.255.255.0
ip nat outside
crypto map VPN
!
ip route 0.0.0.0 0.0.0.0 xxx.xxx.53.1
!
!
access-list VPN_CYPRUS permit ip host 192.168.1.28 192.168.18.0 0.0.0.255
access-list VPN_CYPRUS permit ip host 192.168.1.16 192.168.18.0 0.0.0.255
access-list VPN_CYPRUS permit ip host 192.168.1.28 192.168.16.0 0.0.0.255
access-list VPN_CYPRUS permit ip host 192.168.1.16 192.168.16.0 0.0.0.255
access-list VPN_CYPRUS permit ip host 192.168.10.5 192.168.18.0 0.0.0.255
access-list VPN_CYPRUS permit ip host 192.168.10.3 192.168.18.0 0.0.0.255
access-list VPN_CYPRUS permit ip host 192.168.10.5 192.168.16.0 0.0.0.255
access-list VPN_CYPRUS permit ip host 192.168.10.3 192.168.16.0 0.0.0.255
access-list VPN_CYPRUS deny ip any any
access-list NAT_POLICY deny ip any 192.168.18.0 0.0.0.255
access-list NAT_POLICY deny ip any 192.168.16.0 0.0.0.255
access-list NAT_POLICY permit 192.168.1.100
access-list NAT_POLICY permit 192.168.10.3
access-list NAT_POLICY permit 192.168.10.4
access-list NAT_POLICY remark permit 10.5&1.100=>53.99
access-list NAT_POLICY permit 192.168.10.5
access-list NAT_POLICY permit 192.168.10.8
access-list NAT_POLICY permit 192.168.1.28
access-list NAT_POLICY permit 192.168.1.16
access-list NAT_POLICY permit 192.168.1.21
access-list NAT_POLICY deny ip any any
!
route-map VPN_CYPRUS permit NAT_POLICY
match interface Ethernet0/1
!
CYPRUS:
================
Код: Выделить всё
crypto ipsec transform-set CYPRUS esp-3des esp-sha-hmac
!
crypto map VPN 10 ipsec-isakmp
set peer xxx.xxx.53.105
set transform-set CYPRUS
match address VPN_OFFICE
!
!
interface fast ethernet 1
ip address 192.168.18.254 255.255.255.0
ip nat inside
!
interface fast ethernet 2
ip address 192.168.16.254 255.255.255.0
ip nat inside
!
interface fast Ethernet 4
ip address xxx.xxx.42.130 255.255.255.0
ip nat outside
crypto map VPN
!
ip route 0.0.0.0 0.0.0.0 xxx.xxx.42.129
!
!
ip nat inside source route-map VPN_PPOINT interface FastEthernet4 overload
ip nat inside source static tcp 192.168.16.102 80 xxx.xxx.42.130 80 extendable
ip nat inside source static tcp 192.168.18.101 80 xxx.xxx.42.130 81 extendable
ip nat inside source static tcp 192.168.16.103 80 xxx.xxx.42.130 82 extendable
ip nat inside source static tcp 192.168.16.102 443 xxx.xxx.42.130 443 extendable
ip nat inside source static tcp 192.168.16.103 443 xxx.xxx.42.130 444 extendable
ip nat inside source static tcp 192.168.16.101 3389 xxx.xxx.42.130 13389 extendable
ip nat inside source static tcp 192.168.16.102 3389 xxx.xxx.42.130 13390 extendable
!
access-list VPN_OFFICE permit ip 192.168.18.0 0.0.0.255 host 192.168.1.28
access-list VPN_OFFICE permit ip 192.168.18.0 0.0.0.255 host 192.168.1.16
access-list VPN_OFFICE permit ip 192.168.16.0 0.0.0.255 host 192.168.1.28
access-list VPN_OFFICE permit ip 192.168.16.0 0.0.0.255 host 192.168.1.16
access-list VPN_OFFICE permit ip 192.168.18.0 0.0.0.255 host 192.168.10.5
access-list VPN_OFFICE permit ip 192.168.18.0 0.0.0.255 host 192.168.10.3
access-list VPN_OFFICE permit ip 192.168.16.0 0.0.0.255 host 192.168.10.5
access-list VPN_OFFICE permit ip 192.168.16.0 0.0.0.255 host 192.168.10.3
access-list VPN_OFFICE deny ip any any
access-list NAT_POLICY deny ip any host 192.168.1.28
access-list NAT_POLICY deny ip any host 192.168.1.16
access-list NAT_POLICY deny ip any host 192.168.10.5
access-list NAT_POLICY deny ip any host 192.168.10.3
access-list NAT_POLICY deny ip 192.168.5.0 0.0.0.255 any
access-list NAT_POLICY permit ip 192.168.18.0 0.0.0.255 any
access-list NAT_POLICY permit ip 192.168.16.0 0.0.0.255 any
!
route-map VPN_PPOINT permit NAT_POLICY
match interface fast ethernet 4
!