Маршрутизатор Cisco (все равно какая модель), GRE over IPSec
Добавлено: 2011-10-04 14:18:15
Всем доброго времени суток!
Сейчас начинаю изучать оборудование Cisco. На данный момент пытаюсь сделать шифрованный туннель между двумя маршрутизаторами через глобальную сеть. В принципе все получалось до того момента, пока не появилась необходимость реализовать NAT. Дело в том, что безопасности ради были добавлены следующие ACL на внутренние интерфейсы маршрутизаторов (дефолтное действие у ACL - deny):
access-list 120 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
То есть, запрещаем доступ к внутренней сети извне. Все бы ничего, но NAT все испортил можно сказать, так как при отправке пакета во внешнюю сеть (например, тот же пинг), на маршрутизаторе с настроенным NAT происходит замена адреса отправителя, что в принципе характерно, пакет доходит до адресата, тот отвечает на него, и вот когда маршрутизатор пытается передать этот пакет, соответственно не меняя адрес отправителя, срабатывает вышеуказанное правило ACL и конечно же пакет отбрасывается.
Вот собственно вопрос: каким образом можно реализовать такого рода защиту без ущерба функциональности? Может возможно при ответе извне заменять адрес отправителя на внутренний адрес маршрутизатора, чтобы пакет не попадал под правило или как-то изменить ACL, но как понять, это запрос извне или ответ на запрос изнутри сети, чтобы уже принять решение о дальнейшей судьбе пакета?
Вопрос встал из-за того, что без добавления этого ACL получалось попасть во внутреннюю сеть, если настроить маршрут на удаленном компьютере, с которого производится попытка попасть во внутреннюю сеть.
PS: так как это попытка самообучения, то разумеется используется не "живое" оборудование, а симуляция, но тем не менее, работа симулятора вроде как вполне логична.
PSS: вот собственно текущий конфиг:
Сейчас начинаю изучать оборудование Cisco. На данный момент пытаюсь сделать шифрованный туннель между двумя маршрутизаторами через глобальную сеть. В принципе все получалось до того момента, пока не появилась необходимость реализовать NAT. Дело в том, что безопасности ради были добавлены следующие ACL на внутренние интерфейсы маршрутизаторов (дефолтное действие у ACL - deny):
access-list 120 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
То есть, запрещаем доступ к внутренней сети извне. Все бы ничего, но NAT все испортил можно сказать, так как при отправке пакета во внешнюю сеть (например, тот же пинг), на маршрутизаторе с настроенным NAT происходит замена адреса отправителя, что в принципе характерно, пакет доходит до адресата, тот отвечает на него, и вот когда маршрутизатор пытается передать этот пакет, соответственно не меняя адрес отправителя, срабатывает вышеуказанное правило ACL и конечно же пакет отбрасывается.
Вот собственно вопрос: каким образом можно реализовать такого рода защиту без ущерба функциональности? Может возможно при ответе извне заменять адрес отправителя на внутренний адрес маршрутизатора, чтобы пакет не попадал под правило или как-то изменить ACL, но как понять, это запрос извне или ответ на запрос изнутри сети, чтобы уже принять решение о дальнейшей судьбе пакета?
Вопрос встал из-за того, что без добавления этого ACL получалось попасть во внутреннюю сеть, если настроить маршрут на удаленном компьютере, с которого производится попытка попасть во внутреннюю сеть.
PS: так как это попытка самообучения, то разумеется используется не "живое" оборудование, а симуляция, но тем не менее, работа симулятора вроде как вполне логична.
PSS: вот собственно текущий конфиг:
Код: Выделить всё
Building configuration...
Current configuration : 1531 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
!
ip dhcp excluded-address 172.16.1.0 172.16.1.10
!
ip dhcp pool local
network 172.16.1.0 255.255.255.0
default-router 172.16.1.1
dns-server 172.16.1.2
!
!
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 5
lifetime 3600
!
crypto isakmp key ciscoesc address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac
!
crypto map VPN 10 ipsec-isakmp
set peer 10.12.128.165
set pfs group5
set security-association lifetime seconds 900
set transform-set 50
match address 101
!
!
!
!
!
!
!
!
!
interface Tunnel100
ip address 172.16.0.1 255.255.255.0
tunnel source FastEthernet0/0
tunnel destination 10.12.128.165
!
!
interface FastEthernet0/0
ip address 10.12.128.55 255.255.0.0
ip nat outside
duplex auto
speed auto
crypto map VPN
!
interface FastEthernet0/1
ip address 172.16.1.1 255.255.255.0
ip access-group 120 out
ip nat inside
duplex auto
speed auto
!
interface Vlan1
no ip address
shutdown
!
ip nat inside source list 10 interface FastEthernet0/0 overload
ip classless
ip route 172.16.2.0 255.255.255.0 172.16.0.2
!
!
access-list 101 permit gre host 10.12.128.55 host 10.12.128.165
access-list 120 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 10 permit 172.16.1.0 0.0.0.255
!
!
!
!
!
line con 0
line vty 0 4
login
!
!
!
end