Как завернуть трафик в NAT перед IPSEC в Cisco?

Question

[Alex Plast]

Ситуация следующая. Построен Site-To-Site IPSEC. Пир выдал для построения туннеля IP 172.16.197.100/32. С его стороны 212.XX.XX.XX. Со стороны локалки пира клиет пингует мой туннельный интерфейс, который я поднял на Loopback. Внутри моей локалки сервис на 80 порту на адресе 192.168.1.7. Клиент должен получать ответ от веб сервера. Пробовал NAT не получается. Как решить?

Answer 1

[gosha-z]

1. О каком конкретно оборудовании речь?
2. Так речь об IPSEC или ipsec-protected GRE? Это разные вещи...

Comments

[Alex Plast]

С моей стороны Cisco 2811. Речь о IPSEC. На внешнем интерфейсе висит crypto map.

За пиром 212.ХХ.XX.XX есть сетка 10.х.х.х . Трафик из этой сетки должен прилететь на loopback моей Cisco 172.16.197.100 пронатится внутрь 192.168.1.0/24 на хост 192.168.1.7 на 80 порт и после ответа соответственно вернуться обратно. Можно любым другим способом.

[gosha-z]

А зачем в этой схеме NAT? Обычный IPSEC...

[Strabbo]

gosha-z, не обычный, дело в том что с его сети в сетку 10.х.х.х доступ только с 172.16.197.100, потому приходиться натить

[gosha-z]

А что на дальнем, по отношению к вам, конце прописано в качестве дальней сети? Я пока схему не очень понимаю...

[Alex Plast]

Текущая конфигурация - нерабочая

crypto isakmp policy 1
encr aes
authentication pre-share
group 2
crypto isakmp key XXXXXXXXXXXXX address X1X.XX.XX.X60

crypto ipsec transform-set lf esp-aes esp-sha-hmac

crypto map lf 1 ipsec-isakmp
set peer X1X.XX.XX.X60
set security-association lifetime seconds 28800
set transform-set lf
match address LF

interface Loopback0
ip address 172.16.197.100 255.255.255.255
ip nat outside
ip virtual-reassembly in

interface FastEthernet0/0
description --==EXTERNAL==--
ip address X93.XX.XX.6 255.255.255.0 secondary
ip address X93.XX.XX.4 255.255.255.192
ip access-group EXTERNALTOLAN in
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
no cdp enable
crypto map lf

interface Vlan5
description --==LAN==--
ip address 192.168.1.1 255.255.255.0
ip access-group LANTOEXTERNAL in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly in

ip nat pool OFFICEIP X93.XX.XX.4 X93.XX.XX.4 netmask 255.255.255.192
ip nat pool TECHIP X93.XX.XX.6 X93.XX.XX.6 netmask 255.255.255.128
ip nat source list LFNAT interface Loopback0 overload
ip nat inside source list OFFICENAT pool OFFICEIP overload
ip nat inside source list TECHNAT pool TECHIP overload
ip nat inside source static tcp 192.168.1.7 80 172.16.197.100 80 extendable

ip access-list extended LF
permit ip host 172.16.197.100 host X1X.XX.XX.39

ip access-list extended LFNAT
permit ip host 192.168.1.7 host X1X.XX.XX.39 log

ip access-list extended OFFICENAT
deny ip object-group TECHIP any
deny ip 192.168.1.0 0.0.0.255 host X1X.XX.XX.39
permit ip object-group OFFICEIP any
permit ip object-group GUESTIP any

ip access-list extended TECHNAT
deny ip object-group OFFICEIP any
deny ip object-group GUESTIP any
deny ip 192.168.1.0 0.0.0.255 host X1X.XX.XX.39
permit ip object-group TECHIP any

[gosha-z]

access-list LF должен быть "сетка в сетку" и симметричным на обеих концах. Схемку нарисуйте, где что, а то вы, похоже, тоже запутались

[Alex Plast]

gosha-z, host X1X.XX.XX.39- это сетка с обратной стороны. На той стороне зеркальный access list Схемку накидаю и подгружу.

Answer 2

[Strabbo]

1. На loopback interface > ip nat outside
2. На интерфейсе, который смотрит в сторону 192.168.1.0/24 ip nat inside+ использовать PBR такого типа:
route-map NEW_RM, permit, sequence 20
Match clauses:
ip address (access-lists): NEW_ACL
Set clauses:
interface Loopback250
route-map NEW_RM, permit, sequence 25
Match clauses:
Set clauses:
в ACL указываешь permit ip 192.168.1.0 0.0.0.255 10.х.х.х + wildcard
вешаешь роут мап на итнерфейс ip policy route-map NEW_RM
потом натишь ip nat inside source list NEW_ACL interface Loopback250 overload
порт форвардить ip nat inside source static tcp 192.168.1.7 172.16.197.100 80 extendable
P.S. Делал это 100 лет назад, вроде ничего не упустил.

Comments

[Wexter]

господи иисусе, столько извращений ради такой мелочи....

[Strabbo]

Wexter, согласен, просто у них старая схема, так делали 10 лет назад)) просто они не придумали как сделать лучше и вернулисьв старые времена.