 |
|
Страница 1 из 1
|
[ Сообщений: 15 ] |
|
Как бороться с пересекающимися сетями в IPSec
| Автор |
Сообщение |
|
Dr01d
Зарегистрирован: 16 апр 2015, 10:37
Сообщения: 31
|
Добрый день!
Подскажите пожалуйста, как бороться с пересекающимися сетями при поднятии новых IPsec туннелей?
Стали очень активно подключать новых клиентов, и постепенно попадаем в ситуацию, когда, например трафик для сетей 10.0.0.0/8 уже настроен в криптокарте , но для других клиентов. А новый филиал хочет, чтобы тонель понимался до его хоста 10.2.0.2 … Идет явное перекрытие...
|
| 16 сен 2015, 14:07 |
|
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
|
чем вам не понравилась тема viewtopic.php?f=2&t=6537 ?
|
| 16 сен 2015, 14:09 |
|
|
|
Dr01d
Зарегистрирован: 16 апр 2015, 10:37
Сообщения: 31
|
Простите, но я не виже ничего общего с темой "Помогите скачать с cisco.com" и моей темой )
|
| 16 сен 2015, 14:13 |
|
|
|
blind_oracle
Зарегистрирован: 21 ноя 2013, 11:07
Сообщения: 279
|
VRF
|
| 16 сен 2015, 14:26 |
|
|
|
siegfried1
Зарегистрирован: 11 фев 2015, 08:32
Сообщения: 38
|
вот тут я писал как делать viewtopic.php?f=2&t=8219Минус в том, что надо описывать все хосты или натировать клиентов обоих тунелей в ограниченое число адресов
|
| 16 сен 2015, 14:42 |
|
|
|
Nikolay_
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1874
|
Dr01d писал(а): постепенно попадаем в ситуацию, когда, например трафик для сетей 10.0.0.0/8 уже настроен в криптокарте , но для других клиентов. А новый филиал хочет, чтобы тонель понимался до его хоста 10.2.0.2 … Если пересекается сеть головного офиса и одного клиента, и в головном офисе стоит ASA - то решается. Если пересекаются клиентские сети - тогда совсем плохо. Ничего не поможет. А, вообще, мы говорим о каких устройствах (ASA, router) в head office и каких устройствах в branch? И какие именно виды VPN подняты?
|
| 16 сен 2015, 15:13 |
|
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
|
Dr01d писал(а): Простите, но я не виже ничего общего с темой "Помогите скачать с cisco.com" и моей темой ) виноват, не в той теме написал.
|
| 16 сен 2015, 16:46 |
|
|
|
Dr01d
Зарегистрирован: 16 апр 2015, 10:37
Сообщения: 31
|
Nikolay_ писал(а): Dr01d писал(а): постепенно попадаем в ситуацию, когда, например трафик для сетей 10.0.0.0/8 уже настроен в криптокарте , но для других клиентов. А новый филиал хочет, чтобы тонель понимался до его хоста 10.2.0.2 … Если пересекается сеть головного офиса и одного клиента, и в головном офисе стоит ASA - то решается. Если пересекаются клиентские сети - тогда совсем плохо. Ничего не поможет. А, вообще, мы говорим о каких устройствах (ASA, router) в head office и каких устройствах в branch? И какие именно виды VPN подняты? В головном офисе стоит ASA 5512-x , что стоит у клиентов никто не знает, они ничего на своем уровне менять не будут. VPN типа L2L. Вот сейчас ситуация, когда сеть новых клиентов пересекается с уже существующими настройками L2L но от других клиентов. Реально для новых клиентов нужно всего пару хостов из пересекающейся сети..
|
| 16 сен 2015, 17:30 |
|
|
|
siegfried1
Зарегистрирован: 11 фев 2015, 08:32
Сообщения: 38
|
Как я уже писал, двойной нат поможет. Только нужна инфа о серверах и клиентах с обоих сторон, которые будут обмениваться траффиком, придумываешь свои сети и натируешь в них исходящий траффик. Толлько есть нюанс, клиенты тоже должны представляться серыми адресами, т.е. на их цисках тоже надо настраивать двойной нат
|
| 16 сен 2015, 18:06 |
|
|
|
Nikolay_
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1874
|
Dr01d писал(а): VPN типа L2L. Вот сейчас ситуация, когда сеть новых клиентов пересекается с уже существующими настройками L2L но от других клиентов. to siegfried1 - что, и пример сможете написать такого двойного ната?  Если у двух удаленных клиентов сеть, например, 192.168.0.0/24? Не путайте человека? это невозможно.
|
| 17 сен 2015, 08:22 |
|
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
|
Николай, ну, вообще-то возможно. Только клиенты будут считать, что с другой стороны сеть не 192.168.0.0/24, а какая-то другая и именно в неё слать данные. Хотя там именно 192.168.0.0/24. Геморой редкостный, но работает.
|
| 17 сен 2015, 11:41 |
|
|
|
Nikolay_
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1874
|
Дайте, пожалуйста, конкретный пример "без вообще-то возможно". И я признаю, что был неправ. Еще раз - у Вас снаружи (за интерфейсом outside) две сети с одинаковыми адресами 192.168.0.0/24. Внутри сеть inside 10.0.0.0/24 Подключаться нужно симметрично, как со стороны удаленной, так и со стороны inside. Дайте пример правил NAT. Заодно и пример ACL для Cryptomap
|
| 17 сен 2015, 16:16 |
|
|
|
siegfried1
Зарегистрирован: 11 фев 2015, 08:32
Сообщения: 38
|
Ну ничего сложного в этом нет. Если у нас есть два пира, за которыми впн-клиенты с подсетью 192.168.1.0/24 не нужно строить ipsec в лоб по мануалу. С одним клиентом надо договориться, что он представляет свою сеть как сеть 10.10.10.0/24 и настраивает статики, которые пробрасывают клиента на белый адрес из 192.168.1.0/24. Вы, в свою очередь представляетесь как 20.20.20.0 и настраиваете статики на проброс в свои адреса. В итоге криптомапа строится на аксес листах типа extended permit 10.10.10.0 255.255.255.0 20.20.20.0 255.255.255.0
вот же я пример приводил
одну сторону представляю 1.2.3.0 255.255.255.0
вторую сторону 5.6.7.0 255.255.255.0
access-list IPSEC 1.2.3.0 255.255.255.0 5.6.7.0 255.255.255.0
access-list ACL_INT_I extended permit ip any4 5.6.7.0 255.255.255.0
access-group ACL_INT_I in interface inside
с другой стороны
access-list IPSEC 5.6.7.0 255.255.255.0 1.2.3.0 255.255.255.0
access-list ACL_INT_I extended permit ip any4 1.2.3.0 255.255.255.0
access-group ACL_INT_I in interface inside
например
nat (inside,any) source dynamic obj-192.168.1.12 obj-1.2.3.12 destination static obj-5.6.7.5 obj-5.6.7.5 description ....
соответственно с другой стороны нужен такой же статик
nat (inside,any) source static obj-192.168.1.5 obj-5.6.7.5 destination static obj-1.2.3.12 obj-1.2.3.12 service obj-udp-source-eq-tftp obj-udp-source-eq-tftp description tftp
У меня довольно много тунелей построено, где я даже не знаю, что там за сети в локалке на другой стороне. Главное параметры представления этой сети
|
| 17 сен 2015, 17:12 |
|
|
|
Nikolay_
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1874
|
Когда Вы управляете обоими сторонами и на обоих сторонах стоит ASA - это понятно. А вот это Вы читали? Dr01d писал(а): Nikolay_ писал(а): А, вообще, мы говорим о каких устройствах (ASA, router) в head office и каких устройствах в branch? И какие именно виды VPN подняты? В головном офисе стоит ASA 5512-x , что стоит у клиентов никто не знает, они ничего на своем уровне менять не будут. VPN типа L2L. Вот сейчас ситуация, когда сеть новых клиентов пересекается с уже существующими настройками L2L но от других клиентов. Реально для новых клиентов нужно всего пару хостов из пересекающейся сети.. Что скажете по данному случаю?
|
| 17 сен 2015, 17:53 |
|
|
|
siegfried1
Зарегистрирован: 11 фев 2015, 08:32
Сообщения: 38
|
Извиняюсь, этот нюанс не увидел) Тогда конечно нереально.
|
| 17 сен 2015, 18:01 |
|
|
|
|
Страница 1 из 1
|
[ Сообщений: 15 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: Google [Bot] и гости: 29 |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения
|
|
|
