Возник у меня такой вопрос:
Настроил IPSec tunnel между двумя подсетями через инет.Схема примерно как здесь http://noc.tomsk.ru/tmp/router.png.
В качестве R1 используется SOHO 97 (IOS 12.3),за ним сетка 10.1.5.0/24. В качестве R5 стоит PIX 515E (ver.6.1).R2R3R4 - это интернет.
За пиксом R5 есть есть несколько локальных сетей 10.1.x.x
На пиксе помимо прочего поднят НАТ в инет.
Есть еще один роутер в инет (скажем R6) - через него тоже могут ходить в инет сети 10.1.х.х.
За пиксом стоит стоит еще одна циска (скажем R7) ,к которой подключена сеть 10.1.1.0/24.
Есть некий адрес в инете 1.2.3.4,на который должны достучаться машины из сети 10.1.5.0 (за R1).
IPSec я настроил для адресов 10.1.5.0/24 - 10.1.1.0/24 и 10.1.5.0/24 - 1.2.3.4. между R1-R5.
Вот на SOHO (R1)
crypto map to-office 20 ipsec-isakmp
description VPN to ofice
set peer real-ip-pix (r5)
set security-association lifetime seconds 21600
set transform-set to-office
match address 101
access-list 101 permit ip 10.1.5.0 0.0.0.255 host 1.2.3.4
access-list 101 permit ip 10.1.5.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 150 deny ip 10.1.5.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 150 deny ip 10.1.5.0 0.0.0.255 host 1.2.3.4
interface BVI1
ip address real-ip-soho(r1) 255.255.255.252
ip nat outside
crypto map to-office
ip nat inside source list 150 interface BVI1 overload
IPSec туннел поднимается нормально. я могу достучаться до хостов в сети 10.1.1.0 из сети 10.1.5.0 и наоборот.
Но из сети 10.1.5.0 не получаю доступа к внешнему инетовскому адресу 1.2.3.4.
Мне требуется пробросить траффик из 10.1.5.0 к 1.2.3.4 через IPSec туннель,занатить его на пиксе R5 или роутере R6 (требуется,чтобы пакеты на адрес 1.2.3.4 пришли под инетовским адресом R5 или R6).
Кто что мне может посоветовать?
Настроил IPSec tunnel между двумя подсетями через инет.Схема примерно как здесь http://noc.tomsk.ru/tmp/router.png.
В качестве R1 используется SOHO 97 (IOS 12.3),за ним сетка 10.1.5.0/24. В качестве R5 стоит PIX 515E (ver.6.1).R2R3R4 - это интернет.
За пиксом R5 есть есть несколько локальных сетей 10.1.x.x
На пиксе помимо прочего поднят НАТ в инет.
Есть еще один роутер в инет (скажем R6) - через него тоже могут ходить в инет сети 10.1.х.х.
За пиксом стоит стоит еще одна циска (скажем R7) ,к которой подключена сеть 10.1.1.0/24.
Есть некий адрес в инете 1.2.3.4,на который должны достучаться машины из сети 10.1.5.0 (за R1).
IPSec я настроил для адресов 10.1.5.0/24 - 10.1.1.0/24 и 10.1.5.0/24 - 1.2.3.4. между R1-R5.
Вот на SOHO (R1)
crypto map to-office 20 ipsec-isakmp
description VPN to ofice
set peer real-ip-pix (r5)
set security-association lifetime seconds 21600
set transform-set to-office
match address 101
access-list 101 permit ip 10.1.5.0 0.0.0.255 host 1.2.3.4
access-list 101 permit ip 10.1.5.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 150 deny ip 10.1.5.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 150 deny ip 10.1.5.0 0.0.0.255 host 1.2.3.4
interface BVI1
ip address real-ip-soho(r1) 255.255.255.252
ip nat outside
crypto map to-office
ip nat inside source list 150 interface BVI1 overload
IPSec туннел поднимается нормально. я могу достучаться до хостов в сети 10.1.1.0 из сети 10.1.5.0 и наоборот.
Но из сети 10.1.5.0 не получаю доступа к внешнему инетовскому адресу 1.2.3.4.
Мне требуется пробросить траффик из 10.1.5.0 к 1.2.3.4 через IPSec туннель,занатить его на пиксе R5 или роутере R6 (требуется,чтобы пакеты на адрес 1.2.3.4 пришли под инетовским адресом R5 или R6).
Кто что мне может посоветовать?