IPSec+GRE за NAT, с выходом в сеть через главный офис
ROUTER-1
Главный офис, с реальным IP-адресом.
YYY.YYY.YYY.114 — IP-адрес удаленного офиса
XXX.XXX.XXX.200 — собственный IP-адрес
XXX.XXX.XXX.1 — IP-адрес шлюза провайдера
crypto isakmp policy 15
encr aes
authentication pre-share
group 14
crypto isakmp key MyVerySecretKey address YYY.YYY.YYY.114
crypto ipsec transform-set IPSEC esp-aes esp-sha-hmac
mode tunnel
crypto ipsec profile IPSEC
set transform-set IPSEC
interface Tunnel2
description -= TO_REMOTE_OFFICE =-
ip address 10.0.0.1 255.255.255.252
ip mtu 1400
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1360
load-interval 30
tunnel source FastEthernet0/1
tunnel destination YYY.YYY.YYY.114
tunnel mode ipsec ipv4
tunnel protection ipsec profile IPSEC
interface FastEthernet0/0
description -= LAN =-
ip address 192.168.2.200 255.255.255.0
interface FastEthernet0/1
description -= WAN =-
ip address XXX.XXX.XXX.200 255.255.255.0
ip nat outside
ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.1
ip nat inside source list REMOTE_OFFICE interface FastEthernet0/1 overload
ip access-list standard REMOTE_OFFICE
permit 10.0.0.0 0.0.0.3
ROUTER-2
В удаленном офисе, находится внутри сети, за NAT
Выходим в интернет с адресами из главного офиса.
XXX.XXX.XXX.200 — IP-адрес главного офиса
YYY.YYY.YYY.114 — собственный IP-адрес
YYY.YYY.YYY.118 — IP-адрес шлюза провайдера
crypto isakmp policy 15
encr aes
authentication pre-share
group 14
crypto isakmp key MyVerySecretKey address XXX.XXX.XXX.200
crypto ipsec transform-set IPSEC esp-aes esp-sha-hmac
mode tunnel
crypto ipsec profile IPSEC
set transform-set IPSEC
interface Tunnel2
description -= TUNNEL_TO_OFFICE =-
ip address 10.0.0.2 255.255.255.252
ip mtu 1400
ip nat outside
ip virtual-reassembly in
ip tcp adjust-mss 1360
tunnel source GigabitEthernet0/0
tunnel destination XXX.XXX.XXX.200
tunnel mode ipsec ipv4
tunnel protection ipsec profile IPSEC
interface GigabitEthernet0/0
description -= WAN =-
ip address YYY.YYY.YYY.114 255.255.255.248
interface GigabitEthernet0/1
description -= LAN =-
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip nat inside source list NAT_ACL interface Tunnel2 overload
ip route 0.0.0.0 0.0.0.0 Tunnel2
ip route XXX.XXX.XXX.200 255.255.255.255 YYY.YYY.YYY.118
ip access-list standard NAT_ACL
permit 192.168.0.0 0.0.0.255
В конечном итоге получает шифрованный туннель между двумя офисами. При этом удаленный офис выходит в интернет с адресами главного офиса.
В такой конфигурации маршрутизатор второго офиса может находиться как за NAT, так и иметь реальный IP-адрес.
Related Posts
09.06.2018
· XDriver · Комментариев нет
Метки: cisco, GRE, IPsec · Рубрики: Cisco
Написать комментарий
Вы должны войти, чтобы комментировать.