iramax

Персональный IT-блог

• Главная

IPSec+GRE за NAT, с выходом в сеть через главный офис

ROUTER-1

Главный офис, с реальным IP-адресом.

 

YYY.YYY.YYY.114 — IP-адрес удаленного офиса

XXX.XXX.XXX.200 — собственный IP-адрес

XXX.XXX.XXX.1 — IP-адрес шлюза провайдера

crypto isakmp policy 15
encr aes
authentication pre-share
group 14
crypto isakmp key MyVerySecretKey address YYY.YYY.YYY.114

crypto ipsec transform-set IPSEC esp-aes esp-sha-hmac
mode tunnel

crypto ipsec profile IPSEC
set transform-set IPSEC

interface Tunnel2
description -= TO_REMOTE_OFFICE =-
ip address 10.0.0.1 255.255.255.252
ip mtu 1400
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1360
load-interval 30
tunnel source FastEthernet0/1
tunnel destination YYY.YYY.YYY.114
tunnel mode ipsec ipv4
tunnel protection ipsec profile IPSEC

interface FastEthernet0/0
description -= LAN =-
ip address 192.168.2.200 255.255.255.0

interface FastEthernet0/1
description -= WAN =-
ip address XXX.XXX.XXX.200 255.255.255.0
ip nat outside

ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.1

ip nat inside source list REMOTE_OFFICE interface FastEthernet0/1 overload

ip access-list standard REMOTE_OFFICE
permit 10.0.0.0 0.0.0.3

ROUTER-2

В удаленном офисе, находится внутри сети, за NAT

Выходим в интернет с адресами из главного офиса.

 

XXX.XXX.XXX.200 — IP-адрес главного офиса

YYY.YYY.YYY.114 — собственный IP-адрес

YYY.YYY.YYY.118 — IP-адрес шлюза провайдера

crypto isakmp policy 15
encr aes
authentication pre-share
group 14
crypto isakmp key MyVerySecretKey address XXX.XXX.XXX.200

crypto ipsec transform-set IPSEC esp-aes esp-sha-hmac
mode tunnel

crypto ipsec profile IPSEC
set transform-set IPSEC

interface Tunnel2
description -= TUNNEL_TO_OFFICE =-
ip address 10.0.0.2 255.255.255.252
ip mtu 1400
ip nat outside
ip virtual-reassembly in
ip tcp adjust-mss 1360
tunnel source GigabitEthernet0/0
tunnel destination XXX.XXX.XXX.200
tunnel mode ipsec ipv4
tunnel protection ipsec profile IPSEC

interface GigabitEthernet0/0
description -= WAN =-
ip address YYY.YYY.YYY.114 255.255.255.248

interface GigabitEthernet0/1
description -= LAN =-
ip address 192.168.0.1 255.255.255.0
ip nat inside

ip nat inside source list NAT_ACL interface Tunnel2 overload

ip route 0.0.0.0 0.0.0.0 Tunnel2
ip route XXX.XXX.XXX.200 255.255.255.255 YYY.YYY.YYY.118

ip access-list standard NAT_ACL
permit 192.168.0.0 0.0.0.255

В конечном итоге получает шифрованный туннель между двумя офисами. При этом удаленный офис выходит в интернет с адресами главного офиса.

В такой конфигурации маршрутизатор второго офиса может находиться как за NAT, так и иметь реальный IP-адрес.

09.06.2018 · XDriver · Комментариев нет
Метки: cisco, GRE, IPsec · Рубрики: Cisco

• « Назад
• Вперед »

• Рубрики

  • Cisco
  • Linux
  • Windows
  • Без рубрики
  • Интересно
  • Радар-детекторы
  • Туризм
  • Юмор

• Архив блога

  • Апрель 2022
  • Март 2020
  • Декабрь 2019
  • Июнь 2018
  • Сентябрь 2017
  • Май 2017
  • Апрель 2017
  • Май 2016
  • Январь 2016
  • Ноябрь 2015
  • Июль 2015
  • Апрель 2015
  • Декабрь 2014
  • Ноябрь 2014
  • Февраль 2014
  • Январь 2014
  • Август 2013
  • Июль 2013
  • Июнь 2013

• Управление

  • Войти
  • Статьи в RSS
  • Комментарии в RSS