VPN Remote Access na Routerze z tunelowaniem sieci static

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
ODPOWIEDZ
Wiadomość
Autor
pakarod
wannabe
wannabe
Posty: 73
Rejestracja: 28 lip 2010, 12:39

VPN Remote Access na Routerze z tunelowaniem sieci static

#1

#1 Post autor: pakarod »

Witam,

Taka topologia

Uzytkownik ---->VPN przez chmure ----> router1---->router2

chcialbym aby uzytkownik logowal sie IPSeciem do routera1 i dostawal sie do sieci inside routera2. Router1 widzi sieci router2 poprzez statici. Router2 widzi siec uzytkownikow VPN tez poprzez statici.

Obecna konfiguracja
crypto isakmp client configuration group vpn-ik
key ####
pool IK
acl IK
save-password
netmask 255.255.255.128
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto dynamic-map DYNMAP 1
set transform-set ESP-3DES-SHA
reverse-route
!
!
crypto map CMAP1 client authentication list XAUTH
crypto map CMAP1 isakmp authorization list VPN_group
crypto map CMAP1 client configuration address respond
crypto map CMAP1 65535 ipsec-isakmp dynamic DYNMAP
!
crypto ctcp port 10000 10001 10002 10003
!
!
interface FastEthernet0/0/0.79
encapsulation dot1Q 79
ip address 10.130.0.253 255.255.255.128
!
!
interface FastEthernet0/0/1
ip address 1.1.1.1 255.255.255.248
ip flow ingress
ip flow egress
duplex auto
speed auto
crypto map CMAP1
!
ip local pool IK 10.130.0.10 10.130.0.50
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 1.1.1.2
ip route 10.130.2.0 255.255.255.0 10.130.0.254
ip route 10.130.3.0 255.255.255.0 10.130.0.254
ip route 10.130.4.0 255.255.255.0 10.130.0.254
ip route 10.130.5.0 255.255.255.0 10.130.0.254
ip route 10.130.6.0 255.255.255.0 10.130.0.254
ip route 10.130.7.0 255.255.255.0 10.130.0.254
ip route 10.130.8.0 255.255.255.0 10.130.0.254
!
ip access-list extended IK
permit ip 10.130.2.0 0.0.0.255 10.130.0.0 0.0.0.127
permit ip 10.130.0.128 0.0.0.127 10.130.0.0 0.0.0.127
!

teraz problem.
Uzytkownik terminuje vpna. Widzi jako sieci secured te wskazane w ACL KI.
Moze spingowac IP 10.130.0.253 a nie moze spingowac 10.130.0.254 ani zadnej sieci 10.130.X.0 (wskazane w ip route). Router2 (de facto int vlan na 3750) widzi icmp request od uzytkownika i odpowiada na niego wysylajac do routera1 odpowiedz. Router1 dalej nie przesyla do klienta VPN. Inaczej mowiac uzytkownik moze pingowac te interfejsy, ktore sa zaterminowane na routerze 1 a nie moze nic spingowac na routerze2 (choc ten widzi zapytania i odpowiada). Pytanie - dlaczego?
Na górę
dorvin
CCIE
CCIE
Posty: 1688
Rejestracja: 21 sty 2008, 13:21
Lokalizacja: Wrocław
Kontakt:
Skontaktuj się z dorvin

#2

#2 Post autor: dorvin »

Robienie puli dla userów VPN w tej samej podsieci co adresacja interfejsu to nie jest najszczęśliwszy pomysł.
Na górę
pakarod
wannabe
wannabe
Posty: 73
Rejestracja: 28 lip 2010, 12:39

#3

#3 Post autor: pakarod »

sa w innej - patrz maski ;)
problem sie nijako rozwiazal w miedzy czasie. ROuter 2 to 3750 i doalem routing w konfiguracji ale zapomnialem wlaczyc wogole routing (ip routing). Od razu wystartowalo ;)
Na górę
dorvin
CCIE
CCIE
Posty: 1688
Rejestracja: 21 sty 2008, 13:21
Lokalizacja: Wrocław
Kontakt:
Skontaktuj się z dorvin

#4

#4 Post autor: dorvin »

Damn it. Ślepy z rana jestem. :)
Na górę
ODPOWIEDZ

Wróć do „Security”