Hi all,
Ik zit met een behoorlijk probleem. Ik heb al een groot aantal uren aan deze config besteed, maar er zijn toch een aantal dingen die ik nog niet goed snap.
Wat wil ik? Een kleine illustratie hieronder om mijn wensen te verduidelijen.
lan netwerk Amsterdam: 10.31.10.0/24
*|*
*|*
Pix Firewall; inside: 10.31.10.1 outside, 172.16.0.2
*|*
*|*
Cisco 1841 router, intern: 172.16.0.1, outside: 82.16.0.2 and 212.61.0.2
*|*
*|*
2x cisco dsl modems, 82.16.0.1 en 212.61.0.1
*|*
*|*
HET INTERNET
*|*
*|*
2x cisco dsl modems, 82.16.1.1 en 212.61.1.1
*|*
*|*
Cisco 1841 router, intern: 172.16.0.1, outside: 82.16.1.2 and 212.61.1.2
*|*
*|*
Pix Firewall; inside: 10.31.11.1 outside, 172.16.0.2
*|*
*|*
lan netwerk Rotterdam: 10.31.11.0/24
Zoals je ziet zijn er dus 2 locaties, Rotterdam en Amsterdam, die beide middels 2 verbindingen verbonden zijn met het internet. Dat werkt. Als de ene verbinding uitvalt neemt de andere het netjes over.
Tussen Rotterdam en Amsterdam moeten ook 2 vpn tunnels opgezet worden die het van elkaar kunnen overnemen als er 1 van de verbindingen uitvalt. Dit geeft wat problemen. Tevens heb ik problemen met de statische nat configuratie.
Wat ik wil doen is vanaf de Cisco 1841 router statisch een aantal publieke ip-adressen mappen naar de servers achter de pix firewall.
Op de pix firewall zelf kan dit heel simpel met bijvoorbeeld het volgende commando:
static (inside,outside) 212.61.0.3 10.31.1.15 netmask 255.255.255.255 0 0
Hiermee zorgt je er dus voor dat dat ip-adres op een pix hard genat wordt aan de server die erachter staat, 1 op 1.
Echter ik kan dat nu niet via de pix doen omdat ik moet NATTEN op de cisco 1841 router. Dit omdat ik moet natten op de cisco router. Dit ivm het vpn verkeer dat heen en weer gaat.
Mijn eerste vraag is dan ook, hoe maar ik zo'n zelfde NAT regel om vanuit de cisco 1841 router 1 op 1 een overgebleven ip-adres naar een server achter de pix te natten?
Ik heb het volgende geprobeerd maar dit werkte niet:
ip nat pool testpoolnat2 82.16.0.2 82.16.0.5 netmask 255.255.255.248
ip nat inside source list 2 pool testpoolnat2 overload
ip nat pool testpoolnat 212.61.0.2 212.61.0.5 netmask 255.255.255.248
ip nat inside source list 1 pool testpoolnat overload
ip nat inside source static 10.31.10.15 212.61.0.3
!
access-list 1 permit 10.31.10.0 0.0.0.255
access-list 1 permit 172.16.0.0 0.255.255.255
access-list 2 permit 10.31.10.0 0.0.0.255
access-list 2 permit 172.16.0.0 0.255.255.255
Met deze nat-configuratie op de een of andere manier kan dan alleen nog maar de server met ip-adres 10.31.10.15 op het internet, en alle andere werkstations hebben geen verbinding meer. Hoe maar ik dus een statische mappen 1op1 aan vanuit de cisco router naar een server achter de pix zonder dat daarbij de overige clients achter de pix benadeeld worden?
Als tijdelijk oplossing had ik bedacht om maar even met portforwards te werken. Want als ik het voglende doe dan werkt het wel goed:
ip nat inside source static tcp 10.31.10.15 25 212.61.0.2 25 extendable
Maar ja dan kan ik dus niet alle ip-adressen uit mijn publieke subnets benutten wat ik dus wel graag wil.
Tevens heb ik nog een ander probleem als ik met de portforwards werkt, namelijk het volgende:
Als ik de 2 vpn tunnels wil opbouwen dan krijg ik de melding dat ik in plaats van met static nat rules met routemap rules moet werken of iets. Als ik dan dat doe op de 1841 zodat ik die vpn tunnels kan aanmaken dan kunnen weer mijn clients het internet niet op.
Ik ben dus een beetje de kluts kwijt, en ik hoop dat iemand mij een beetje op weg kan helpen met de juiste configuratie. Ik heb geen goed voorbeeld kunnen vinden op de cisco site of op google of whatever met een vergelijkbare configuratie. Waarin dus op de cisco 1841 wordt genat, incl. 2 redundante vpn tunnels, met static mapping van publieke adressen naar een netwerk dat niet direct gekoppeld is aan deze router.
Ik kan helaas op dit moment niet direct bij de configuratie van de router vanuit hier. Ik kan je wel een andere testconfig laten zien zodat je een beetje het gevoel krijgt van hoe deze router er nu uitziet.
Current configuration : 4008 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname yourname
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
no ip ips deny-action ips-interface
ip domain name yourdomain.com
!
!
!
!
username cisco privilege 15 secret 5 *****************************************8
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key test123 address 10.1.0.1
crypto isakmp key test123 address 10.2.0.1
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel to10.1.0.1
set peer 10.1.0.1
set transform-set ESP-3DES-SHA
match address 100
!
crypto map SDM_CMAP_2 1 ipsec-isakmp
description Tunnel to10.2.0.1
set peer 10.2.0.1
set transform-set ESP-3DES-SHA1
match address 101
!
!
!
interface FastEthernet0/0
description $ETH-SW-LAUNCH$$INTF-INFO-FE 0$$ETH-LAN$
ip address 212.61.0.2 255.255.255.248
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map SDM_CMAP_1
!
interface FastEthernet0/1
description $ETH-WAN$
ip address 82.16.0.2 255.255.255.48
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map SDM_CMAP_2
!
interface FastEthernet0/0/0
switchport access vlan 2
!
interface FastEthernet0/0/1
shutdown
!
interface FastEthernet0/0/2
shutdown
!
interface FastEthernet0/0/3
shutdown
!
interface Vlan1
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Vlan2
ip address 172.16.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 82.16.0.1 1
ip route 0.0.0.0 0.0.0.0 212.61.0.2 2
!
ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
ip nat pool testpoolnat2 82.16.0.2 82.16.0.5 netmask 255.255.255.248
ip nat inside source list 2 pool testpoolnat2 overload
ip nat pool testpoolnat 212.61.0.2 212.61.0.5 netmask 255.255.255.248
ip nat inside source list 1 pool testpoolnat overload
ip nat inside source static 10.31.10.15 212.61.0.3
!
access-list 1 permit 10.31.10.0 0.0.0.255
access-list 1 permit 172.16.0.0 0.255.255.255
access-list 2 permit 10.31.10.0 0.0.0.255
access-list 2 permit 172.16.0.0 0.255.255.255
access-list 100 remark SDM_ACL Category=4
access-list 100 remark IPSec Rule
access-list 100 permit ip 10.31.10.0 0.0.0.255 10.31.11.0 0.0.0.255
access-list 101 remark SDM_ACL Category=4
access-list 101 remark IPSec Rule
access-list 101 permit ip 10.31.10.0 0.0.0.255 10.31.11.0 0.0.0.255
!
!
control-plane
!
line con 0
login local
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet
line vty 5 15
privilege level 15
login local
transport input telnet
!
end
yourname#
Ik zit met een behoorlijk probleem. Ik heb al een groot aantal uren aan deze config besteed, maar er zijn toch een aantal dingen die ik nog niet goed snap.
Wat wil ik? Een kleine illustratie hieronder om mijn wensen te verduidelijen.
lan netwerk Amsterdam: 10.31.10.0/24
*|*
*|*
Pix Firewall; inside: 10.31.10.1 outside, 172.16.0.2
*|*
*|*
Cisco 1841 router, intern: 172.16.0.1, outside: 82.16.0.2 and 212.61.0.2
*|*
*|*
2x cisco dsl modems, 82.16.0.1 en 212.61.0.1
*|*
*|*
HET INTERNET
*|*
*|*
2x cisco dsl modems, 82.16.1.1 en 212.61.1.1
*|*
*|*
Cisco 1841 router, intern: 172.16.0.1, outside: 82.16.1.2 and 212.61.1.2
*|*
*|*
Pix Firewall; inside: 10.31.11.1 outside, 172.16.0.2
*|*
*|*
lan netwerk Rotterdam: 10.31.11.0/24
Zoals je ziet zijn er dus 2 locaties, Rotterdam en Amsterdam, die beide middels 2 verbindingen verbonden zijn met het internet. Dat werkt. Als de ene verbinding uitvalt neemt de andere het netjes over.
Tussen Rotterdam en Amsterdam moeten ook 2 vpn tunnels opgezet worden die het van elkaar kunnen overnemen als er 1 van de verbindingen uitvalt. Dit geeft wat problemen. Tevens heb ik problemen met de statische nat configuratie.
Wat ik wil doen is vanaf de Cisco 1841 router statisch een aantal publieke ip-adressen mappen naar de servers achter de pix firewall.
Op de pix firewall zelf kan dit heel simpel met bijvoorbeeld het volgende commando:
static (inside,outside) 212.61.0.3 10.31.1.15 netmask 255.255.255.255 0 0
Hiermee zorgt je er dus voor dat dat ip-adres op een pix hard genat wordt aan de server die erachter staat, 1 op 1.
Echter ik kan dat nu niet via de pix doen omdat ik moet NATTEN op de cisco 1841 router. Dit omdat ik moet natten op de cisco router. Dit ivm het vpn verkeer dat heen en weer gaat.
Mijn eerste vraag is dan ook, hoe maar ik zo'n zelfde NAT regel om vanuit de cisco 1841 router 1 op 1 een overgebleven ip-adres naar een server achter de pix te natten?
Ik heb het volgende geprobeerd maar dit werkte niet:
ip nat pool testpoolnat2 82.16.0.2 82.16.0.5 netmask 255.255.255.248
ip nat inside source list 2 pool testpoolnat2 overload
ip nat pool testpoolnat 212.61.0.2 212.61.0.5 netmask 255.255.255.248
ip nat inside source list 1 pool testpoolnat overload
ip nat inside source static 10.31.10.15 212.61.0.3
!
access-list 1 permit 10.31.10.0 0.0.0.255
access-list 1 permit 172.16.0.0 0.255.255.255
access-list 2 permit 10.31.10.0 0.0.0.255
access-list 2 permit 172.16.0.0 0.255.255.255
Met deze nat-configuratie op de een of andere manier kan dan alleen nog maar de server met ip-adres 10.31.10.15 op het internet, en alle andere werkstations hebben geen verbinding meer. Hoe maar ik dus een statische mappen 1op1 aan vanuit de cisco router naar een server achter de pix zonder dat daarbij de overige clients achter de pix benadeeld worden?
Als tijdelijk oplossing had ik bedacht om maar even met portforwards te werken. Want als ik het voglende doe dan werkt het wel goed:
ip nat inside source static tcp 10.31.10.15 25 212.61.0.2 25 extendable
Maar ja dan kan ik dus niet alle ip-adressen uit mijn publieke subnets benutten wat ik dus wel graag wil.
Tevens heb ik nog een ander probleem als ik met de portforwards werkt, namelijk het volgende:
Als ik de 2 vpn tunnels wil opbouwen dan krijg ik de melding dat ik in plaats van met static nat rules met routemap rules moet werken of iets. Als ik dan dat doe op de 1841 zodat ik die vpn tunnels kan aanmaken dan kunnen weer mijn clients het internet niet op.
Ik ben dus een beetje de kluts kwijt, en ik hoop dat iemand mij een beetje op weg kan helpen met de juiste configuratie. Ik heb geen goed voorbeeld kunnen vinden op de cisco site of op google of whatever met een vergelijkbare configuratie. Waarin dus op de cisco 1841 wordt genat, incl. 2 redundante vpn tunnels, met static mapping van publieke adressen naar een netwerk dat niet direct gekoppeld is aan deze router.
Ik kan helaas op dit moment niet direct bij de configuratie van de router vanuit hier. Ik kan je wel een andere testconfig laten zien zodat je een beetje het gevoel krijgt van hoe deze router er nu uitziet.
Current configuration : 4008 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname yourname
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
no ip ips deny-action ips-interface
ip domain name yourdomain.com
!
!
!
!
username cisco privilege 15 secret 5 *****************************************8
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key test123 address 10.1.0.1
crypto isakmp key test123 address 10.2.0.1
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel to10.1.0.1
set peer 10.1.0.1
set transform-set ESP-3DES-SHA
match address 100
!
crypto map SDM_CMAP_2 1 ipsec-isakmp
description Tunnel to10.2.0.1
set peer 10.2.0.1
set transform-set ESP-3DES-SHA1
match address 101
!
!
!
interface FastEthernet0/0
description $ETH-SW-LAUNCH$$INTF-INFO-FE 0$$ETH-LAN$
ip address 212.61.0.2 255.255.255.248
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map SDM_CMAP_1
!
interface FastEthernet0/1
description $ETH-WAN$
ip address 82.16.0.2 255.255.255.48
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map SDM_CMAP_2
!
interface FastEthernet0/0/0
switchport access vlan 2
!
interface FastEthernet0/0/1
shutdown
!
interface FastEthernet0/0/2
shutdown
!
interface FastEthernet0/0/3
shutdown
!
interface Vlan1
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Vlan2
ip address 172.16.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 82.16.0.1 1
ip route 0.0.0.0 0.0.0.0 212.61.0.2 2
!
ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
ip nat pool testpoolnat2 82.16.0.2 82.16.0.5 netmask 255.255.255.248
ip nat inside source list 2 pool testpoolnat2 overload
ip nat pool testpoolnat 212.61.0.2 212.61.0.5 netmask 255.255.255.248
ip nat inside source list 1 pool testpoolnat overload
ip nat inside source static 10.31.10.15 212.61.0.3
!
access-list 1 permit 10.31.10.0 0.0.0.255
access-list 1 permit 172.16.0.0 0.255.255.255
access-list 2 permit 10.31.10.0 0.0.0.255
access-list 2 permit 172.16.0.0 0.255.255.255
access-list 100 remark SDM_ACL Category=4
access-list 100 remark IPSec Rule
access-list 100 permit ip 10.31.10.0 0.0.0.255 10.31.11.0 0.0.0.255
access-list 101 remark SDM_ACL Category=4
access-list 101 remark IPSec Rule
access-list 101 permit ip 10.31.10.0 0.0.0.255 10.31.11.0 0.0.0.255
!
!
control-plane
!
line con 0
login local
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet
line vty 5 15
privilege level 15
login local
transport input telnet
!
end
yourname#
