Lexa Software: Inet-Admins@info.east.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: Inet-Admins

Inet-Admins mailing list archive (inet-admins@info.east.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [inet-admins] IPSec GRE Tunnel via NAT

To: inet-admins@info.east.ru
Subject: Re: [inet-admins] IPSec GRE Tunnel via NAT
From: "Michael V. Smirnoff" <aidan@miee.ru>
Date: Tue, 2 Jul 2002 22:10:02 +0400 (MSD)
In-reply-to: <3D19DEE9.C175B195@nwgsm.ru>

On Wed, 26 Jun 2002, Modest M. Sokolov wrote:

Кусок про crypto и всем, что с ним связано посмотреть бы. 

> Добрый день,
> 
> Вот такая есть конфигурация:
> 
> Cisco26XX---PIX----INTERNET----AS3500
>      
> Надо прокинуть IPSec c GRE Tunnel между Cisco26XX и AS3500.
> 
> Ситуевина ослажняется тем, что на PIX осуществляется NAT и 
> адрес на "внешнем" интерфейсе Cisco26XX NAT-ится на PIX-e.
> 
> Судя по документации - при использовании статического NAT IPsec
> должен жить. Он и живет, но без GRE Тунеля (то есть когда шифруем трафик
> напрямую, не засовывая его в туннель).
> 
> Всяческие извраты с NAT на AS3500 ( попытки пронатить  Inside global
> Cisco26XX
> в Outside global, дабы crypto map, access-list на crypto-map-e и 
> Tunnel distinational зеркально совпадали на обеих роутерах )
>  не привели к каким-то изменениям в поведении системы. 
> 
> В логах на AS3500 - ничего существенного, на Cisco26XX есть интересное
> сообщение
> типа: 
> 
> IPSEC(validate_proposal): invalid local address X.X.X.X
> 
> где X.X.X.X - адрес на внешнем интерфейсе Cisco26XX.
> 
> Доку по траблам на www.cisco.com внимательно изучил.
> Но crypto map map-name local-address interface-id командочка подана
> правильно
> и crypto map повешен на нужные интерфейсы.
> 
> 
> Господа,
> Может у кого есть какие-нибудь мысли что с этим еще можно сделать?
> 
> С уважением
> Modest Sokolov
>           
>            
> --
> Modest M. Sokolov       MMS101-RIPE
> mailto:modest@nwgsm.ru  +7 812 9673532
> 
> 
> 
> =============================================================================
> "inet-admins" Internet access mailing list. Maintained by East Connection ISP.
> Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
> Archive is accessible on http://info.east.ru/rus/inetadm.html
> 

__________________________________________
Sincerely Yours,      mailto:aidan@miee.ru
Michael V. Smirnoff   tel. +7-095-532-0581

CCNA-R/S,CCDA
MIEEnet Network Operations Center


============================================================================"inet-admins"
 Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html

Follow-Ups:
- Re: [inet-admins] IPSec GRE Tunnel via NAT
  - From: Modest M. Sokolov

References:
- [inet-admins] IPSec GRE Tunnel via NAT
  - From: Modest M. Sokolov

Prev by Date: Re: [inet-admins] Switch Gigabit Ethernet(=?koi8-r?Q?=CD=C5=C4=D8?=)
Next by Date: Re: [inet-admins] IPSec GRE Tunnel via NAT
Previous by thread: [inet-admins] IPSec GRE Tunnel via NAT
Next by thread: Re: [inet-admins] IPSec GRE Tunnel via NAT
Index(es):
- Date
- Thread