Hirdetés

Új hozzászólás Aktív témák

  • zsolti.22

    senior tag

    Próbálkozok VPN-nel ZBF-es routeren, viszont a távoli gép nem hozza be a webes felületet, amit be kellene.
    Valami biztos lemaradt...A 3 tunnel kiépül, ahogy kell, de itt abba is marad az öröm. Külön VPN zónát nem csináltam, szerintem nincs rá szükség (vagy de?).
    Ami fontos infó lehet, hogy amelyik router mögötti cuccot el kellene érni, az csak decryptálja a csomagokat, encryptálni már nem encryptál semmit, tehát visszafelé már nem küld adatokat....

    Ez a releváns konfig:

    class-map type inspect match-all OUTSIDE_TO_VOIP_EXCLUSIONS_CLASS
    match access-group name OUTSIDE_TO_VOIP_EXCLUSIONS_ACL

    class-map type inspect match-all OUTSIDE_TO_SELF_EXCLUSIONS_CLASS
    match access-group name OUTSIDE_TO_SELF_EXCLUSIONS_ACL

    policy-map type inspect OUTSIDE_TO_VOIP_EXCLUSIONS
    class type inspect OUTSIDE_TO_VOIP_EXCLUSIONS_CLASS
    pass log
    class class-default
    drop log

    policy-map type inspect OUTSIDE_TO_SELF
    class type inspect OUTSIDE_TO_SELF_EXCLUSIONS_CLASS
    pass
    class class-default
    drop log

    zone security OUTSIDE
    zone security VOIP

    zone-pair security VOIP-to-OUTSIDE source VOIP destination OUTSIDE
    service-policy type inspect VOIP_TO_OUTSIDE

    zone-pair security OUTSIDE-to-VOIP source OUTSIDE destination VOIP
    service-policy type inspect OUTSIDE_TO_VOIP_EXCLUSIONS

    zone-pair security OUTSIDE-to-SELF source OUTSIDE destination self
    service-policy type inspect OUTSIDE_TO_SELF

    crypto isakmp policy 1
    encr aes 256
    authentication pre-share
    group 5
    lifetime 1800
    crypto isakmp key cisco# address X.X.X.X
    !
    !
    crypto ipsec transform-set ESP-AES256-SHA1 esp-aes 256 esp-sha-hmac
    !
    crypto map CM 1 ipsec-isakmp
    set peer X.X.X.X
    set transform-set ESP-AES256-SHA1
    set pfs group5
    match address VPN_TRAFFIC
    !
    interface FastEthernet0
    description VOIP
    switchport access vlan 700
    no ip address
    spanning-tree portfast
    !
    interface FastEthernet4
    description INTERNET
    zone-member security OUTSIDE
    ip address dhcp
    ip nat outside
    crypto map CM
    !
    interface Vlan700
    ip address 192.168.20.1 255.255.255.252
    ip nat inside
    ip virtual-reassembly in
    zone-member security VOIP
    no autostate
    !
    ip nat inside source list NAT interface FastEthernet4 overload
    ip route 0.0.0.0 0.0.0.0 FastEthernet4 dhcp
    !
    ip access-list extended OUTSIDE_TO_SELF_EXCLUSIONS_ACL
    permit udp host X.X.X.X eq isakmp host Y.Y.Y.Y eq isakmp
    permit udp host X.X.X.X host Y.Y.Y.Y eq non500-isakmp
    permit esp any any
    !
    ip access-list extended OUTSIDE_TO_VOIP_EXCLUSIONS_ACL
    permit tcp host 192.168.50.2 host 192.168.20.2 eq www
    !
    ip access-list extended VPN_TRAFFIC
    permit tcp host 192.168.20.2 host 192.168.50.2

    ip access-list extended NAT
    deny tcp host 192.168.20.2 host 192.168.50.2
    permit ip 192.168.20.0 0.0.0.3 any

Új hozzászólás Aktív témák