Imam konekciju Cisca 2801 sa CheckPoint firewall-om gde su:
Udaljena tunnel endpoint adresa: 201.56.128.73
Moja tunnel endpoint adresa: 62.100.68.170
Moj encryption domain (adrese rutovane u taj tunel): Host 62.100.68.171
Udaljen encryption domain (to su adrese iz njegovog tunnel endpoint): 201.56.129.192/27
...
Dozvoljena konektivnost:
Source: 62.10068.171
Destination: 201.56.129.239 (translacija ka adresi 10.156.80.131)
Destinacija: ICMP Echo request, TCP 22 (ssh), TCP 9314)’’
Ja imam Cisco koji ima sledece:
...
crypto map CRYPTO 20 ipsec-isakmp
set peer 201.56.128.73
set transform-set TELCOM
set pfs group2
match address 108
...
Crypto mapa access liste ima samo jednu instrukciju i ta je:
...
access-list 108 permit ip host 62.10068.171 201.56.129.192 0.0.0.63 (crypto map acl list)
Javna adresa mog komunikacijskog servera je 62.100.68.171. Sada ovo radi ali ima jedan nedostatak,a tsaj je da mi je javna adresa na internetu.
Zbog toga dodajem u moj ruter sledecu komandu, kojom natujem, ovu javnu adresu u privatnu.
ip nat inside source static 192.168.0.24 62.100.68.171
gde je 192.168.0.24 privatna adresa mog akomunikacijskog servera. Naravno skinem i javnu adresu sa servera.
E sada moja aplikacioni server ne radi iako ima njegov sa ako unesem komandu sh crypto isakmp sa. Ali sistem ne radi kao da je u pitanju to da se ne generise
"interesting traffic". Mislim da je to usled usled toga sto sam promenio crypto mapu?
Sada pokusavam i da shvatim kako radi Nat za VPN konekciju, i da li trebam da menjam crypto map acl listu? Po meni a nije mi bas najasniji taj link kada se obavlja nat a kada se obavlja natovanje?
http://www.cisco.com/en/US/tec...ech_note09186a0080133ddd.shtml
Da li sam propustio nesto sustinski? I da li treba da menjam crypto map acl-istu?
[Ovu poruku je menjao pereubu dana 05.06.2009. u 10:11 GMT+1]
[Ovu poruku je menjao pereubu dana 05.06.2009. u 14:32 GMT+1]