Zum Inhalt wechseln


Foto

Cisco 2921 - GRE Tunnel - NAT


  • Bitte melde dich an um zu Antworten
Eine Antwort in diesem Thema

#1 RolfW

RolfW

    Expert Member

  • 1.151 Beiträge

 

Geschrieben 23. Oktober 2015 - 08:51

Hallo liebes Forum,

 

wir haben hier ein Cisco 2921 Router und bisher Site-to-Site oder EasyVPN Tunnel.

Nun müssen wir aber zwangsweise einen GRE Tunnel mitaufnehmen.

 

Nun habe ich folgende Frage, wie kann ich den interne Server durch diesen GRE Tunnel NATen?

Bisher sieht unser NAT (Route-Map) folgendermaßen aus:

ip nat inside source static 1.2.3.4 4.3.2.1 route-map NAME extendable

Bisherige Config:

crypto isakmp policy 45
 encr aes 128
 authentication pre-share
 group 2
!
crypto isakmp key KEYWORD address 1.2.3.4 no-xauth
crypto isakmp key KEYWORD address 1.2.3.4 no-xauth
!
crypto ipsec transform-set TRANSFORM esp-aes esp-sha-hmac
 mode tunnel
!
 crypto ipsec profile PROFILE
  set transform-set TRANSFORM
!
interface tunnel 2
 description IPSEC Tunnel 1
 ip address 1.2.3.4 1.2.3.4
 tunnel source 1.2.3.4
 tunnel mode ipsec ipv4
 tunnel destination 1.2.3.4
 tunnel protection ipsec profile PROFILE
!
interface tunnel 2
 description IPSEC Tunnel 2
 ip address 1.2.3.4 1.2.3.4
 tunnel source 1.2.3.4
 tunnel mode ipsec ipv4
 tunnel destination 1.2.3.4
 tunnel protection ipsec profile PROFILE
!

Habt Ihr mir einen guten Tipp, oder sogar eine Beispiel Config?

Vielen Dank.

Viele Grüße


- Carpe Diem -

"Ist mir jetzt egal, ich lass das jetzt so."

#2 RolfW

RolfW

    Expert Member

  • 1.151 Beiträge

 

Geschrieben 09. Dezember 2015 - 09:25   Lösung

Hallo zusammen,

 

für die, die es interessiert anbei die funktionierende Konfiguration:

Lösung war im Interface Tunnel xxxx die Zeile: "ip nat outside" :-)

!
crypto isakmp policy 45
 encr aes
 authentication pre-share
 group 2
!
crypto isakmp key 1234567890 address 10.10.10.1  no-xauth
crypto isakmp key 1234567890 address 10.10.10.2 no-xauth
!
crypto ipsec transform-set TRANSFORM esp-aes esp-sha-hmac
 mode tunnel
!
crypto ipsec profile PROFILE
 set transform-set TRANSFORM
!
interface Tunnel1030
 description IPSEC Tunnel zum VPN GATEWAY 1
 ip address 172.16.129.210 255.255.255.252
 ip nat outside
 ip virtual-reassembly in
 tunnel source 194.8.18.5
 tunnel mode ipsec ipv4
 tunnel destination 10.10.10.1
 tunnel protection ipsec profile PROFILE
!
interface Tunnel1031
 description IPSEC Tunnel zum VPN GATEWAY 2
 ip address 172.16.129.214 255.255.255.252
 ip nat outside
 ip virtual-reassembly in
 tunnel source 194.8.18.5
 tunnel mode ipsec ipv4
 tunnel destination 10.10.10.2
 tunnel protection ipsec profile PROFILE
!

ip nat inside source static 192.168.1.1 172.16.129.222 route-map NAT extendable

!
ip route 10.13.28.0 255.255.255.0 172.16.129.209 name Transfer-Netz
ip route 10.13.28.0 255.255.255.0 172.16.129.213 140 name Transfer-Netz
!
route-map NAT permit 10
 match ip address 172
!
access-list 172 remark NAT
access-list 172 permit ip host 192.168.1.1 host 10.13.28.111
!


Bearbeitet von RolfW, 09. Dezember 2015 - 09:26.

- Carpe Diem -

"Ist mir jetzt egal, ich lass das jetzt so."