01.08.2025

RTR-L

Общие настройки

en

conf t

hostname RTR-L

ip domain name int.demo.wsr — настройка доменного имени

ip name-server 192.168.100.200 — настройка IP DNS (SRV)

 

Настройка интерфейса, смотрящего на ISP

int gi 1

ip address 4.4.4.100 255.255.255.0

ip nat outside

ip access-group Lnew in

no sh

 

Настройка интерфейса, смотрящего внутрь LEFT

int gi 2

ip address 192.168.100.254 255.255.255.0

ip nat inside

no sh

 

Настройка статического маршрута по-умолчанию через ISP

ip route 0.0.0.0 0.0.0.0 4.4.4.1

 

Создание списка контроля для NAT

access-list 1 permit 192.168.100.0 0.0.0.255

ip nat inside source list 1 interface Gi1 overload

 

Создание списка контроля доступа для безопасности

ip access-list extended Lnew — Lnew название может быть любым

permit tcp any any established

permit udp host 4.4.4.1 eq 53 any — разрешить проход трафика DNS от коревого центра для форвардинга с SRV

permit udp host 4.4.4.100 eq 53 any — разрешить проход трафика DNS

permit udp host 5.5.5.1 eq 123 any — разрешить проход трафика NTP

permit tcp any host 4.4.4.100 eq 80 — разрешить проход трафика HTTP

permit tcp any host 4.4.4.100 eq 443 — разрешить проход трафика HTTPS

permit tcp any host 4.4.4.100 eq 2222 — разрешить проход трафика 2222 (подменный порт для SSH)

permit udp host 5.5.5.100 host 4.4.4.100 eq 500

permit esp any any

permit gre any any — если делаем туннель незащищенный

permit icmp any any — разрешить проход ping

 

Создание интерфейса туннеля

interface Tun1

ip address 172.16.1.1 255.255.255.0 — сами назначаем адрес из сети, непересекающейся с существующей

tunnel source 4.4.4.100 — свой адрес

tunnel destination 5.5.5.100 — адрес другой стороны туннеля

 

Настраиваем маршрутизацию или eigrp или ospf на выбор

EIGRP OSPF Комментарий
router eigrp 6500

network 192.168.100.0 0.0.0.255

network 172.16.1.0 0.0.0.255

 router ospf 1

network 192.168.100.0 0.0.0.255 area 0

network 172.16.1.0 0.0.0.255 area 0

  

адрес сети LEFT

адрес сети туннеля

 

Настраиваем ключи для защиты туннеля

crypto isakmp policy 1

encr aes

authentication pre-share

hash sha256

group 14

 

crypto isakmp key TheSecretMustBeAtLeast13bytes address 5.5.5.100

crypto isakmp nat keepalive 5

 

crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac

mode tunnel

 

crypto ipsec profile VTI — создаем профиль IPSec

set transform-set TSET

 

Настраиваем защищенный туннель

interface Tun1

tunnel mode gre ip — Задаем режим туннелирования. Можно не задавать!!!

tunnel mode ipsec ipv4 — Меняем режим туннелирования на IPSec

tunnel protection ipsec profile VTI — подключаем профиль IPSec к туннельному интерфейсу

 

Создание правил NAT

ip nat inside source static tcp 192.168.100.100 22 4.4.4.100 2222 — проброс портов для SSH на WEB-L

ip nat inside source static tcp 192.168.100.200 53 4.4.4.100 53 — проброс портов для DNS на SRV

ip nat inside source static udp 192.168.100.200 53 4.4.4.100 53 — проброс портов для DNS на SRV

no ip http secure-server — отключить встроенный сервер HTTP

no ip http server — отключить встроенный сервер HTTPS

ip nat inside source static tcp 192.168.100.100 80 4.4.4.100 80 — проброс портов для HTTP на WEB-L

ip nat inside source static tcp 192.168.100.100 443 4.4.4.100 443 — проброс портов для HTTPS на WEB-L

 

Настройка сервера времени (NTP)

ntp server ntp.int.demo.wsr

 

wr — сохранение конфигурации