Приветствую. Сказали сделать сеть, которая будет достаточна сложная. Надо настроить в общем так:<Server IpSec> ----- <Server IpSec Branch> --- <Server IpSec Branch2> ---- <Server IpSec Branch3>
Через <Server IpSec> цепляются все удаленные офисы, в том числе и Server IpSec Branch (на нем висит 192.168.6.0/24, на Server IpSec 1-ая подсеть, на Server IpSec Branch2 6.28) через Server IpSec Branch2 подсоединяется 7-ая подсеть. На сервере Branch3 есть как 7-ая, так и 9-ая подсети.
И теперь надо сделать так, что бы 9-ую сеть видели в 1-ой, ну и в остальных.
7-ю сеть я вижу без проблем. Но не могу пробросить 9-ю.
Как это можно сделать? :)
>[оверквотинг удален]
> <Server IpSec> ----- <Server IpSec Branch> --- <Server IpSec Branch2> ---- <Server
> IpSec Branch3>
> Через <Server IpSec> цепляются все удаленные офисы, в том числе и Server
> IpSec Branch (на нем висит 192.168.6.0/24, на Server IpSec 1-ая подсеть,
> на Server IpSec Branch2 6.28) через Server IpSec Branch2 подсоединяется 7-ая
> подсеть. На сервере Branch3 есть как 7-ая, так и 9-ая подсети.
> И теперь надо сделать так, что бы 9-ую сеть видели в 1-ой,
> ну и в остальных.
> 7-ю сеть я вижу без проблем. Но не могу пробросить 9-ю.
> Как это можно сделать? :)слишком мало данных - а в часности в каком режиме работает ipsec - тунель/транспорт?
>[оверквотинг удален]
>> Через <Server IpSec> цепляются все удаленные офисы, в том числе и Server
>> IpSec Branch (на нем висит 192.168.6.0/24, на Server IpSec 1-ая подсеть,
>> на Server IpSec Branch2 6.28) через Server IpSec Branch2 подсоединяется 7-ая
>> подсеть. На сервере Branch3 есть как 7-ая, так и 9-ая подсети.
>> И теперь надо сделать так, что бы 9-ую сеть видели в 1-ой,
>> ну и в остальных.
>> 7-ю сеть я вижу без проблем. Но не могу пробросить 9-ю.
>> Как это можно сделать? :)
> слишком мало данных - а в часности в каком режиме работает ipsec
> - тунель/транспорт?в режиме туннеля. Но дело думаю именно в маршрутах, потому что вижу все до 7-ой сети на Branch3, а дальше тишина.
>[оверквотинг удален]
>>> на Server IpSec Branch2 6.28) через Server IpSec Branch2 подсоединяется 7-ая
>>> подсеть. На сервере Branch3 есть как 7-ая, так и 9-ая подсети.
>>> И теперь надо сделать так, что бы 9-ую сеть видели в 1-ой,
>>> ну и в остальных.
>>> 7-ю сеть я вижу без проблем. Но не могу пробросить 9-ю.
>>> Как это можно сделать? :)
>> слишком мало данных - а в часности в каком режиме работает ipsec
>> - тунель/транспорт?
> в режиме туннеля. Но дело думаю именно в маршрутах, потому что вижу
> все до 7-ой сети на Branch3, а дальше тишина.а вы не путаете ничего - в тунельном режиме ipsec не может через себя пропустить ничего кроме двух крайних подсетей тунеля - и для того чтобы через него пустить другие подсети приходиться юзать нат - может быть у вас все таки транспорт а поверх уже iptoip/gre тунель?
>[оверквотинг удален]
>>>> Как это можно сделать? :)
>>> слишком мало данных - а в часности в каком режиме работает ipsec
>>> - тунель/транспорт?
>> в режиме туннеля. Но дело думаю именно в маршрутах, потому что вижу
>> все до 7-ой сети на Branch3, а дальше тишина.
> а вы не путаете ничего - в тунельном режиме ipsec не может
> через себя пропустить ничего кроме двух крайних подсетей тунеля - и
> для того чтобы через него пустить другие подсети приходиться юзать нат
> - может быть у вас все таки транспорт а поверх уже
> iptoip/gre тунель?gif туннели, значит транспорт. Что то я до сих пор в этом плохо разбираюсь.
>[оверквотинг удален]
>>>> - тунель/транспорт?
>>> в режиме туннеля. Но дело думаю именно в маршрутах, потому что вижу
>>> все до 7-ой сети на Branch3, а дальше тишина.
>> а вы не путаете ничего - в тунельном режиме ipsec не может
>> через себя пропустить ничего кроме двух крайних подсетей тунеля - и
>> для того чтобы через него пустить другие подсети приходиться юзать нат
>> - может быть у вас все таки транспорт а поверх уже
>> iptoip/gre тунель?
> gif туннели, значит транспорт. Что то я до сих пор в этом
> плохо разбираюсь.Думаю вам стоит "упростить" задачу. Для начала нарисуйте схему сети (временно откиньте ipsec), решите чисто маршрутизацию. Тут должно быть просто как трусы. Когда будет решён вопрос с маршрутизацией в сети, думайте как это дело приложить к ipsec.
P.S. возможно не ipsec, нечто иное. возможно перестроить сеть, чтоб была возможность применить не ipsec, а что-то более удобное в этой задаче и более понятное и надёжное в решении и сопровождении именно вами. Всё же чем больше деталей в механизме - тем менее надёжен механизм :)
>[оверквотинг удален]
>> плохо разбираюсь.
> Думаю вам стоит "упростить" задачу. Для начала нарисуйте схему сети (временно откиньте
> ipsec), решите чисто маршрутизацию. Тут должно быть просто как трусы. Когда
> будет решён вопрос с маршрутизацией в сети, думайте как это дело
> приложить к ipsec.
> P.S. возможно не ipsec, нечто иное. возможно перестроить сеть, чтоб была возможность
> применить не ipsec, а что-то более удобное в этой задаче и
> более понятное и надёжное в решении и сопровождении именно вами. Всё
> же чем больше деталей в механизме - тем менее надёжен механизм
> :)Пытаюсь сделать так:
на Branch3 прописываю
route add route add 192.168.6.0/24 192.168.7.147
а на Branch2
route add 192.168.9.0/24 192.168.7.162
но при пингах пишет:
ping: sendto: Invalid argument
с обоих сторон.
По идеи все вроде правильно, но не работает :(
>[оверквотинг удален]
>> :)
> Пытаюсь сделать так:
> на Branch3 прописываю
> route add route add 192.168.6.0/24 192.168.7.147
> а на Branch2
> route add 192.168.9.0/24 192.168.7.162
> но при пингах пишет:
> ping: sendto: Invalid argument
> с обоих сторон.
> По идеи все вроде правильно, но не работает :(man tcpdump
Встаем на все интерфейсы и запущаем ping. Далее смотрим куда чего течет.
>[оверквотинг удален]
>> на Branch3 прописываю
>> route add route add 192.168.6.0/24 192.168.7.147
>> а на Branch2
>> route add 192.168.9.0/24 192.168.7.162
>> но при пингах пишет:
>> ping: sendto: Invalid argument
>> с обоих сторон.
>> По идеи все вроде правильно, но не работает :(
> man tcpdump
> Встаем на все интерфейсы и запущаем ping. Далее смотрим куда чего течет.и что он увидит? шифрованный трафик?
>[оверквотинг удален]
>> на Branch3 прописываю
>> route add route add 192.168.6.0/24 192.168.7.147
>> а на Branch2
>> route add 192.168.9.0/24 192.168.7.162
>> но при пингах пишет:
>> ping: sendto: Invalid argument
>> с обоих сторон.
>> По идеи все вроде правильно, но не работает :(
> man tcpdump
> Встаем на все интерфейсы и запущаем ping. Далее смотрим куда чего течет.глаза человек потеряет на это смотреть.... мозг надо включать!
сказал же уже: нарисуйте схему, настройки роутеров (куда смотрит дефолт, какие маршруты прописаны и т.п.) и подумать чего не хватает.
Если с этим туго - читать букварь про адресацию в IP-сетях и про маршрутизацию в IP-сетях.
Без этого смотри, не смотри - толку не будет.