URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 10206
[ Назад ]

Исходное сообщение
"Возможен ли VPN тунель с использованием одного IP адреса"
Отправлено deMan , 30-Мрт-06 13:55

Добрый день.
Нужно организовать связь с отделениями провайдер выделяет один реальный адрес для главного офиса кампании и по одному для каждого регионального подразделения, нужно построить тунели (VPN) между главным офисом и подразделениями. Тунель строитса на Cisco 2600 в главном офисе и D-Linke в подразделениях. Пробую смоделировать ситуацию с использованиям вместо D-Link FreeBSD. Но основная проблема в том что тунели строятса point-to-point, а у меня в распоряжении один IP, например для двух офисов нужно организовать два саб-интерфейса поципить на них crypto map... Использовать интерфейс Tunnel тоже не выход crypto map в этом случае нужно поцетить на Tunnel и на то на чём он организован.
Можно ли на Cisco 2600 организовать тунель point-to-multipoint?
В crypto map можно указывать несколько set peer(правда это в резервных целях), но может ли это стать выходом из ситуации?
Благодарен.

Содержание

Возможен ли VPN тунель с использованием одного IP адреса,Alien, 14:03 , 30-Мрт-06
- Возможен ли VPN тунель с использованием одного IP адреса,Alien, 14:04 , 30-Мрт-06
  - Возможен ли VPN тунель с использованием одного IP адреса,deMan, 15:05 , 30-Мрт-06
    - Возможен ли VPN тунель с использованием одного IP адреса,Ilia Kuliev, 17:10 , 31-Мрт-06
      - Возможен ли VPN тунель с использованием одного IP адреса,AiratX, 10:57 , 03-Апр-06
        
        Возможен ли VPN тунель с использованием одного IP адреса,deMan, 13:01 , 03-Апр-06
        
        Возможен ли VPN тунель с использованием одного IP адреса,Jony, 13:16 , 10-Апр-06
        
        Возможен ли VPN тунель с использованием одного IP адреса,fantom, 13:24 , 10-Апр-06
        
        Возможен ли VPN тунель с использованием одного IP адреса,Jony, 13:32 , 10-Апр-06
        
        Возможен ли VPN тунель с использованием одного IP адреса,Jony, 17:06 , 11-Апр-06
        
        Возможен ли VPN тунель с использованием одного IP адреса,deMan, 19:08 , 11-Апр-06
        
        Возможен ли VPN тунель с использованием одного IP адреса,Jony, 09:25 , 12-Апр-06

Сообщения в этом обсуждении

"Возможен ли VPN тунель с использованием одного IP адреса"
Отправлено Alien , 30-Мрт-06 14:03

надо делать так:
crypto map <name> 10 ipsec-isakmp
...
crypto map <name> 20 ipsec-isakmp
...
crypto map <name> 10 ipsec-isakmp
...
int f0/0
crypto map <name>
А вообще у циски есть DMVPN для таких случаев - оч хор штука
Выбросте длинк и поставьте 805-831

"Возможен ли VPN тунель с использованием одного IP адреса"
Отправлено Alien , 30-Мрт-06 14:04

очепятка
...
crypto map <name> 30 ipsec-isakmp
...
и т.д.

"Возможен ли VPN тунель с использованием одного IP адреса"
Отправлено deMan , 30-Мрт-06 15:05

>crypto map <name> 30 ipsec-isakmp
>...
>и т.д.
Иными словами Вы утверждаете что на один интервейс, саб-интерфейс можно поцепить несколько crypto map-ов? Я Вас правильно понял?
И будет ли DMVPN нормально работать с уже существующими тунелями?

"Возможен ли VPN тунель с использованием одного IP адреса"
Отправлено Ilia Kuliev , 31-Мрт-06 17:10

>>crypto map <name> 30 ipsec-isakmp
>>...
>>и т.д.
>
>Иными словами Вы утверждаете что на один интервейс, саб-интерфейс можно поцепить несколько
>crypto map-ов? Я Вас правильно понял?
Не совсем. Криптомап будет один. А секвенций в нем может быть несколько.
rtr(config)#crypto map vpn ?
<1-65535> Sequence to insert into crypto map entry

"Возможен ли VPN тунель с использованием одного IP адреса"
Отправлено AiratX , 03-Апр-06 10:57

http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...

"Возможен ли VPN тунель с использованием одного IP адреса"
Отправлено deMan , 03-Апр-06 13:01

>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
Cпасибо.
Меня немного насторожила такая схема:
crypto map vpn 10 ipsec-isakmp
...
crypto map vpn 20 ipsec-isakmp
...
crypto map vpn 30 ipsec-isakmp
...
Правда у меня в центре Cisco а конечными точками будут ADSL D-Link G804V, как тестовый вариант FreeBSD.
Поэкспериментируем.

"Возможен ли VPN тунель с использованием одного IP адреса"
Отправлено Jony , 10-Апр-06 13:16

Доброго дня!
у меня сходная проблемма....не могли бы поделиться конфигом на 2600 киску?

"Возможен ли VPN тунель с использованием одного IP адреса"
Отправлено fantom , 10-Апр-06 13:24

>Доброго дня!
>у меня сходная проблемма....не могли бы поделиться конфигом на 2600 киску?

>username <username> password <password>
>>>aaa new-model
>>>aaa authentication login default local
>>>
>>>
>>>vpdn enable
>>>vpdn-group proba
>>>! Default PPTP VPDN group
>>> accept-dialin
>>> protocol pptp
>>> virtual-template 1
>>>
>>>interface Virtual-Template1
>>> ip unnumbered <Iface For IP>
>>> peer default ip address pool VPN_POOL
>>> no keepalive
>>> ppp authentication pap
>>>
>>>ip local pool VPN_POOL <диапазон IP-ов>
Если IOS поддерживает vpdn и pptp

"Возможен ли VPN тунель с использованием одного IP адреса"
Отправлено Jony , 10-Апр-06 13:32

>>Доброго дня!
>>у меня сходная проблемма....не могли бы поделиться конфигом на 2600 киску?
>
>
>>username <username> password <password>
>>>>aaa new-model
>>>>aaa authentication login default local
>>>>
>>>>
>>>>vpdn enable
>>>>vpdn-group proba
>>>>! Default PPTP VPDN group
>>>> accept-dialin
>>>> protocol pptp
>>>> virtual-template 1
>>>>
>>>>interface Virtual-Template1
>>>> ip unnumbered <Iface For IP>
>>>> peer default ip address pool VPN_POOL
>>>> no keepalive
>>>> ppp authentication pap
>>>>
>>>>ip local pool VPN_POOL <диапазон IP-ов>
>
>Если IOS поддерживает vpdn и pptp
у меня 12.3(14)Т4

"Возможен ли VPN тунель с использованием одного IP адреса"
Отправлено Jony , 11-Апр-06 17:06

>>>Доброго дня!
>>>у меня сходная проблемма....не могли бы поделиться конфигом на 2600 киску?
>>
>>
>>>username <username> password <password>
>>>>>aaa new-model
>>>>>aaa authentication login default local
>>>>>
>>>>>
>>>>>vpdn enable
>>>>>vpdn-group proba
>>>>>! Default PPTP VPDN group
>>>>> accept-dialin
>>>>> protocol pptp
>>>>> virtual-template 1
>>>>>
>>>>>interface Virtual-Template1
>>>>> ip unnumbered <Iface For IP>
>>>>> peer default ip address pool VPN_POOL
>>>>> no keepalive
>>>>> ppp authentication pap
>>>>>
>>>>>ip local pool VPN_POOL <диапазон IP-ов>
>>
>>Если IOS поддерживает vpdn и pptp
>
>у меня 12.3(14)Т4
не работает :(
проблема такая: есть 2 офиса которые надо соединить тунелем адреса в них 10,10,10,х и 10,10,20,х соответственно и по одному внешнему адресу от провайдера в одной подсети....
на одной стороне киска 2621хм на другой д-линк.

"Возможен ли VPN тунель с использованием одного IP адреса"
Отправлено deMan , 11-Апр-06 19:08

>>>>Доброго дня!
>не работает :(
>проблема такая: есть 2 офиса которые надо соединить тунелем адреса в них
>10,10,10,х и 10,10,20,х соответственно и по одному внешнему адресу от провайдера
>в одной подсети....
>на одной стороне киска 2621хм на другой д-линк.
D-Link какой?
Я с покупкой D-Link, после того как столкнулся с такой проблемой не спешу, тестирую на FreeBSD, хотя есть ли єто полноценной заменой вопрос немного другой.
Что касаетса результатов сейчав вынужден взять паузу, есть работа важней, но по схеме которую мне здесь порекомендовали,результаты на первой фазе немного лутше.

"Возможен ли VPN тунель с использованием одного IP адреса"
Отправлено Jony , 12-Апр-06 09:25

>>>>>Доброго дня!
>
>>не работает :(
>>проблема такая: есть 2 офиса которые надо соединить тунелем адреса в них
>>10,10,10,х и 10,10,20,х соответственно и по одному внешнему адресу от провайдера
>>в одной подсети....
>>на одной стороне киска 2621хм на другой д-линк.
>
> D-Link какой?
> Я с покупкой D-Link, после того как столкнулся с такой проблемой
>не спешу, тестирую на FreeBSD, хотя есть ли єто полноценной заменой
>вопрос немного другой.
> Что касаетса результатов сейчав вынужден взять паузу, есть работа важней, но
>по схеме которую мне здесь порекомендовали,результаты на первой фазе немного лутше.
>
к д-линкам нареканий никаких нет, но хотелось бы подключить циску....
д-линк DI-804HV