Всем привет.
Копаюсь с маршрутами не могу понять где затык.
Имеем туннель между D-Link 804HV и Cisco 2901
Туннель поднят и работает норм.Загвоздка в том что хочу пустить адреса из ЛВС за D-Link в интернет через 2901
Структура такая
10.10.10.0/24-|D-Link|-192.168.1.2-|VPN туннель по провайдерскому каналу ЛВС|-18.1.1.1-|Cisco|-10.10.11.0/24Маршрутизацию между 192.168.1.2 и 18.1.1.1 обеспечивает провайдер
18.1.1.1 - белый ip с выходом в интернет
Как можно разрешить сети 10.10.10.0/24 пользоваться интернетом 2901?tracert с любой машины сети 10.10.10.0/24 к примеру на ya.ru
1 <1 ms <1 ms <1 ms 10.10.10.1
2 1 ms 1 ms 1 ms 18.1.1.1
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
>[оверквотинг удален]
> 1 <1 ms <1 ms
> <1 ms 10.10.10.1
> 2 1 ms
> 1 ms 1 ms 18.1.1.1
> 3 *
> * *
> Превышен интервал ожидания для запроса.
> 4 *
> * *
> Превышен интервал ожидания для запроса.внимательно изучить таблицы маршрутизации на обоих роутерах, либо показать их сюда
все таки нужно маршруты для ЛАНов заруливать в тунельные интерфейсы, судя по трейсу маршрут улетает на 18.1.1.1 а должен улетать в интерфейс туннеля(какие в тунеле IP?)
>[оверквотинг удален]
>> 3 *
>> * *
>> Превышен интервал ожидания для запроса.
>> 4 *
>> * *
>> Превышен интервал ожидания для запроса.
> внимательно изучить таблицы маршрутизации на обоих роутерах, либо показать их сюда
> все таки нужно маршруты для ЛАНов заруливать в тунельные интерфейсы, судя по
> трейсу маршрут улетает на 18.1.1.1 а должен улетать в интерфейс туннеля(какие
> в тунеле IP?)так это и есть IP тунеля 192.168.1.2 с одной стороны и 18.1.1.1 с другой. настраивал как на сайте d-link.
>[оверквотинг удален]
>>> Превышен интервал ожидания для запроса.
>>> 4 *
>>> * *
>>> Превышен интервал ожидания для запроса.
>> внимательно изучить таблицы маршрутизации на обоих роутерах, либо показать их сюда
>> все таки нужно маршруты для ЛАНов заруливать в тунельные интерфейсы, судя по
>> трейсу маршрут улетает на 18.1.1.1 а должен улетать в интерфейс туннеля(какие
>> в тунеле IP?)
> так это и есть IP тунеля 192.168.1.2 с одной стороны и 18.1.1.1
> с другой. настраивал как на сайте d-link.хм, я всегда думал что тунельные интерфейсы принято строить p-t-p Точка-точка
ну и соответственно ИП на обоих концах тунеля должны быть что-то типа
192.168.1.1/255.255.255.252 и 192.168.1.2/255.255.255.252 , но ни как не 18.1.1.1
давай так - о каких тунелях идет речь? GRE или тебе провайдер дает канал IP-VPN(L2-VPN, L3-VPN)
>[оверквотинг удален]
>>> все таки нужно маршруты для ЛАНов заруливать в тунельные интерфейсы, судя по
>>> трейсу маршрут улетает на 18.1.1.1 а должен улетать в интерфейс туннеля(какие
>>> в тунеле IP?)
>> так это и есть IP тунеля 192.168.1.2 с одной стороны и 18.1.1.1
>> с другой. настраивал как на сайте d-link.
> хм, я всегда думал что тунельные интерфейсы принято строить p-t-p Точка-точка
> ну и соответственно ИП на обоих концах тунеля должны быть что-то типа
> 192.168.1.1/255.255.255.252 и 192.168.1.2/255.255.255.252 , но ни как не 18.1.1.1
> давай так - о каких тунелях идет речь? GRE или тебе провайдер
> дает канал IP-VPN(L2-VPN, L3-VPN)да я так и строил если cisco cisco или сisco freebsd, а тут dlink вот как настроено, получается напрямую и не gre
http://www.dlink.ru/ru/faq/92/499.htmlЗавтра буду дольше разбираться.
Еще хотел спросить. Нашел рабочий adsl router Cisco 877, можно ли его использовать для туннеля с 2901, чтоб по нормальному через gre настроить. Или он сильно по функционалу обрезан?
>[оверквотинг удален]
>> 192.168.1.1/255.255.255.252 и 192.168.1.2/255.255.255.252 , но ни как не 18.1.1.1
>> давай так - о каких тунелях идет речь? GRE или тебе провайдер
>> дает канал IP-VPN(L2-VPN, L3-VPN)
> да я так и строил если cisco cisco или сisco freebsd, а
> тут dlink вот как настроено, получается напрямую и не gre
> http://www.dlink.ru/ru/faq/92/499.html
> Завтра буду дольше разбираться.
> Еще хотел спросить. Нашел рабочий adsl router Cisco 877, можно ли его
> использовать для туннеля с 2901, чтоб по нормальному через gre настроить.
> Или он сильно по функционалу обрезан?у тебя ipsec в принципе должно работать, нужно смотреть таблицы маршрутизации и конфиги
АДСЛ роутер скорее всего не подойдет
если хочешь дешево и качественно то тебе вместо Длинка нужен Mikrotik 751 или 951 серии
>>[оверквотинг удален]
> Нашел рабочий adsl router Cisco 877, можно ли его
> использовать для туннеля с 2901, чтоб по нормальному через gre настроить.
> Или он сильно по функционалу обрезан?Зависит от IOS на 12.4 и ранее или от лицензии на 15.0 и выше. Смотрите show version и уточняйте имеющийся функционал через cisco.com/go/fn
>[оверквотинг удален]
> 1 <1 ms <1 ms
> <1 ms 10.10.10.1
> 2 1 ms
> 1 ms 1 ms 18.1.1.1
> 3 *
> * *
> Превышен интервал ожидания для запроса.
> 4 *
> * *
> Превышен интервал ожидания для запроса.показать сюда настройки на туннельном интерфейсе на C2901. Наверняка там нет ip nat inside. А еще лучше - показать полные настройки обоих устройств.
>[оверквотинг удален]
>> 2 1 ms
>> 1 ms 1 ms 18.1.1.1
>> 3 *
>> * *
>> Превышен интервал ожидания для запроса.
>> 4 *
>> * *
>> Превышен интервал ожидания для запроса.
> показать сюда настройки на туннельном интерфейсе на C2901. Наверняка там нет ip
> nat inside. А еще лучше - показать полные настройки обоих устройств.причем ip nat inside не прокатит, надо либо через лупбек, либо через ip nat enable делать
Ну значит поставил 877 вместо d-link настроил туннели с шифрованием. Сети видят друг друга. Вот конфигурации туннелей
----877----
interface Tunnel88
ip address 192.168.88.1 255.255.255.252
tunnel source Vlan2
tunnel destination 18.1.1.1
tunnel protection ipsec profile ipsec
!
interface FastEthernet0
switchport access vlan 2
!
interface Vlan1
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Vlan2
ip address 192.168.1.2 255.255.255.0
ip nat outside
ip virtual-reassembly
!
ip nat inside source list 100 interface Vlan2 overload
!
access-list 100 permit ip 10.10.10.0 0.0.0.255 any
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1
ip route 10.10.11.0 255.255.255.0 192.168.88.2----2901----
!
interface Tunnel88
ip address 192.168.88.2 255.255.255.252
tunnel source GigabitEthernet0/1
tunnel destination 192.168.1.2
tunnel protection ipsec profile ipsec
!
interface GigabitEthernet0/1
ip address 18.1.1.1 255.255.255.128
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 18.1.1.10
ip route 10.10.10.0 255.255.255.0 192.168.88.1
!
ip nat inside source list IPFW interface GigabitEthernet0/1 overload
!
ip access-list extended IPFW
permit ip 10.10.11.0 255.255.255.0 anyСмысл такой 192.168.88.0/32 это виртуальная сеть
если с машины 10.10.10.3 пинговать 10.10.11.3 всё норм и обратно тожетеперь более менее получилось. дальше надо пользователям из 10.10.10.0/24 разрешить ходить в интернет через туннель через interface GigabitEthernet0/1.
не соображу пока как такое реализовать....
>[оверквотинг удален]
> !
> ip nat inside source list IPFW interface GigabitEthernet0/1 overload
> !
> ip access-list extended IPFW
> permit ip 10.10.11.0 255.255.255.0 any
> Смысл такой 192.168.88.0/32 это виртуальная сеть
> если с машины 10.10.10.3 пинговать 10.10.11.3 всё норм и обратно тоже
> теперь более менее получилось. дальше надо пользователям из 10.10.10.0/24 разрешить ходить
> в интернет через туннель через interface GigabitEthernet0/1.
> не соображу пока как такое реализовать....Ну реализуется это достаточно просто. Есть 2 способа:
1. Внимательно читать различные источники информации. В том числе и сайт производителя оборудования.
2. Взять сумму в N т.р. и искать исполнителя. Где N натуральное число >1.
На текущий момент вы тяготеете к варианту 2.
>[оверквотинг удален]
>> если с машины 10.10.10.3 пинговать 10.10.11.3 всё норм и обратно тоже
>> теперь более менее получилось. дальше надо пользователям из 10.10.10.0/24 разрешить ходить
>> в интернет через туннель через interface GigabitEthernet0/1.
>> не соображу пока как такое реализовать....
> Ну реализуется это достаточно просто. Есть 2 способа:
> 1. Внимательно читать различные источники информации. В том числе и сайт производителя
> оборудования.
> 2. Взять сумму в N т.р. и искать исполнителя. Где N натуральное
> число >1.
> На текущий момент вы тяготеете к варианту 2.На текущий момент я тяготею к варианту 1 иначе зачем мне разбираться и писать на этом форуме.
>[оверквотинг удален]
>>> в интернет через туннель через interface GigabitEthernet0/1.
>>> не соображу пока как такое реализовать....
>> Ну реализуется это достаточно просто. Есть 2 способа:
>> 1. Внимательно читать различные источники информации. В том числе и сайт производителя
>> оборудования.
>> 2. Взять сумму в N т.р. и искать исполнителя. Где N натуральное
>> число >1.
>> На текущий момент вы тяготеете к варианту 2.
> На текущий момент я тяготею к варианту 1 иначе зачем мне разбираться
> и писать на этом форуме.https://www.google.ru/search?num=50&newwindow=1&site=&source...
> Всем привет.
> Копаюсь с маршрутами не могу понять где затык.
> Имеем туннель между D-Link 804HV и Cisco 2901
> Туннель поднят и работает норм.На стороне удаленного офиса дефолтный маршрут должен смотреть в туннель, при этом должен быть статический маршрут для обратного конца тоннеля.
На стороне 29 на туннеле ip nat inside не забудь и роут в удаленный офис в туннель завернуть.
>> Всем привет.
>> Копаюсь с маршрутами не могу понять где затык.
>> Имеем туннель между D-Link 804HV и Cisco 2901
>> Туннель поднят и работает норм.
> На стороне удаленного офиса дефолтный маршрут должен смотреть в туннель, при этом
> должен быть статический маршрут для обратного конца тоннеля.
> На стороне 29 на туннеле ip nat inside не забудь и роут
> в удаленный офис в туннель завернуть.Спасибо. разобрался. Заработало