Всем привет!
Столкнулся с такой ситуацией. Есть две cisco871(филиалы находящиеся в одном городе) соединены с головным офисом(в другом городе) Cisco ASA посредством VPN, а также соединены между собой все также с помощью VPN. На WAN интерфейсах у 2-х Cisco 871 стандартные внешние ip адреса.
Пример настройки одной из 871.
"interface FastEthernet4
description WAN_interface
ip address 218.115.93.220 255.255.255.0
ip access-group 101 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting output-packets
ip route-cache flow
ip tcp adjust-mss 1300
duplex auto
speed auto
crypto map WAN_crypto_map"
Сама проблема! Провайдер дал нам еще по одному ip адресу(в объединении) для каждого офиса. т.е. IP адреса вида 192.168.1.2 для одного офиса и 192.168.0.2 для другого так трафик будет ходить не через интернет а внутри провайдерской сети, что собственно дешевле. Конечно же мы повесили эти ip адреса на int fa4 как secondary. Как сделать так что бы Трафик ходил из офиса №1 через офис №2 и попадал в головной офис и при этом нужно что бы между офисом 1 и 2 был VPN. Пытались настраивать, но почему то cisco 871 №1 пытается создать vpn с внешнего адреса. Как заставить ее создавать туннель с secondary ip адреса?
>почему то cisco 871 №1 пытается создать vpn с внешнего адреса.
>Как заставить ее создавать туннель с secondary ip адреса?была такая же проблема.
Долго не заморачивался, так как сказали что проще сделать ip на котором терминируется туннель первичным.
>>почему то cisco 871 №1 пытается создать vpn с внешнего адреса.
>>Как заставить ее создавать туннель с secondary ip адреса?
>
>была такая же проблема.
>Долго не заморачивался, так как сказали что проще сделать ip на котором
>терминируется туннель первичным.Да это можно сделать только в одном офисе что бы он связывался с другим а как быть со вторым у которого vpn идет в Головной офис. Если мы там сделаем secondary ip как первичный то у нас vpn сразу отвалиться.
>Да это можно сделать только в одном офисе что бы он связывался
>с другим а как быть со вторым у которого vpn
>идет в Головной офис. Если мы там сделаем secondary ip как
>первичный то у нас vpn сразу отвалиться.Так вы хотите и старый канал до головного офиса сохранить и между офисами новый создать?
Может быть туннель на вторичных IP, а поверх него уже IPsec не пробовали?
>>Да это можно сделать только в одном офисе что бы он связывался
>>с другим а как быть со вторым у которого vpn
>>идет в Головной офис. Если мы там сделаем secondary ip как
>>первичный то у нас vpn сразу отвалиться.
>
>Так вы хотите и старый канал до головного офиса сохранить и между
>офисами новый создать?
>Может быть туннель на вторичных IP, а поверх него уже IPsec не
>пробовали?Да точно!!
Нет не пробывали пока. Нет ссылки конкретной для "туннель на вторичных IP, а поверх него уже IPsec" а то уже сил нет :-)))
>>Да это можно сделать только в одном офисе что бы он связывался
>>с другим а как быть со вторым у которого vpn
>>идет в Головной офис. Если мы там сделаем secondary ip как
>>первичный то у нас vpn сразу отвалиться.
>
>Так вы хотите и старый канал до головного офиса сохранить и между
>офисами новый создать?
>Может быть туннель на вторичных IP, а поверх него уже IPsec не
>пробовали?Вот я тут подумал, а нельзя ли с помощью crypto map как нибудь сделать что бы трафик уходящий в другую сеть уходил и шифровался с secondary ip ? Есть подозрения что это можно сделать с помощью Router(config)#crypto ipsec profile ??? Как думаешь?
>Вот я тут подумал, а нельзя ли с помощью crypto map
>как нибудь сделать что бы трафик уходящий в другую сеть уходил
>и шифровался с secondary ip ? Есть подозрения что это можно
>сделать с помощью Router(config)#crypto ipsec profile ??? Как думаешь?Врать не буду - незнаю. И проверить сейчас просто неначем.
Поидее он и должен уходить со вторичного. Там кажется была проблема в том что когда он приходит - он оказывается на первичном.
>>Вот я тут подумал, а нельзя ли с помощью crypto map
>>как нибудь сделать что бы трафик уходящий в другую сеть уходил
>>и шифровался с secondary ip ? Есть подозрения что это можно
>>сделать с помощью Router(config)#crypto ipsec profile ??? Как думаешь?
>
>Врать не буду - незнаю. И проверить сейчас просто неначем.
>Поидее он и должен уходить со вторичного. Там кажется была проблема в
>том что когда он приходит - он оказывается на первичном.НЕ наоборот когда делаешь ping 192.168.1.1 sou vl1, он пытается с первичного адреса отправить на set peer вторичный и соответственно облом выходит!
>Вот я тут подумал, а нельзя ли с помощью crypto map
>как нибудь сделать что бы трафик уходящий в другую сеть уходил
>и шифровался с secondary ip ? Есть подозрения что это можно
>сделать с помощью Router(config)#crypto ipsec profile ??? Как думаешь?Может, попробовать вместо secondary ip сделать loopback интерфейс???
Тогда поможет:
crypto map WAN_crypto_map local-address Loopback0
>>Вот я тут подумал, а нельзя ли с помощью crypto map
>>как нибудь сделать что бы трафик уходящий в другую сеть уходил
>>и шифровался с secondary ip ? Есть подозрения что это можно
>>сделать с помощью Router(config)#crypto ipsec profile ??? Как думаешь?
>
>Может, попробовать вместо secondary ip сделать loopback интерфейс???
>Тогда поможет:
>crypto map WAN_crypto_map local-address Loopback0Сейчас попробую на тестовом стенде! Меня тоже такая мысль посещала.