URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 15508
[ Назад ]

Исходное сообщение
"GRE туннель между белым и серым адресами "

Отправлено Petek , 12-Фев-08 21:07 
Доброго времени суток.
Помогите новичку.
Задача такая: есть три Cisco877 подключенных к инету, на одной белый IP в центральном офисе, остальные находятся за NATом одного провайдера. Оба маршрутизатора в удаленных офисах имеют серые, но постоянные IP из разных подсетей.
Хочется поднять GRE туннели между центральным офисом и удаленными.

Допустим X.X.X.X - белый ип центрального офиса
10.10.10.0/24 - внутренняя сеть центрального офиса
Y.Y.Y.Y - Nat провайдера
192.168.0.2 - IP удаленного офиса
10.0.0.0/24 - внутренняя сеть удаленного офиса

конфигурация в центральном офисе:

interface Tunnel0
ip address 172.16.0.1 255.255.255.252
keepalive 20 3
tunnel source X.X.X.X
tunnel destination Y.Y.Y.Y

ip route 10.0.0.0 255.255.255.0 172.16.0.2


И в удаленном офисе:

interface Tunnel0
ip address 172.16.0.2 255.255.255.252
keepalive 20 3
tunnel source Y.Y.Y.Y
tunnel destination X.X.X.X

interface FastEthernet4
description ** Internet **
ip address 192.168.0.2 255.255.255.240
ip nat outside
ip virtual-reassembly
duplex auto
speed auto

ip route 0.0.0.0 0.0.0.0 192.168.0.1
ip route 10.10.10.0 255.255.255.0 172.16.0.1

Вопросы:
1. Возможна ли вообще такая схема? А если я добавлю еще один тунель в ЦО с таким же самым  destination, как они смогут разделиться на NATe провайдера?
2. Правильно ли я проставляю sourse/destination?
3. Как объяснить прову, какой мне нужно открыть доступ (какие протоколы/порты пробрасывать)?


Долго искал на форуме и cisco.com, но нашел информацию только по созданию IPsec туннелей.... Но ведь и такая схема может работать?


Содержание

Сообщения в этом обсуждении
"GRE туннель между белым и серым адресами "
Отправлено CrAzOiD , 12-Фев-08 21:36 
>[оверквотинг удален]
>1. Возможна ли вообще такая схема? А если я добавлю еще один
>тунель в ЦО с таким же самым  destination, как они
>смогут разделиться на NATe провайдера?
>2. Правильно ли я проставляю sourse/destination?
>3. Как объяснить прову, какой мне нужно открыть доступ (какие протоколы/порты пробрасывать)?
>
>
>
>Долго искал на форуме и cisco.com, но нашел информацию только по созданию
>IPsec туннелей.... Но ведь и такая схема может работать?

в качестве tunnel source в филиале и tunnel destination в центре серый адрес?
что-то я не вижу причины этому туннелю подниматься.

Поднимайте crypto map без tunnel
Easy VPN Server в центр
Easy VPN Remote в удаленные офисы

провайдеры должны открыть UDP/500 UDP/4500


"GRE туннель между белым и серым адресами "
Отправлено Petek , 12-Фев-08 21:44 
>[оверквотинг удален]
>>3. Как объяснить прову, какой мне нужно открыть доступ (какие протоколы/порты пробрасывать)?
>>
>>
>>
>>Долго искал на форуме и cisco.com, но нашел информацию только по созданию
>>IPsec туннелей.... Но ведь и такая схема может работать?
>
>в качестве tunnel source в филиале и tunnel destination в центре серый
>адрес?
>что-то я не вижу причины этому туннелю подниматься.

нет, я ставил белый адрес NATa провайдера, но это тоже вызывало сильные сомнения...

>
>Поднимайте crypto map без tunnel
>Easy VPN Server в центр
>Easy VPN Remote в удаленные офисы
>
>провайдеры должны открыть UDP/500 UDP/4500

Спасибо за ответ, буду работать в этом направлении :)


"GRE туннель между белым и серым адресами "
Отправлено KostyaK , 13-Фев-08 06:46 
DMVPN & NHRP вам в руки...
http://www.opennet.me/base/cisco/cisco_dynamic_ipsec.txt.html
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_whi...
http://www.cisco.com/en/US/docs/ios/security/configuration/g...

"GRE туннель между белым и серым адресами "
Отправлено CrAzOiD , 13-Фев-08 10:51 
>DMVPN & NHRP вам в руки...
>http://www.opennet.me/base/cisco/cisco_dynamic_ipsec.txt.html
>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_whi...
>http://www.cisco.com/en/US/docs/ios/security/configuration/g...

поясните на пальцах как в описанных условиях пожно поднять GRE туннели, необходимые для DMVPN & NHRP ?


"GRE туннель между белым и серым адресами "
Отправлено KostyaK , 13-Фев-08 11:02 
>>DMVPN & NHRP вам в руки...
>поясните на пальцах как в описанных условиях пожно поднять GRE туннели, необходимые
>для DMVPN & NHRP ?
>

В каком месте непонятно????

HUB (Central office):
---------------------
interface Tunnel0
  ip address 10.0.0.1 255.255.255.0
  ip nhrp authentication test
  ip nhrp map multicast dynamic
  ip nhrp network-id 100000
  tunnel source Ethernet0
  tunnel mode gre multipoint
  tunnel key 100000
  tunnel protection ipsec profile vpnprof
!

Spokes (branch):
---------------
interface Tunnel0
  ip address 10.0.0.<n+1> 255.255.255.0
  ip nhrp authentication test
  ip nhrp map 10.0.0.1 172.17.0.1
  ip nhrp network-id 100000
  ip nhrp nhs 10.0.0.1
  tunnel source Ethernet0
  tunnel destination 172.17.0.1
  tunnel key 100000
!



"GRE туннель между белым и серым адресами "
Отправлено Ярослав Росомахо , 13-Фев-08 12:10 
На удаленном сайте:

crypto isakmp policy 10
auth pre
hash md5
encr 3des
group 2

crypto isakmp key BIGSECRET addr X.X.X.X

crypto ipsec trans 3DES_MD5 esp-3des esp-md5

ip access-list e SPOKE
permit gre host 192.168.0.2 host X.X.X.X

crypto map VPN 10 ipsec-isakmp
match addr SPOKE
set peer X.X.X.X
set trans SPOKE

int fa4
crypto map VPN

int tu0
ip address 172.16.0.2 255.255.255.0
keepalive 20 3
tunnel source 192.168.0.2
tunnel destination X.X.X.X

На центральном сайте:

crypto isakmp policy 10
auth pre
hash md5
encr 3des
group 2

crypto isakmp key BIGSECRET addr 0.0.0.0 0.0.0.0

crypto ipsec trans 3DES_MD5 esp-3des esp-md5

crypto dynamic-map DYNAMIC 10
set trans 3DES_MD5

crypto map VPN 10 ipsec-isakmp dynamic DYNAMIC

int <внешний интерфейс с адресом X.X.X.X>
crypto map VPN

int tu0
tunnel mode gre m
ip address 172.16.0.1 255.255.255.0
keepalive 20 3
tunnel source X.X.X.X

Провайдерам ничего открывать не надо. Встроенный в IPSec Nat-T вас спасет.

Как-то так...


"GRE туннель между белым и серым адресами "
Отправлено Ярослав Росомахо , 13-Фев-08 12:12 
Опечатка - в первой конфигурации вместо "set trans SPOKE" следует читать "set trans 3DES_MD5"

"GRE туннель между белым и серым адресами "
Отправлено Petek , 13-Фев-08 14:30 
>Опечатка - в первой конфигурации вместо "set trans SPOKE" следует читать "set
>trans 3DES_MD5"

Спасибо.
Попробовал предложенный вариант.
Но пока туннели не поднимаются.....
в логах на удаленном хосте
%CRYPTO-6-IKMP_MODE_FAILURE: Processing of Informational mode failed with peer at Х.Х.Х.Х


"GRE туннель между белым и серым адресами "
Отправлено Ярослав Росомахо , 13-Фев-08 14:38 
>>Опечатка - в первой конфигурации вместо "set trans SPOKE" следует читать "set
>>trans 3DES_MD5"
>
>Спасибо.
>Попробовал предложенный вариант.
>Но пока туннели не поднимаются.....
>в логах на удаленном хосте
>%CRYPTO-6-IKMP_MODE_FAILURE: Processing of Informational mode failed with peer at Х.Х.Х.Х

Покажите ваши show run


"GRE туннель между белым и серым адресами "
Отправлено Petek , 13-Фев-08 15:30 
>>>Опечатка - в первой конфигурации вместо "set trans SPOKE" следует читать "set
>>>trans 3DES_MD5"
>>
>>Спасибо.
>>Попробовал предложенный вариант.
>>Но пока туннели не поднимаются.....
>>в логах на удаленном хосте
>>%CRYPTO-6-IKMP_MODE_FAILURE: Processing of Informational mode failed with peer at Х.Х.Х.Х
>
>Покажите ваши show run

удаленный (за NATом)

Building configuration...

Current configuration : 6614 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname HOST_NAME
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 debugging
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
aaa session-id common
!
resource policy
!
clock timezone PCTime 3
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
ip name-server IP_DNS_SERVER
!
username root privilege 15 secret 5 PASSWORD
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key SUPER_KEY address X.X.X.X
!
!
crypto ipsec transform-set 3DES_MD5 esp-3des esp-md5-hmac
!
crypto map VPN 10 ipsec-isakmp
set peer X.X.X.X
set transform-set 3DES_MD5
match address SPOKE
!
!
!
!
interface Tunnel0
ip address 172.16.1.46 255.255.255.252
keepalive 20 3
tunnel source 192.168.2.18
tunnel destination X.X.X.X
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address 192.168.2.18 255.255.255.240
ip verify unicast reverse-path
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map VPN
!
interface Vlan1
description ** Local **
ip address 10.96.33.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.2.17
ip route 10.96.0.0 255.255.255.0 172.16.1.45
!
!
no ip http server
no ip http secure-server
ip nat inside source list 175 interface FastEthernet4 overload
!
ip access-list extended SPOKE
permit gre host 192.168.2.18 host 213.129.114.45
!
access-list 1 permit 10.96.33.0 0.0.0.255
access-list 102 permit ip 10.96.33.0 0.0.0.255 any
access-list 102 permit ip host X.X.X.X any
access-list 175 deny   ip 10.96.33.0 0.0.0.255 10.96.0.0 0.0.0.255
access-list 175 permit ip 10.96.33.0 0.0.0.255 any
no cdp run
!
!
control-plane
!
banner login ^CC
-----------------------------------------------------------------------
MY_ROUTER1
-----------------------------------------------------------------------
^C
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 102 in
privilege level 15
transport input telnet ssh
!
scheduler max-task-time 5000
end

Центральный маршрутизатор:

Current configuration : 6947 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname OFFICE
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 debugging
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
aaa session-id common
!
resource policy
!
ip subnet-zero
ip cef
!
!
no ip domain lookup
!
!
username root privilege 15 secret 5 PASSWORD
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key SUPER_KEY address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set 3DES_MD5 esp-3des esp-md5-hmac
!
crypto dynamic-map DYNAMIC 10
set transform-set 3DES_MD5
!
!
crypto map VPN 10 ipsec-isakmp dynamic DYNAMIC
!
!
interface Tunnel11
ip address 172.16.1.45 255.255.255.252
no ip redirects
keepalive 20 3
tunnel source FastEthernet4
tunnel mode gre multipoint
!
interface Tunnel12
ip address 172.16.1.49 255.255.255.252
keepalive 20 3
tunnel source FastEthernet4
tunnel destination Z.Z.Z.Z
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description ** Internet **
ip address X.X.X.X 255.255.255.224
ip verify unicast reverse-path
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map VPN
!
interface Vlan1
description ** Local **
ip address 10.96.0.2 255.255.255.0
ip access-group 100 in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip classless
ip route 0.0.0.0 0.0.0.0 IP_ISP_GATE
ip route 10.96.33.0 255.255.255.0 172.16.1.46
ip route 10.96.36.0 255.255.255.0 172.16.1.50
!
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface FastEthernet4 overload
!
access-list 1 permit 10.96.0.0 0.0.0.255
access-list 23 permit 10.96.0.0 0.0.0.255
no cdp run
!
!
control-plane
!
banner login ^CC
-----------------------------------------------------------------------
OFFICE
-----------------------------------------------------------------------
^C
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
transport input all
!
scheduler max-task-time 5000
end



"GRE туннель между белым и серым адресами "
Отправлено Ярослав Росомахо , 13-Фев-08 16:28 
А вот как надо было:

удаленный (за NATом)

Building configuration...

Current configuration : 6614 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname HOST_NAME
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 debugging
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
aaa session-id common
!
resource policy
!
clock timezone PCTime 3
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
ip name-server IP_DNS_SERVER
!
username root privilege 15 secret 5 PASSWORD
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key SUPER_KEY address X.X.X.X
!
!
crypto ipsec transform-set 3DES_MD5 esp-3des esp-md5-hmac
!
crypto map VPN 10 ipsec-isakmp
set peer X.X.X.X
set transform-set 3DES_MD5
match address SPOKE
!
!
!
!
interface Tunnel0
ip address 172.16.1.46 255.255.255.0
keepalive 20 3
tunnel source 192.168.2.18
tunnel destination X.X.X.X
tunnel key 1
ip nhrp authentication SECRETSECRET
ip nhrp map 172.16.1.45 X.X.X.X
ip nhrp network-id 1
ip nhrp holdtime 60
ip nhrp nhs 172.16.1.45
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address 192.168.2.18 255.255.255.240
ip verify unicast reverse-path
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map VPN
!
interface Vlan1
description ** Local **
ip address 10.96.33.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.2.17
ip route 10.96.0.0 255.255.255.0 172.16.1.45
!
!
no ip http server
no ip http secure-server
ip nat inside source list 175 interface FastEthernet4 overload
!
ip access-list extended SPOKE
permit gre host 192.168.2.18 host 213.129.114.45
!
access-list 1 permit 10.96.33.0 0.0.0.255
access-list 102 permit ip 10.96.33.0 0.0.0.255 any
access-list 102 permit ip host X.X.X.X any
access-list 175 deny   ip 10.96.33.0 0.0.0.255 10.96.0.0 0.0.0.255
access-list 175 permit ip 10.96.33.0 0.0.0.255 any
no cdp run
!
!
control-plane
!
banner login ^CC
-----------------------------------------------------------------------
MY_ROUTER1
-----------------------------------------------------------------------
^C
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 102 in
privilege level 15
transport input telnet ssh
!
scheduler max-task-time 5000
end


Центральный маршрутизатор:

Current configuration : 6947 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname OFFICE
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 debugging
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
aaa session-id common
!
resource policy
!
ip subnet-zero
ip cef
!
!
no ip domain lookup
!
!
username root privilege 15 secret 5 PASSWORD
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key SUPER_KEY address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set 3DES_MD5 esp-3des esp-md5-hmac
!
crypto dynamic-map DYNAMIC 10
set transform-set 3DES_MD5
!
!
crypto map VPN 10 ipsec-isakmp dynamic DYNAMIC
!
!
interface Tunnel11
ip address 172.16.1.45 255.255.255.0
no ip redirects
keepalive 20 3
tunnel source FastEthernet4
tunnel mode gre multipoint
tunnel key 1
ip nhrp authentication SECRETSECRET
ip nhrp network-id 1
ip nhrp holdtime 60
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description ** Internet **
ip address X.X.X.X 255.255.255.224
ip verify unicast reverse-path
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map VPN
!
interface Vlan1
description ** Local **
ip address 10.96.0.2 255.255.255.0
ip access-group 100 in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip classless
ip route 0.0.0.0 0.0.0.0 IP_ISP_GATE
ip route 10.96.33.0 255.255.255.0 172.16.1.46
ip route 10.96.36.0 255.255.255.0 172.16.1.50
!
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface FastEthernet4 overload
!
access-list 1 permit 10.96.0.0 0.0.0.255
access-list 23 permit 10.96.0.0 0.0.0.255
no cdp run
!
!
control-plane
!
banner login ^CC
-----------------------------------------------------------------------
OFFICE
-----------------------------------------------------------------------
^C
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
transport input all
!
scheduler max-task-time 5000
end


После внесения изменений сделайте clear crypto isakmp, clear crypto sa и clear ip nhrp на обоих устройствах.


"GRE туннель между белым и серым адресами "
Отправлено Petek , 13-Фев-08 18:32 
>
>После внесения изменений сделайте clear crypto isakmp, clear crypto sa и clear
>ip nhrp на обоих устройствах.

Не выходит....
опять та же ошибка на удаленном маршрутизаторе:

%CRYPTO-6-IKMP_MODE_FAILURE: Processing of Informational mode failed with peer at X.X.X.X

Tunnel0 is up, line protocol is down
  Hardware is Tunnel
  Description: ** VRN **
  Internet address is 172.16.1.46/30
  MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation TUNNEL, loopback not set
  Keepalive set (20 sec), retries 3
  Tunnel source 192.168.2.18, destination X.X.X.X
  Tunnel protocol/transport GRE/IP
    Key 0x1, sequencing disabled
    Checksumming of packets disabled
  Tunnel TTL 255
  Fast tunneling enabled
  Tunnel transmit bandwidth 8000 (kbps)
  Tunnel receive bandwidth 8000 (kbps)
  Last input never, output 00:43:51, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 623
  Queueing strategy: fifo
  Output queue: 0/0 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     0 packets input, 0 bytes, 0 no buffer
     Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     164 packets output, 9060 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out

HOSTNAME#sh ip nhrp
172.16.1.45/32 via 172.16.1.45, Tunnel0 created 01:50:45, never expire
  Type: static, Flags: authoritative
  NBMA address: X.X.X.X


HOSTNAME#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
X.X.X.X        192.168.2.18    MM_NO_STATE          0    0 ACTIVE
X.X.X.X        192.168.2.18    MM_NO_STATE          0    0 ACTIVE (deleted)

IPv6 Crypto ISAKMP SA

Даже не знаю где еще ковырять.....


"GRE туннель между белым и серым адресами "
Отправлено Ярослав Росомахо , 14-Фев-08 11:06 
Ну показывайте ваш полный show run, debug crypto ver, debug crypto isakmp, debug crypto ipsec

Перед debug сделайте clear crypto isakmp и clear crypto sa с двух сторон.


"GRE туннель между белым и серым адресами "
Отправлено Petek , 19-Фев-08 14:14 
>Ну показывайте ваш полный show run, debug crypto ver, debug crypto isakmp,
>debug crypto ipsec
>
>Перед debug сделайте clear crypto isakmp и clear crypto sa с двух
>сторон.

Спасибо огромное! Все получилось. Просто недосмотрел....
Теперь все заработало!

Последняя конфигурация полностью рабочая.


"GRE туннель между белым и серым адресами "
Отправлено Ярослав Росомахо , 19-Фев-08 16:48 
>Спасибо огромное! Все получилось. Просто недосмотрел....
>Теперь все заработало!
>
>Последняя конфигурация полностью рабочая.

Раз помочь.

Основная проблема со всеми этими isakmp-ipsecами - очень много строк в конфигурации и очень много различных фаз и согласований между устройствами. Легко ошибиться.


"GRE туннель между белым и серым адресами "
Отправлено WinniePooh , 18-Мрт-09 13:45 
>>Ну показывайте ваш полный show run, debug crypto ver, debug crypto isakmp,
>>debug crypto ipsec
>>
>>Перед debug сделайте clear crypto isakmp и clear crypto sa с двух
>>сторон.
>
>Спасибо огромное! Все получилось. Просто недосмотрел....
>Теперь все заработало!
>
>Последняя конфигурация полностью рабочая.

А в чем была проблема? У меня такая же ошибка появляется при попытке подключения iPhone к 2821.


"GRE туннель между белым и серым адресами "
Отправлено Cta1kep , 18-Фев-08 19:43 
>[оверквотинг удален]
>1. Возможна ли вообще такая схема? А если я добавлю еще один
>тунель в ЦО с таким же самым  destination, как они
>смогут разделиться на NATe провайдера?
>2. Правильно ли я проставляю sourse/destination?
>3. Как объяснить прову, какой мне нужно открыть доступ (какие протоколы/порты пробрасывать)?
>
>
>
>Долго искал на форуме и cisco.com, но нашел информацию только по созданию
>IPsec туннелей.... Но ведь и такая схема может работать?

Как предположение
>10.10.10.0/24 - внутренняя сеть центрального офиса
>Y.Y.Y.Y - Nat провайдера
>192.168.0.2 - IP удаленного офиса
>10.0.0.0/24 - внутренняя сеть удаленного офиса

У тебя одинаковые локальные сети на двух концах.


"GRE туннель между белым и серым адресами "
Отправлено Petek , 19-Фев-08 14:12 
>[оверквотинг удален]
>>Долго искал на форуме и cisco.com, но нашел информацию только по созданию
>>IPsec туннелей.... Но ведь и такая схема может работать?
>
>Как предположение
>>10.10.10.0/24 - внутренняя сеть центрального офиса
>>Y.Y.Y.Y - Nat провайдера
>>192.168.0.2 - IP удаленного офиса
>>10.0.0.0/24 - внутренняя сеть удаленного офиса
>
>У тебя одинаковые локальные сети на двух концах.

Да нет. сети разные. Но это уже не важно, все получилось!


"GRE туннель между белым и серым адресами "
Отправлено Cta1kep , 18-Фев-08 19:43 
>[оверквотинг удален]
>1. Возможна ли вообще такая схема? А если я добавлю еще один
>тунель в ЦО с таким же самым  destination, как они
>смогут разделиться на NATe провайдера?
>2. Правильно ли я проставляю sourse/destination?
>3. Как объяснить прову, какой мне нужно открыть доступ (какие протоколы/порты пробрасывать)?
>
>
>
>Долго искал на форуме и cisco.com, но нашел информацию только по созданию
>IPsec туннелей.... Но ведь и такая схема может работать?

Как предположение
>10.10.10.0/24 - внутренняя сеть центрального офиса
>Y.Y.Y.Y - Nat провайдера
>192.168.0.2 - IP удаленного офиса
>10.0.0.0/24 - внутренняя сеть удаленного офиса

У тебя одинаковые локальные сети на двух концах.