Помогите чайнику ))
Встала задача поднять IPSec туннель с некоего маршрутизатора до маршрутизатора сиски. Проблема в том, что этот некий маршрутизатор не смотрит напрямую в тырнет, а находится где-то в локальной сети. В связи с этим вопрос: что нужно ещё во внутренней сети поднять для такой возможности при условии использования лишь одного "белого" IP адреса (в дальнейшем с этого же адреса поднимать другие туннели к другим офисам, которые друг о друге ничего не должны знать)? Два VLAN?
Планирую привязать единственный "белый" IP к loopback-интерфейсу, который будет в отдельной VRF. Сам(и) туннель(и) настраивать в собственном(ых) VRF с "серыми" IP, а потом биндить к этому loopback. Но как-то туманно всё же всё это себе представляю пока что ) Нужно экспериментировать, но нет прямого доступа к инету. Поэтому для начала хотелось бы понять что нужно для связанности с тырнетом. Два VLAN-а? Или для loopback это излишне и как-то его без этого пробросить, а вилан лишь один потребуется: с "серыми" адресами? Сильно не бейте - я чайник пока что. Не предлагайте и заняться этим делом кому-то более продвинутому ) Это должен сделать я. Гуглил - нужного мне не нашёл (

Картиночку бы всего этого найти.

• IPSec туннель с удалённым офисом с маршрутизатора внутри сети,ShyLion, 17:39 , 06-Мрт-15
  • IPSec туннель с удалённым офисом с маршрутизатора внутри сети,ShyLion, 17:41 , 06-Мрт-15
• IPSec туннель с удалённым офисом с маршрутизатора внутри сети,McLeod095, 00:17 , 10-Мрт-15
  • IPSec туннель с удалённым офисом с маршрутизатора внутри сети,098poi, 06:53 , 10-Мрт-15
    • IPSec туннель с удалённым офисом с маршрутизатора внутри сети,ShyLion, 07:26 , 10-Мрт-15
      • IPSec туннель с удалённым офисом с маршрутизатора внутри сети,098poi, 08:00 , 10-Мрт-15
        • IPSec туннель с удалённым офисом с маршрутизатора внутри сети,Andrey, 09:41 , 10-Мрт-15
          • IPSec туннель с удалённым офисом с маршрутизатора внутри сети,098poi, 11:36 , 10-Мрт-15
        • IPSec туннель с удалённым офисом с маршрутизатора внутри сети,ShyLion, 09:50 , 10-Мрт-15
          • IPSec туннель с удалённым офисом с маршрутизатора внутри сети,098poi, 11:38 , 10-Мрт-15
            • IPSec туннель с удалённым офисом с маршрутизатора внутри сети,eek, 21:55 , 10-Мрт-15

IPSec работает через NAT

> IPSec работает через NAT

Единственно инициатором должна быть сторона на NAT

>[оверквотинг удален]
> VRF. Сам(и) туннель(и) настраивать в собственном(ых) VRF с "серыми" IP, а
> потом биндить к этому loopback. Но как-то туманно всё же всё
> это себе представляю пока что ) Нужно экспериментировать, но нет прямого
> доступа к инету. Поэтому для начала хотелось бы понять что нужно
> для связанности с тырнетом. Два VLAN-а? Или для loopback это излишне
> и как-то его без этого пробросить, а вилан лишь один потребуется:
> с "серыми" адресами? Сильно не бейте - я чайник пока что.
> Не предлагайте и заняться этим делом кому-то более продвинутому ) Это
> должен сделать я. Гуглил - нужного мне не нашёл (
> Картиночку бы всего этого найти.

Cisco не советует на loopback вешать что-то что потребуется в работе ната  или других трудных вещей. Все что будет на loopback будет обрабатываться через процессор минуя cef. Если трафик будет большой, можно положить железку.

Всем откликнувшимся - спасибо. Но хотелось бы всё же понять что настраивать для возможности прокинуть туннель IPSec (да и L2TP тоже) от этого внутреннего маршрутизатора наружу до цисок в инете, в удалённых офисах? VLAN-ы? Сколько?

У этого маршрутизатора есть специальные платы для шифрования IPSec, там тысячи туннелей можно построить, согласно документации да и в самой документации в качестве примера тоже описано применение loopback. Так что тут проблем быть не должно ...вроде.

> Всем откликнувшимся - спасибо. Но хотелось бы всё же понять что настраивать
> для возможности прокинуть туннель IPSec

Обычный Lan2Lan настраивается также точно как и с реальным IP.

> Обычный Lan2Lan настраивается также точно как и с реальным IP.

Можно для чайника чуть подробней. Речь не про сам маршрутизатор (что на нём и как настраивать худо бедно понятно из примеров в документации), от которого пойдёт туннель, а про другое оборудование в локальной сети. На самом маршрутизаторе для одного туннеля в одном VRF на loopback-е будет "белый" адрес /32 и на другом VRF диапазон "серых". На отдельной железке поднят NAT. Ещё чего и нужно настраивать, чтобы туннель вышел наружу без проблем?

>> Обычный Lan2Lan настраивается также точно как и с реальным IP.
> Можно для чайника чуть подробней. Речь не про сам маршрутизатор (что на
> нём и как настраивать худо бедно понятно из примеров в документации),
> от которого пойдёт туннель, а про другое оборудование в локальной сети.
> На самом маршрутизаторе для одного туннеля в одном VRF на loopback-е
> будет "белый" адрес /32 и на другом VRF диапазон "серых". На
> отдельной железке поднят NAT. Ещё чего и нужно настраивать, чтобы туннель
> вышел наружу без проблем?

Ничего не понятно. С исходными данными типа "поднять IPSec туннель с _некоего_ _маршрутизатора_" лучше в спортлото обращаться. Сферический маршрутизатор в вакууме это чистая теория. А вы просите практические советы.
По теории выходит что на "другом оборудовании в локальной сети" нужно настраивать: IP адресацию, маршрутизацию и политики маршрутизации (при необходимости). Чтобы туннель вышел через NAT - необходима поддержка NAT-T на пограничном маршрутизаторе. В теории - все. Хотите большего - нужна конкретика.

> Ничего не понятно. С исходными данными типа "поднять IPSec туннель с _некоего_
> _маршрутизатора_" лучше в спортлото обращаться. Сферический маршрутизатор в вакууме это
> чистая теория. А вы просите практические советы.
> По теории выходит что на "другом оборудовании в локальной сети" нужно настраивать:
> IP адресацию, маршрутизацию и политики маршрутизации (при необходимости). Чтобы туннель
> вышел через NAT - необходима поддержка NAT-T на пограничном маршрутизаторе. В
> теории - все. Хотите большего - нужна конкретика.

Какого рода конкретика нужна? Меня интересует в общем как это должно выглядеть, а не на уровне команд конкретной модели - это я в документации наковыряю (надеюсь). NAT-T, допустим, работает. Конкретика: делаю один общий для всех туннелей VRF с loopback с внешним IP и для каждого туннеля свой отдельный VRF (туннели друг о друге знать ничего не должны совсем), который будет биндиться к этому loopback с внешним ("белым") IP (максимально экономим на "белых" IP). Каждому VRF нужно делать своей VLAN?

Если не можешь сообразить, накидай нормальную схему. Ибо мне, например непонятно, на кой черт у тебя за НАТом какой-то роутер с реальным IP на лупбеке.
Мне проще посмотреть визуально чем разбирать словесный поток.

> Если не можешь сообразить, накидай нормальную схему. Ибо мне, например непонятно, на
> кой черт у тебя за НАТом какой-то роутер с реальным IP
> на лупбеке.
> Мне проще посмотреть визуально чем разбирать словесный поток.

В том-то и беда )) Я бы сам хотел увидеть эту картинку ))) Какой адрес к чему привязан, где что терминируется, натится и т.д. - чтоб там было видно. О картинке и вопрошаю ))

В общем надо построить от одного внутреннего маршрутизатора несколько туннелей IPSec, L2TP, которые бы использовали всего один "белый" IP адрес (статический, специально выделенный для этого) и ничего не знали друг о друге (поэтому несколько VRF), никак не пересекались даже случайно. Картинку этого я бы сам хотел увидеть.

> В общем надо построить от одного внутреннего маршрутизатора несколько туннелей IPSec,
> которые бы использовали всего один "белый" IP адрес (статический, специально выделенный
> для этого) и ничего не знали друг о друге (поэтому несколько
> VRF), никак не пересекались даже случайно. Картинку этого я бы сам
> хотел увидеть.

NAT из той схемы убирайте и все будет работать.
Сейчас это выглядит как секс стоя в гамаке.

Multi VRF ipsec с одного адреса для всех VRF делается и даже вместе с Easy VPN. Не то чтобы прямо запросто, головой поработать придется. Софт нужен 15.2(4)m4, на более старом не пробовал.

Поиск по ключевым словам: IPSEC+VRF, CRYPTO PROFILE.
Документация как водиться на сайте вендора.