URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 18903
[ Назад ]

Исходное сообщение
"Маршрутизация между сайтами и Cisco VPN CLIENT"

Отправлено ayupakhomov , 20-Май-09 11:51 
Ситуация: есть энное количество филиалов (4), соединенных между собой при помощи ipsec шифрования звездой - каждый с каждым, по три туннеля на каждом маршрутизаторе. К одному из филиалов при помощи Cisco VPN Client подключаются удаленные клиенты. По умолчанию они видят только сеть филиала, к которому идет коннект, другие филиалы - нет.
Что пробовал: добавлял руками маршруты в VPNClient-сеть на удаленном маршрутизаторе. Пробовал заворачивать трафик на эту (Удаленных клиентов) сеть в туннель зеркально с обеих сторон на тестовом филиале. Не помогает. Если нужно, выложу конфиги. Просто может быть есть простой способ - прописать специальную опцию в конфиг, например
Cisco2811, ios 12.4
Нат на все выше и ниже описанные сети отключен.
ACL, управляющие туннельным трафиком, зеркальны в филиалах
Клиенту выдается маршрут в 123 и в 156 сети.
123 сеть целиком доступна
Трафик между филиалами проходит

Схема:
Клиент 124.0/24<=ipsec=>Филиал1 123.0/24<=ipsec=>Филиал2 156.0/24
Задача: Клиент должен видеть сеть 156.0/24

ps
Не обязательно рассматривать в качестве первого сайт сеть удаленного клиента. Интересует также, как разрешить прохождение трафика, если вместо удаленного клиента еще один сайт

скажем:

Схема:
Филиал3 14.0/24<=ipsec=>Филиал1 123.0/24<=ipsec=>Филиал2 156.0/24

Я думаю, принципиальной разницы нет, если вместо клиента еще один маршрутизатор
задача точно такая же - получить из филиала 3 доступ в филиал 2 без установки между ними туннеля, используя филиал один как гейт


Содержание

Сообщения в этом обсуждении
"Маршрутизация между сайтами и Cisco VPN CLIENT"
Отправлено ayuapakhomov , 20-Май-09 17:52 
Неужели нет никаких соображений ни у кого?
Или задача настолько проста, что гуру не желают отвечать? :)

"Маршрутизация между сайтами и Cisco VPN CLIENT"
Отправлено CrAzOiD , 20-Май-09 18:18 
>Неужели нет никаких соображений ни у кого?
>Или задача настолько проста, что гуру не желают отвечать? :)

Ручками маршруты в клиенте - этого мало. Трафик еще должен вернуться куда надо.
Поднимайте динамику. Либо, что правильнее, как мне кажется, в вашей ситуации, поднимайте DMVPN


"Маршрутизация между сайтами и Cisco VPN CLIENT"
Отправлено ayuapakhomov , 20-Май-09 18:51 

>Ручками маршруты в клиенте - этого мало. Трафик еще должен вернуться куда
>надо.

Логично. Не понятно, почему не работает схема: трафик из сети клиента, направленный в сеть другого филиала - шифровать и заворачивать в туннель. И обратное правило на удаленном роутере. А центральная цыска уже разрулит внутри. Но если не работает, значит так надо :=\



"Маршрутизация между сайтами и Cisco VPN CLIENT"
Отправлено CrAzOiD , 20-Май-09 19:33 
>
>>Ручками маршруты в клиенте - этого мало. Трафик еще должен вернуться куда
>>надо.
>
>Логично. Не понятно, почему не работает схема: трафик из сети клиента, направленный
>в сеть другого филиала - шифровать и заворачивать в туннель. И
>обратное правило на удаленном роутере. А центральная цыска уже разрулит внутри.
>Но если не работает, значит так надо :=\

Что бы ответить на подобный вопрос надо ковырять ваши конфиги.


"Маршрутизация между сайтами и Cisco VPN CLIENT"
Отправлено ayuapakhomov , 21-Май-09 10:41 
Конфиг "центрального" маршрутизатора
конфиг маршрутизатора "удаленного" принципиально ничего не отличается (в мелочах, ACL, QoS итп)

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname XXXX
!
boot-start-marker
boot-end-marker
!
logging buffered 52000 debugging
enable secret 5
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login EASYVPN_AUTH local
aaa authorization exec default local
aaa authorization network EASYVPN_GROUP_AUTH local
!
aaa session-id common
!
!
ip cef
!
!
ip domain name XXXXXX
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
voice-card 0
no dspfarm
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto pki trustpoint TP-self-signed-4179041039
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-4179041039
revocation-check none
rsakeypair TP-self-signed-4179041039
!
!
crypto pki certificate chain TP-self-signed-4179041039
certificate self-signed 01 nvram:IOS-Self-Sig#3939.cer
username admin privilege 15 secret 5
username ayupakhomov privilege 15 secret 5
!
!
!
class-map match-all Traf1
match access-group 110
class-map match-all Traf2
match access-group 111
!
!
policy-map Policy1
class Traf1
    police 128000 8000 8000 conform-action transmit  exceed-action drop
policy-map Policy2
class Traf2
    police 128000 8000 8000 conform-action transmit  exceed-action drop
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key xxxx address xxxx no-xauth
crypto isakmp key xxxx address xxxx no-xauth
crypto isakmp key xxxx address xxxx no-xauth
crypto isakmp keepalive 10
!
crypto isakmp client configuration group VPN
key securekey
dns xxxx
domain xxxx
pool EASYVPN_POOL
acl 120
netmask 255.255.255.0
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
crypto ipsec transform-set GELEZNODOROGNYTRANSET esp-3des esp-sha-hmac
crypto ipsec transform-set EASYVPN esp-3des esp-sha-hmac
!
!
crypto dynamic-map SDM_DYNMAP_1 1
set transform-set EASYVPN
!
!
crypto map SDM_CMAP_1 client authentication list EASYVPN_AUTH
crypto map SDM_CMAP_1 isakmp authorization list EASYVPN_GROUP_AUTH
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel xxxx
set peer xxxx
set transform-set ESP-3DES-SHA
match address 100
crypto map SDM_CMAP_1 2 ipsec-isakmp
description Tunnel xxxx
set peer xxxx
set transform-set ESP-3DES-SHA1
match address 105
crypto map SDM_CMAP_1 3 ipsec-isakmp
description Tunnel to xxxx
set peer xxxx
set transform-set GELEZNODOROGNYTRANSET
match address 112
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
!
!
!
!
interface FastEthernet0/0
description xxxx
ip address xxxx
ip access-group 102 in
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
duplex auto
speed auto
service-policy output Policy2
!
interface FastEthernet0/1
description xxxx
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Dialer0
ip address negotiated
ip mtu 1452
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname xxxx
ppp chap password 0 xxxx
ppp pap sent-username xxxx password 0 xxxx
crypto map SDM_CMAP_1
service-policy output Policy1
!
ip local pool EASYVPN_POOL 192.168.124.1 192.168.124.254
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.123.0 255.255.255.0 FastEthernet0/0
!
ip flow-export source FastEthernet0/0
ip flow-export version 9
ip flow-export destination 192.168.123.156 9996
!
ip http server
ip http access-class 2
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload
ip nat inside source static tcp 192.168.123.53 21 xxxx 21 extendable
ip nat inside source static tcp 192.168.123.53 1194 xxxx 1194 extendable
ip nat inside source static udp 192.168.123.53 1194 xxxx 1194 extendable
ip nat inside source static tcp 192.168.123.211 3389 xxxx 3389 extendable
ip nat inside source static tcp 192.168.123.53 7777 xxxx 7777 extendable
ip nat inside source static tcp 192.168.123.211 8080 xxxx 8080 route-map NONATFORVPN extendable
ip nat inside source static tcp 192.168.123.112 80 xxxx 8530 route-map NONATFORVPN extendable
ip nat inside source static tcp 192.168.123.53 3389 xxxx 8999 route-map NONATFORVPN extendable
ip nat inside source static tcp 192.168.123.150 3389 xxxx 11150 route-map NONATFORVPN extendable
ip nat inside source static tcp 192.168.123.14 3389 xxxx 11523 route-map NONATFORVPN extendable
ip nat inside source static tcp 192.168.123.27 80 xxxx 11524 route-map NONATFORVPN extendable
!
access-list 1 remark INSIDE_IF=FastEthernet0/0
access-list 1 permit 192.168.123.0 0.0.0.255
access-list 2 permit 192.168.123.53
access-list 2 permit 192.168.123.222
access-list 2 permit 192.168.123.225
access-list 100 remark IPSec Rule
access-list 100 permit ip 192.168.123.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 101 remark IPSec Rule
access-list 101 deny   ip 192.168.123.0 0.0.0.255 192.168.156.0 0.0.0.255
access-list 101 deny   ip 192.168.123.0 0.0.0.255 192.168.174.0 0.0.0.255
access-list 101 deny   ip 192.168.123.0 0.0.0.255 192.168.124.0 0.0.0.255
access-list 101 deny   ip 192.168.123.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 101 permit ip 192.168.123.0 0.0.0.255 any
access-list 102 permit ip 192.168.124.0 0.0.0.255 host 192.168.123.4
access-list 102 permit tcp host 192.168.123.53 host 192.168.123.4 eq telnet
access-list 102 permit tcp host 192.168.123.239 host 192.168.123.4 eq telnet
access-list 102 permit tcp host 192.168.123.225 host 192.168.123.4 eq telnet
access-list 102 permit tcp host 192.168.123.222 host 192.168.123.4 eq telnet
access-list 102 permit tcp host 192.168.123.225 host 192.168.123.4 eq 22
access-list 102 permit tcp host 192.168.123.222 host 192.168.123.4 eq 22
access-list 102 permit tcp host 192.168.123.225 host 192.168.123.4 eq www
access-list 102 permit tcp host 192.168.123.222 host 192.168.123.4 eq www
access-list 102 permit tcp host 192.168.123.225 host 192.168.123.4 eq 443
access-list 102 permit tcp host 192.168.123.222 host 192.168.123.4 eq 443
access-list 102 permit tcp host 192.168.123.53 host 192.168.123.4 eq cmd
access-list 102 permit tcp host 192.168.123.225 host 192.168.123.4 eq cmd
access-list 102 permit tcp host 192.168.123.222 host 192.168.123.4 eq cmd
access-list 102 deny   ip host 192.168.123.23 any
access-list 102 deny   tcp any host 192.168.123.4 eq telnet
access-list 102 deny   tcp any host 192.168.123.4 eq 22
access-list 102 deny   tcp any host 192.168.123.4 eq www
access-list 102 deny   tcp any host 192.168.123.4 eq 443
access-list 102 deny   tcp any host 192.168.123.4 eq cmd
access-list 102 deny   udp any host 192.168.123.4 eq snmp
access-list 103 permit ip host 192.168.123.53 any
access-list 103 permit ip host 192.168.123.222 any
access-list 103 permit ip host 192.168.123.225 any
access-list 104 permit ip host 10.10.10.6 any
access-list 104 permit ip host 192.168.123.53 any
access-list 104 permit ip host 192.168.123.222 any
access-list 104 permit ip host 192.168.123.225 any
access-list 105 permit ip 192.168.123.0 0.0.0.255 192.168.156.0 0.0.0.255
access-list 106 deny   ip host 192.168.123.150 192.168.156.0 0.0.0.255
access-list 106 deny   ip host 192.168.123.150 192.168.5.0 0.0.0.255
access-list 106 deny   ip host 192.168.123.112 192.168.5.0 0.0.0.255
access-list 106 deny   ip host 192.168.123.112 192.168.156.0 0.0.0.255
access-list 106 deny   ip host 192.168.123.27 192.168.156.0 0.0.0.255
access-list 106 deny   ip host 192.168.123.27 192.168.5.0 0.0.0.255
access-list 106 deny   ip host 192.168.123.211 192.168.5.0 0.0.0.255
access-list 106 deny   ip host 192.168.123.211 192.168.156.0 0.0.0.255
access-list 106 deny   ip host 192.168.123.14 192.168.156.0 0.0.0.255
access-list 106 deny   ip host 192.168.123.14 192.168.5.0 0.0.0.255
access-list 106 deny   ip host 192.168.123.53 192.168.156.0 0.0.0.255
access-list 106 deny   ip host 192.168.123.53 192.168.5.0 0.0.0.255
access-list 106 deny   ip host 192.168.123.14 192.168.174.0 0.0.0.255
access-list 106 deny   ip host 192.168.123.27 192.168.174.0 0.0.0.255
access-list 106 deny   ip host 192.168.123.53 192.168.174.0 0.0.0.255
access-list 106 deny   ip host 192.168.123.112 192.168.174.0 0.0.0.255
access-list 106 deny   ip host 192.168.123.150 192.168.174.0 0.0.0.255
access-list 106 deny   ip host 192.168.123.211 192.168.174.0 0.0.0.255
access-list 106 deny   ip host 192.168.123.14 192.168.124.0 0.0.0.255
access-list 106 deny   ip host 192.168.123.27 192.168.124.0 0.0.0.255
access-list 106 deny   ip host 192.168.123.53 192.168.124.0 0.0.0.255
access-list 106 deny   ip host 192.168.123.112 192.168.124.0 0.0.0.255
access-list 106 deny   ip host 192.168.123.150 192.168.124.0 0.0.0.255
access-list 106 deny   ip host 192.168.123.211 192.168.124.0 0.0.0.255
access-list 110 remark This ACL is appruved to IFACE DIALER 0 - rate limit
access-list 110 deny   ip host 192.168.123.97 192.168.156.0 0.0.0.255
access-list 110 deny   ip host 192.168.123.97 192.168.5.0 0.0.0.255
access-list 111 remark This ACL is appruved to IFACE FASTETHERNET 0/0 - rate limit
access-list 111 deny   ip 192.168.156.0 0.0.0.255 host 192.168.123.97
access-list 111 deny   ip 192.168.5.0 0.0.0.255 host 192.168.123.97
access-list 112 permit ip 192.168.123.0 0.0.0.255 192.168.174.0 0.0.0.255
access-list 120 remark This ACL is defined subnets route for Easy VPN
access-list 120 permit ip 192.168.123.0 0.0.0.255 192.168.124.0 0.0.0.255
access-list 120 permit ip 192.168.156.0 0.0.0.255 192.168.124.0 0.0.0.255
dialer-list 1 protocol ip permit
snmp-server community xxxx RO 99
snmp-server ifindex persist
snmp-server location xxxx
snmp-server enable traps tty
!
route-map NONATFORVPN permit 20
match ip address 106
!
route-map SDM_RMAP_1 permit 1
match ip address 101
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
access-class 103 in
privilege level 15
transport input telnet ssh
line vty 5 15
access-class 104 in
privilege level 15
transport input telnet ssh
!
scheduler allocate 20000 1000
!
end


"Маршрутизация между сайтами и Cisco VPN CLIENT"
Отправлено ayuapakhomov , 21-Май-09 18:27 
Вы правы, на банальных транспортных туннелях маршрутизации не настроить
вот интересный документ "для чайников", объясняющий - почему так "низя"
http://www.isi.edu/div7/presentation_files/dynamic_routing.pdf