URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 21770
[ Назад ]

Исходное сообщение
"Ipsec Source Interface пинги с роутера в удалённую подсеть"
Отправлено Nerian , 14-Окт-10 22:37

Добрый день!
Настроен самый обычный что ни наесть IPSec между двумя роутерами. R1 и R2.
Проблема уверен распространнёная и заключаеться в следующем.
Так как в обоих сторонах ACL для VPN выглядят как:
на одной:
access-list 101 permit 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
на другой:
access-list 101 permit 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
а у самих роутеров на внешних интерфесах адресса 88.88.88.88 и 77.77.77.77
то тунель поднимаеться, только если хосты за роутерами начнут обмен.
а между самими роутерами пинга нету, т.к. по умолчанию source адресс идёт внешнего адресса, и следовательно трафик не заворачиваеться в ip sec тунель. да и позадумке если изменить acl и заворачивать его туда - в любом случае получиться что он придёт на удалённый роутер с внешним ип адресом, и тот не сможет вернуть ему ответ.
если делать ping 77.77.77.77 source-interface fa0/0 (где ип 192.168.0.1) то пинг пойдёт...
Собственно вопрос: можно ли как нибудь указать что source interface для всех пакетов это fa0/0 (где внутренний ип маршрутизатора)?

Содержание

Ipsec Source Interface пинги с роутера в удалённую подсеть,karen durinyan, 08:56 , 15-Окт-10
- Ipsec Source Interface пинги с роутера в удалённую подсеть,Nerian, 09:22 , 15-Окт-10

Сообщения в этом обсуждении

"Ipsec Source Interface пинги с роутера в удалённую подсеть"
Отправлено karen durinyan , 15-Окт-10 08:56

>[оверквотинг удален]
> а у самих роутеров на внешних интерфесах адресса 88.88.88.88 и 77.77.77.77
> то тунель поднимаеться, только если хосты за роутерами начнут обмен.
> а между самими роутерами пинга нету, т.к. по умолчанию source адресс идёт
> внешнего адресса, и следовательно трафик не заворачиваеться в ip sec тунель.
> да и позадумке если изменить acl и заворачивать его туда -
> в любом случае получиться что он придёт на удалённый роутер с
> внешним ип адресом, и тот не сможет вернуть ему ответ.
> если делать ping 77.77.77.77 source-interface fa0/0 (где ип 192.168.0.1) то пинг пойдёт...
> Собственно вопрос: можно ли как нибудь указать что source interface для всех
> пакетов это fa0/0 (где внутренний ип маршрутизатора)?
честно говоря не понял в чем проблема? вы хотите что туннель всегда была поднята? если проблема в этом то можете конфигурировать скажем ntp между peer соответственно показав внутренныи интерфейс как source, или скажем ip sla icmp-echo src_ip_tun dst_ip_tun, итд.

"Ipsec Source Interface пинги с роутера в удалённую подсеть"
Отправлено Nerian , 15-Окт-10 09:22

По большому счёту просто интересно - это нормально, так у всех или нет?
А так тоже думаю ip sla с source-ip и для ssh указать source interface и проблем нет.