Помогите разобраться.
Мне надо чтобы трафик который генерирует сама циска (VPN) ходил только через определённый интерфейс, только к одному провайдеру, а не по дефолту.
Конфиг такой:
interface GigabitEthernet0/0.2
encapsulation dot1Q 2
ip address 82.222.222.214 255.255.255.252
no ip unreachables
ip flow ingress
ip policy route-map VPNtoSklad
no cdp enable
crypto map Skladaccess-list 167 permit ip host 82.222.222.214 host 87.233.2.57
access-list 167 deny ip any anyroute-map VPNtoSklad permit 5
match ip address 167
set ip next-hop 82.222.222.213делаю:
ping 87.233.2.57 source GigabitEthernet0/0.2
пинг проходит...
затем смотрю:
sh access-list 167
и получаю:
Extended IP access list 167
10 permit ip host 82.222.222.214 host 87.233.2.57
20 deny ip any any (2365681 matches)
Т.е. ничего в него не попадает.
Почему?
Да, знаю что на интерфейсе ещё криптомап висит, но он же должен применяться после рутмапа..
для отбора трафика который генериться циской используйте ip local policy
> для отбора трафика который генериться циской используйте ip local policyЯ так попробовал, пакеты стали попадать а ACL, но не все.
Наверное тут и правда дело в криптомапе...Но тут не всё просто, т.к. с той стороны стои комп с Windows и с ним через тунельный интерфейс не настроить (ну или настроить, но как я не знаю)
Через стандартные IPSEC туннели PBR не работает и работать не будет, т.к crypto map срабатывает после всего, в том числе и после роутинга. При этом все next-hop, назначенные на этапе маршрутизации, игнорируются. Трафик распределяется crypto map-ом по peer-ам в соответствии с Crypto ACL.Выход: использовать GRE+IPSEC, т.к. распределение трафика делается именно роутингом на нужный туннельный интерфейс. Соответственно, можно будет использовать PBR.
> Через стандартные IPSEC туннели PBR не работает и работать не будет, т.к
> crypto map срабатывает после всего, в том числе и после роутинга.
> При этом все next-hop, назначенные на этапе маршрутизации, игнорируются. Трафик распределяется
> crypto map-ом по peer-ам в соответствии с Crypto ACL.
> Выход: использовать GRE+IPSEC, т.к. распределение трафика делается именно роутингом на
> нужный туннельный интерфейс. Соответственно, можно будет использовать PBR.Моя проблема решилась бы, если бы можно было настроить стандартный IPSEC туннель через внутренний интерфейс циски, но сколько я не бился у меня не получилось.
Я бы через туннель решил задачу.crypto isakmp key QWERTY address 87.233.2.57
crypto ipsec transform-set P2P esp-aes comp-lzs
crypto ipsec profile P2P
set transform-set P2Pip route 87.233.2.57 255.255.255.255 82.222.222.213
int tu111
ip addr 1.1.1.1 255.255.255.252
tunnel source 82.222.222.214
tunnel destination 87.233.2.57
tunnel mode ipsec ipv4
tunnel protection ipsec profile P2Pну и на той стороне симметрично. Весь полезный трафик просто заворачивать ip route xx xx Tu111, нет гемороя с крипто-мапами.
>[оверквотинг удален]
> затем смотрю:
> sh access-list 167
> и получаю:
> Extended IP access list 167
> 10 permit ip host 82.222.222.214 host 87.233.2.57
> 20 deny ip any any (2365681 matches)
> Т.е. ничего в него не попадает.
> Почему?
> Да, знаю что на интерфейсе ещё криптомап висит, но он же должен
> применяться после рутмапа..
>[оверквотинг удален]
> set transform-set P2P
> ip route 87.233.2.57 255.255.255.255 82.222.222.213
> int tu111
> ip addr 1.1.1.1 255.255.255.252
> tunnel source 82.222.222.214
> tunnel destination 87.233.2.57
> tunnel mode ipsec ipv4
> tunnel protection ipsec profile P2P
> ну и на той стороне симметрично. Весь полезный трафик просто заворачивать ip
> route xx xx Tu111, нет гемороя с крипто-мапами.Я бы тоже так сделал, но на той стороне сервер под виндами и он такого делать не умеет...наверное.
100% не умеет :) Купить 871? Хотя владельцы бизнеса как всегда режут бюджет под ноль.
Как вариант: PPTP или L2TP + IPSec, винда вполне умеет
> Как вариант: PPTP или L2TP + IPSec, винда вполне умеетСейчас так и настроено (L2TP + IPSec), просто как в связи с этим применить Tunnel на циске я не очень понимаю.