У нас разворачивают SMS сервер для удаленного администрирования рабочего места пользователя. Собрали стенд.Сервер SMS-192.168.3.2/24; DG=192.168.3.1
|
Комутатор
|
Cisco1721
Fa0=192.168.3.1/24
eth0=192.168.2.2/24
|
Шлюз на FreeBSD (изображает роутеры интернета+для шейпинга трафика)
интерфейс1=192.168.2.1/24
интерфейс1=192.168.1.1/24
|
Cisco1721
eth0=192.168.1.2/24
Fa0=192.168.0.1/24
|
Коммутатор
|
Домен контроллер удаленной площадки ip=192.168.0.2
рабочее место пользователя ip=192.168.0.3Обе циски настроены так, чтобы обмен траффиком между сетями 192.168.0.0 и 192.168.3.0 шел через ipsec.
результат-ничего не работает. Исключили циски, оставили FreeBSD. На ней запустили tcpdump на обоих интерфейсах. На одном интерфейсе поймали что с SMS сервера приходять мультикастовые пакеты с адресами назначения вида 224.0.0.5 и 339.255.255.255. со второго интерфейса эти пакеты не уходят.
Думаю нужно настраивать циски, чтобы они пробласывали мультикастовые пакеты из 192.168.3.0 в 192.168.0.0. Как это сделать.
>мультикастовые пакеты с адресами назначения вида 224.0.0.5 и
этот адрес для всех OSPF маршрутизаторов
>339.255.255.255. со второго
такого адреса не существует
>Как это сделать.
ip multicast-routing
>>мультикастовые пакеты с адресами назначения вида 224.0.0.5 и
>этот адрес для всех OSPF маршрутизаторов
>>339.255.255.255. со второго
>такого адреса не существует239, конечно.
>>Как это сделать.
>ip multicast-routingи все? А как написать, чтоб они по ipsec шли?
Я имел ввиду, что скорее всего эти пакеты к вашим SMS данным отношения не имеют. Или у Вас там есть OSPF?
А что не работает? Может мультикаст и не нужен? А туннель то поднялся?(sh int) Приведите пример трассы из 0 сети в 3.
>А что не работает? Может мультикаст и не нужен? А туннель то
>поднялся?(sh int) Приведите пример трассы из 0 сети в 3.
туннель поднялся-100%. но sms не работает. Тогда мы коммутаторы напрямую между собой соединили и запустили сниффер на sms сервере и одновременно на рабочем месте пользователя. Траффик вполне обычный, за исключением мультикастов. поэтому я подумал, что проблема в них. может я конечно ошибаюсь, но пока в голову ничего другого не приходит.
Что гадать... Приведите результаты комманд show & trace...
>Что гадать... Приведите результаты комманд show & trace...crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key KEY address 192.168.2.2
!
!
crypto ipsec transform-set KEYSEC esp-des esp-md5-hmac
!
crypto map MAP1 local-address Ethernet0
crypto map MAP1 10 ipsec-isakmp
set peer 192.168.2.2
set transform-set KEYSEC
match address IPSEC
!
!
!
!
interface Ethernet0
ip address 192.168.1.2 255.255.255.0
ip nat outside
full-duplex
no cdp enable
crypto map MAP1
!
interface FastEthernet0
ip address 192.168.0.1 255.255.255.0
ip nat inside
speed auto
no cdp enable
!
ip nat inside source list PAT interface Ethernet0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.1.1
no ip http server
no ip http secure-server
!
!
!
ip access-list extended IPSEC
permit ip 192.168.0.0 0.0.0.255 192.168.3.0 0.0.0.255
ip access-list extended PAT
deny ip 192.168.0.0 0.0.0.255 192.168.3.0 0.0.0.255
permit ip 172.30.25.224 0.0.0.31 any
!
access-list 50 permit 192.168.0.0 0.0.0.255
access-list 50 permit 192.168.1.0 0.0.0.255
на второй все аналогично.трассировка с 192.168.3.2 выглядит так
tracert 192.168.0.2
192.168.3.1
192.168.0.2
>Я имел ввиду, что скорее всего эти пакеты к вашим SMS данным
>отношения не имеют. Или у Вас там есть OSPF?
нету. По крайней мере я ничего не настраивал.