OpenForum RSS: IPSec туннель между подсетью и точкой (Zyxel 334 и Cisco 1751) https://opennet.me/openforum/vsluhforumID6/14217.html Доброго времени суток!<br><br>Был закуплен простенький роутер для филиала Zyxel 334, умеющий прокидывать IPSec туннель только к одному IP адресу.<br><br>Попытался настроить cisco на такой туннель - столкнулся с тем, что туннель по логам на Zyxel и Cisco устанавливается, но пинги до нужного хопа не идут. Может быть для peer - site туннеля нужны другие настройки?<br><br>Локальная сеть - 192.168.0/24<br>Удалёная - 192.168.3/24, хост с которым должен быть туннель - 192.168.3.99<br><br>sh ru<br><br><br>!<br>! Last configuration change at 22:42:14 UTC Tue Aug 14 2007 by root<br>! NVRAM config last updated at 22:51:23 UTC Mon Aug 6 2007 by root<br>!<br>version 12.3<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>no service password-encryption<br>!<br>hostname CiscoOffice<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>enable secret 5 xxxxxxxxx<br>!<br>username root secret 5 xxxxx<br>memory-size iomem 20<br>mmi polling-interval 60<br>no mmi auto-configure<br>no mmi pvc<br>mmi snmp-timeout 180<br>aaa new-model<br>!<br>!<br>aaa authentication login a IPSec туннель между подсетью и точкой (Zyxel 334 и Cisco 175... (LexeON) https://opennet.me/openforum/vsluhforumID6/14217.html#7 Fri, 03 Apr 2009 13:03:17 GMT &gt;Подскажите можно ли на Zyxel 334 так настроить VPN чтоб с компьютера <br>&gt;на WinXP через WAN попасть во внутреннюю сеть. Типа тоннель только <br>&gt;между компом и роутером..... <br>&gt;Спасибо. <br><br>Если вопрос еще актуален... - я думаю, что возможно ipsec тунель между компом и зухом и поднимется. Но ПРЯМОЙ доступ ко всем компам во внутренней сети через зух все равно не получить. Потому что на этом зухе ipsec сделан так, что может выпустить в ipsec туннель только один комп из своей локалки. Но если этим компом будет, например, RAS сервер,<br>то с WinXP можно настроить еще одно соединение (например PPTP)уже на RAS сервер, внутри уже установленного ipsec тунеля и уже через RAS получить доступ ко все локалке. Изврат, конечно,<br>но возможно сработает.<br><br> IPSec туннель между подсетью и точкой (Zyxel 334 и Cisco 175... (шпщпщ) https://opennet.me/openforum/vsluhforumID6/14217.html#6 Fri, 13 Feb 2009 17:03:48 GMT Подскажите можно ли на Zyxel 334 так настроить VPN чтоб с компьютера на WinXP через WAN попасть во внутреннюю сеть. Типа тоннель только между компом и роутером.....<br>Спасибо.<br> IPSec туннель между подсетью и точкой (Zyxel 334 и Cisco 175... (radiogen) https://opennet.me/openforum/vsluhforumID6/14217.html#5 Tue, 22 Jan 2008 21:59:20 GMT <br>&gt;Я не имел дела с DI-804HV, т.е. возможностей его не знаю, но <br>&gt;в принципе, IMHO для того чтобы из офиса A попасть в <br>&gt;Инет, нужно где то этот офис заNATить (т.е в офисе B). <br>&gt;С другой стороны, NAT работает между интерфейсами, обьявленными как inside и <br>&gt;outside, как известно. Т.е.трафик с ip 192.168.11.33 должен сначала попасть на <br>&gt;inside интерфейс рутера DI-804HV. Если на DI-804HV есть возможность настроить политику <br>&gt;маршрутизации таким образом, чтобы трафик приходящий из VPN тунеля сначала рутился <br>&gt;на inside интерфейс, то наверно это сработает. Иначе, увы... <br><br>спасибо за мудрый совет. я почему то не додумался что узкое место тут может быть в Dlink. маршрутизацию в Dlink прописать можно, вообщем сейчас испытаю еще один вариант.<br><br> IPSec туннель между подсетью и точкой (Zyxel 334 и Cisco 175... (LexeION) https://opennet.me/openforum/vsluhforumID6/14217.html#4 Tue, 22 Jan 2008 04:12:00 GMT <br>&gt;Как сделать так, чтобы компьютер офиса А работал в Интернете через офис <br>&gt;В? Т.е. как можно направить весь трафик из офиса А в <br>&gt;офис В через VPN-туннель, для того чтобы потом перенаправить его в <br>&gt;Интернет? <br>&gt;<br><br>Я не имел дела с DI-804HV, т.е. возможностей его не знаю, но в принципе, IMHO для того чтобы из офиса A попасть в Инет, нужно где то этот офис заNATить (т.е в офисе B). С другой стороны, NAT работает между интерфейсами, обьявленными как inside и outside, как известно. Т.е.трафик с ip 192.168.11.33 должен сначала попасть на inside интерфейс рутера DI-804HV. Если на DI-804HV есть возможность настроить политику маршрутизации таким образом, чтобы трафик приходящий из VPN тунеля сначала рутился на inside интерфейс, то наверно это сработает. Иначе, увы...<br><br> IPSec туннель между подсетью и точкой (Zyxel 334 и Cisco 175... (radiogen) https://opennet.me/openforum/vsluhforumID6/14217.html#3 Mon, 21 Jan 2008 17:06:48 GMT &gt;[оверквотинг удален]<br>&gt;пинг от <br>&gt;компа в удаленной локалке на компы в сеть центрального офиса ходил без <br>&gt;проблем. <br>&gt;Другой трафик не пробовал, не было необходимости, так чисто из любопытства... <br>&gt;Но у меня на зухе в 1-й фазе ike стоял DES+MD5, а <br>&gt;во 2-й AH+MD5, а не ESP как у тебя. <br>&gt;Ну, и мапить надо точно одинаково с обоих сторон. Если на цыске <br>&gt;permit ip 192.168.0.0 0.0.0.255 host 192.168.3.99, то на зухе тоже в <br>&gt;полях начало-конец 192.168.0.0 255.255.255.0 должно. А в конфиге цыски я <br>&gt;криминала не вижу... <br><br>Вопрос: <br>Имеются два офиса (назовем их офис A(Zyxel P334) и офис B(DI-804HV)) подключенных к Интернету через PPTP.Офис B(DI-804HV) имеет статический IP . Между этими офисами установлен VPN-туннель через IPSec. Точка входа одиночный компьютер за Zyxel и выход на всю подсеть офиса B(DI-804HV). <br>Как сделать так, чтобы компьютер офиса А работал в Интернете через офис В? Т.е. как можно направить весь трафик из офиса А в офис В через VPN-туннель, для того чтобы потом перенаправить его в IPSec туннель между подсетью и точкой (Zyxel 334 и Cisco 175... (LexeION) https://opennet.me/openforum/vsluhforumID6/14217.html#2 Wed, 16 Jan 2008 01:41:28 GMT Если тема еще не устарела....<br> У меня тунель работал между P-334 и cisco877. По крайней мере пинг от <br>компа в удаленной локалке на компы в сеть центрального офиса ходил без проблем.<br>Другой трафик не пробовал, не было необходимости, так чисто из любопытства...<br>Но у меня на зухе в 1-й фазе ike стоял DES+MD5, а во 2-й AH+MD5, а не ESP как у тебя.<br>Ну, и мапить надо точно одинаково с обоих сторон. Если на цыске permit ip 192.168.0.0 0.0.0.255 host 192.168.3.99, то на зухе тоже в полях начало-конец 192.168.0.0 255.255.255.0 должно. А в конфиге цыски я криминала не вижу...<br> IPSec туннель между подсетью и точкой (Zyxel 334 и Cisco 175... (bfc) https://opennet.me/openforum/vsluhforumID6/14217.html#1 Thu, 16 Aug 2007 08:26:42 GMT Тунель между 334-м и циско у меня не работатает. Это глюк 334-го, занимался ими год назад. Тунель устанавливается а пакеты в тунель зухель не бросает. Это хорошо видно сниффером. Попытка общаться с суппортом Зухель.ру ни к чему не привела. Обновление прошивки с тем же результатом. Они говорят что 334-й с зеволами работает без проблем. Плюнул взял длинки 804-е, заработало с полпика. <br>