https://opennet.me/openforum/vsluhforumID6/1646.html Помогите чайнику ))<br>Встала задача поднять IPSec туннель с некоего маршрутизатора до маршрутизатора сиски. Проблема в том, что этот некий маршрутизатор не смотрит напрямую в тырнет, а находится где-то в локальной сети. В связи с этим вопрос: что нужно ещё во внутренней сети поднять для такой возможности при условии использования лишь одного "белого" IP адреса (в дальнейшем с этого же адреса поднимать другие туннели к другим офисам, которые друг о друге ничего не должны знать)? Два VLAN?<br>Планирую привязать единственный "белый" IP к loopback-интерфейсу, который будет в отдельной VRF. Сам(и) туннель(и) настраивать в собственном(ых) VRF с "серыми" IP, а потом биндить к этому loopback. Но как-то туманно всё же всё это себе представляю пока что ) Нужно экспериментировать, но нет прямого доступа к инету. Поэтому для начала хотелось бы понять что нужно для связанности с тырнетом. Два VLAN-а? Или для loopback это излишне и как-то его без этого пробросить, а вилан лишь один потребуется: с "серыми" адресами? Сильно не https://opennet.me/openforum/vsluhforumID6/1646.html#11 Tue, 10 Mar 2015 18:55:22 GMT &gt; В общем надо построить от одного внутреннего маршрутизатора несколько туннелей IPSec,<br>&gt; которые бы использовали всего один "белый" IP адрес (статический, специально выделенный <br>&gt; для этого) и ничего не знали друг о друге (поэтому несколько <br>&gt; VRF), никак не пересекались даже случайно. Картинку этого я бы сам <br>&gt; хотел увидеть.<br><br>NAT из той схемы убирайте и все будет работать.<br>Сейчас это выглядит как секс стоя в гамаке. <br><br>Multi VRF ipsec с одного адреса для всех VRF делается и даже вместе с Easy VPN. Не то чтобы прямо запросто, головой поработать придется. Софт нужен 15.2(4)m4, на более старом не пробовал.<br><br>Поиск по ключевым словам: IPSEC+VRF, CRYPTO PROFILE. <br>Документация как водиться на сайте вендора.<br> https://opennet.me/openforum/vsluhforumID6/1646.html#10 Tue, 10 Mar 2015 08:38:37 GMT &gt; Если не можешь сообразить, накидай нормальную схему. Ибо мне, например непонятно, на <br>&gt; кой черт у тебя за НАТом какой-то роутер с реальным IP <br>&gt; на лупбеке.<br>&gt; Мне проще посмотреть визуально чем разбирать словесный поток.<br><br>В том-то и беда )) Я бы сам хотел увидеть эту картинку ))) Какой адрес к чему привязан, где что терминируется, натится и т.д. - чтоб там было видно. О картинке и вопрошаю ))<br><br>В общем надо построить от одного внутреннего маршрутизатора несколько туннелей IPSec, L2TP, которые бы использовали всего один "белый" IP адрес (статический, специально выделенный для этого) и ничего не знали друг о друге (поэтому несколько VRF), никак не пересекались даже случайно. Картинку этого я бы сам хотел увидеть.<br> https://opennet.me/openforum/vsluhforumID6/1646.html#9 Tue, 10 Mar 2015 08:36:49 GMT &gt; Ничего не понятно. С исходными данными типа "поднять IPSec туннель с _некоего_ <br>&gt; _маршрутизатора_" лучше в спортлото обращаться. Сферический маршрутизатор в вакууме это <br>&gt; чистая теория. А вы просите практические советы.<br>&gt; По теории выходит что на "другом оборудовании в локальной сети" нужно настраивать: <br>&gt; IP адресацию, маршрутизацию и политики маршрутизации (при необходимости). Чтобы туннель <br>&gt; вышел через NAT - необходима поддержка NAT-T на пограничном маршрутизаторе. В <br>&gt; теории - все. Хотите большего - нужна конкретика.<br><br>Какого рода конкретика нужна? Меня интересует в общем как это должно выглядеть, а не на уровне команд конкретной модели - это я в документации наковыряю (надеюсь). NAT-T, допустим, работает. Конкретика: делаю один общий для всех туннелей VRF с loopback с внешним IP и для каждого туннеля свой отдельный VRF (туннели друг о друге знать ничего не должны совсем), который будет биндиться к этому loopback с внешним ("белым") IP (максимально экономим на "белых" IP). Каждому VRF нужно д https://opennet.me/openforum/vsluhforumID6/1646.html#8 Tue, 10 Mar 2015 06:50:18 GMT Если не можешь сообразить, накидай нормальную схему. Ибо мне, например непонятно, на кой черт у тебя за НАТом какой-то роутер с реальным IP на лупбеке.<br>Мне проще посмотреть визуально чем разбирать словесный поток.<br> https://opennet.me/openforum/vsluhforumID6/1646.html#7 Tue, 10 Mar 2015 06:41:59 GMT &gt;&gt; Обычный Lan2Lan настраивается также точно как и с реальным IP.<br>&gt; Можно для чайника чуть подробней. Речь не про сам маршрутизатор (что на <br>&gt; нём и как настраивать худо бедно понятно из примеров в документации), <br>&gt; от которого пойдёт туннель, а про другое оборудование в локальной сети. <br>&gt; На самом маршрутизаторе для одного туннеля в одном VRF на loopback-е <br>&gt; будет "белый" адрес /32 и на другом VRF диапазон "серых". На <br>&gt; отдельной железке поднят NAT. Ещё чего и нужно настраивать, чтобы туннель <br>&gt; вышел наружу без проблем?<br><br>Ничего не понятно. С исходными данными типа "поднять IPSec туннель с _некоего_ _маршрутизатора_" лучше в спортлото обращаться. Сферический маршрутизатор в вакууме это чистая теория. А вы просите практические советы. <br>По теории выходит что на "другом оборудовании в локальной сети" нужно настраивать: IP адресацию, маршрутизацию и политики маршрутизации (при необходимости). Чтобы туннель вышел через NAT - необходима поддержка NAT-T на пограничном маршрутизаторе. В теории - все. Хоти https://opennet.me/openforum/vsluhforumID6/1646.html#6 Tue, 10 Mar 2015 05:00:54 GMT &gt; Обычный Lan2Lan настраивается также точно как и с реальным IP.<br><br>Можно для чайника чуть подробней. Речь не про сам маршрутизатор (что на нём и как настраивать худо бедно понятно из примеров в документации), от которого пойдёт туннель, а про другое оборудование в локальной сети. На самом маршрутизаторе для одного туннеля в одном VRF на loopback-е будет "белый" адрес /32 и на другом VRF диапазон "серых". На отдельной железке поднят NAT. Ещё чего и нужно настраивать, чтобы туннель вышел наружу без проблем?<br> https://opennet.me/openforum/vsluhforumID6/1646.html#5 Tue, 10 Mar 2015 04:26:16 GMT &gt; Всем откликнувшимся - спасибо. Но хотелось бы всё же понять что настраивать <br>&gt; для возможности прокинуть туннель IPSec<br><br>Обычный Lan2Lan настраивается также точно как и с реальным IP.<br> https://opennet.me/openforum/vsluhforumID6/1646.html#4 Tue, 10 Mar 2015 03:53:02 GMT Всем откликнувшимся - спасибо. Но хотелось бы всё же понять что настраивать для возможности прокинуть туннель IPSec (да и L2TP тоже) от этого внутреннего маршрутизатора наружу до цисок в инете, в удалённых офисах? VLAN-ы? Сколько?<br><br>У этого маршрутизатора есть специальные платы для шифрования IPSec, там тысячи туннелей можно построить, согласно документации да и в самой документации в качестве примера тоже описано применение loopback. Так что тут проблем быть не должно ...вроде.<br> https://opennet.me/openforum/vsluhforumID6/1646.html#3 Mon, 09 Mar 2015 21:17:43 GMT &gt;[оверквотинг удален]<br>&gt; VRF. Сам(и) туннель(и) настраивать в собственном(ых) VRF с "серыми" IP, а <br>&gt; потом биндить к этому loopback. Но как-то туманно всё же всё <br>&gt; это себе представляю пока что ) Нужно экспериментировать, но нет прямого <br>&gt; доступа к инету. Поэтому для начала хотелось бы понять что нужно <br>&gt; для связанности с тырнетом. Два VLAN-а? Или для loopback это излишне <br>&gt; и как-то его без этого пробросить, а вилан лишь один потребуется: <br>&gt; с "серыми" адресами? Сильно не бейте - я чайник пока что. <br>&gt; Не предлагайте и заняться этим делом кому-то более продвинутому ) Это <br>&gt; должен сделать я. Гуглил - нужного мне не нашёл ( <br>&gt; Картиночку бы всего этого найти.<br><br>Cisco не советует на loopback вешать что-то что потребуется в работе ната или других трудных вещей. Все что будет на loopback будет обрабатываться через процессор минуя cef. Если трафик будет большой, можно положить железку.<br><br>