https://opennet.me/openforum/vsluhforumID6/17688.html Задача:<br>Связать центральный маршрутизатор с филиальным. Филиальный имеет динамический IP внешний, так что статические тунели не подходят. В сетке давно работает динамическая маршрутизация OSPF, корп-сетка 10/8, ария одна на всех 0.0.0.0. Железки 2801 на обоих концах.<br><br>В общем и целом,если не считать мелких трудностей, задача решена использованием L2TP:<br><br>server:<br><br>!<br>vpdn enable<br>!<br>vpdn-group l2tp<br>! Default L2TP VPDN group<br> accept-dialin<br> protocol l2tp<br> virtual-template 1<br> no l2tp tunnel authentication<br> l2tp tunnel receive-window 1024<br>!<br>!<br>interface Loopback1<br> ip address 10.35.13.1 255.255.255.0<br> ip ospf network point-to-point<br>!<br>interface Virtual-Template1<br> description l2tp_template<br> mtu 1200<br> ip unnumbered Loopback1<br> ip ospf network point-to-point<br> peer default ip address pool vpn<br> ppp authentication chap callin vpn<br> ppp authorization vpn<br> ppp accounting vpn<br> ppp ipcp mask 255.255.255.0<br>!<br>ip local pool vpn 10.35.13.100 10.35.13.200<br><br><br>client:<br><br>!<br>ip dhcp pool LOCAL<br> impo https://opennet.me/openforum/vsluhforumID6/17688.html#9 Fri, 28 Nov 2008 12:39:40 GMT &gt;Почему не статику? Потому что не комильфо это. Надо так чтоб конфиг <br>&gt;типовой вбил и не напрягался выясняя какой IP из тунельного диапазона <br>&gt;свободен, а то можно ненароком и вырубить кого нибудь. <br><br>Документируйте, батенька, документируйте :)<br> https://opennet.me/openforum/vsluhforumID6/17688.html#8 Fri, 28 Nov 2008 10:31:12 GMT &gt;ответ на первый вопрос найдете - cisco.com/go/fn <br>&gt;на второй, начните с поиска нужной технологии - cisco.com/go/srnd <br>&gt;<br>&gt;&gt;&gt;Задача решается с помощью mGRE и NHRP. или как это называет циска <br>&gt;&gt;&gt;DMVPN <br>&gt;&gt;<br>&gt;&gt;Вот это интересней уже, хотя надо проверить в какой версии IOS и <br>&gt;&gt;с каким набором фич это робит. <br>&gt;&gt;А клиентам IP динамически раздавать можно? А как насчет авторизации там? <br><br>Про IPSec я уже понял.<br>А про IPшники на тоннелях, можно более конкретный хинт? Может можно на центральном рутере DHCP поднять, чтоб на туннеле выдавал адреса?<br><br>Почему не статику? Потому что не комильфо это. Надо так чтоб конфиг типовой вбил и не напрягался выясняя какой IP из тунельного диапазона свободен, а то можно ненароком и вырубить кого нибудь.<br> https://opennet.me/openforum/vsluhforumID6/17688.html#7 Fri, 28 Nov 2008 08:54:23 GMT ответ на первый вопрос найдете - cisco.com/go/fn<br>на второй, начните с поиска нужной технологии - cisco.com/go/srnd<br><br>&gt;&gt;Задача решается с помощью mGRE и NHRP. или как это называет циска <br>&gt;&gt;DMVPN <br>&gt;<br>&gt;Вот это интересней уже, хотя надо проверить в какой версии IOS и <br>&gt;с каким набором фич это робит. <br>&gt;А клиентам IP динамически раздавать можно? А как насчет авторизации там? https://opennet.me/openforum/vsluhforumID6/17688.html#6 Fri, 28 Nov 2008 08:54:01 GMT а зачем на тунеле динамический IP ?!? это решение если внешний димамический, а нужен постоянный тунель. авторизации нет, но легко вешается крипто на тунель с прешаред кеем.<br><br>&gt;Вот это интересней уже, хотя надо проверить в какой версии IOS и <br>&gt;с каким набором фич это робит. <br>&gt;А клиентам IP динамически раздавать можно? А как насчет авторизации там? https://opennet.me/openforum/vsluhforumID6/17688.html#5 Fri, 28 Nov 2008 07:42:12 GMT &gt;Задача решается с помощью mGRE и NHRP. или как это называет циска <br>&gt;DMVPN <br><br>Вот это интересней уже, хотя надо проверить в какой версии IOS и с каким набором фич это робит.<br>А клиентам IP динамически раздавать можно? А как насчет авторизации там?<br><br> https://opennet.me/openforum/vsluhforumID6/17688.html#4 Fri, 28 Nov 2008 06:38:28 GMT Задача решается с помощью mGRE и NHRP. или как это называет циска DMVPN<br><br>сервер<br><br>interface Tunnel1234<br> ip address 10.10.10.1 255.255.255.0<br> ip nhrp map multicast dynamic<br> ip nhrp network-id 1234<br> ip nhrp holdtime 300<br> ip nhrp server-only<br> ip tcp adjust-mss 1380<br> ip ospf network broadcast<br> ip ospf cost 5500<br> ip ospf priority 1<br> ip ospf 1 area 0<br> load-interval 30<br> tunnel source Fa 0/0 ( ext addr 192.168.1.2 )<br> tunnel mode gre multipoint<br>end<br><br>клиент<br><br>interface Tunnel1234<br> ip address 10.10.10.10 255.255.255.0<br> ip nhrp map multicast 192.168.1.2<br> ip nhrp map 10.10.10.1 192.168.1.2<br> ip nhrp network-id 1234<br> ip nhrp holdtime 300<br> ip nhrp nhs 192.168.1.2<br> ip nhrp registration timeout 120<br> ip ospf network broadcast<br> ip ospf cost 5500<br> ip ospf priority 0<br> tunnel source Fa 0/1 ( ext addr 192.168.100.2 )<br> tunnel mode gre multipoint<br>end<br> https://opennet.me/openforum/vsluhforumID6/17688.html#3 Fri, 28 Nov 2008 05:49:33 GMT &gt;А что мешает повесить на loop /32 адрес? <br><br>С которой стороны?<br>Со стороны клиента не получается, DHCP пул тогда не работает, пишет что маска неверная.<br>Если PPP интерфейсы не делать unnumbered, то OSPF на PPP не работает принципиально на циске.<br> https://opennet.me/openforum/vsluhforumID6/17688.html#2 Thu, 27 Nov 2008 18:10:18 GMT луппбек анонсится с 24 сетью потому что ты вбил на нем<br> ip osp net point-to-point<br>поставь ip osp ne bro и он будет анонсится как /32 в независимости от вбитой битовой маски <br><br>&gt;[оверквотинг удален]<br>&gt;и из-за этого пакеты к другим PPP пирам центрального маршрутизатора не уходят <br>&gt;никуда, а пропадают на лупбеке. <br>&gt;Сетку 10.35.13.0/24 сервер экспортит в OSPF, и все участники протокола ее принимают, <br>&gt;кроме PPP пиров (видимо из-за того, что она у них connected). <br>&gt;<br>&gt;<br>&gt;Как вариант решения промблемы может есть какая-то возможность на филиальной кисе отрубить <br>&gt;публикацию connected маршрута на интерфейсе loopback1? <br>&gt;<br>&gt;Может есть более правильное решение используя 2801 с обеих сторон? <br><br> https://opennet.me/openforum/vsluhforumID6/17688.html#1 Thu, 27 Nov 2008 13:53:33 GMT &gt;[оверквотинг удален]<br>&gt;и из-за этого пакеты к другим PPP пирам центрального маршрутизатора не уходят <br>&gt;никуда, а пропадают на лупбеке. <br>&gt;Сетку 10.35.13.0/24 сервер экспортит в OSPF, и все участники протокола ее принимают, <br>&gt;кроме PPP пиров (видимо из-за того, что она у них connected). <br>&gt;<br>&gt;<br>&gt;Как вариант решения промблемы может есть какая-то возможность на филиальной кисе отрубить <br>&gt;публикацию connected маршрута на интерфейсе loopback1? <br>&gt;<br>&gt;Может есть более правильное решение используя 2801 с обеих сторон? <br><br>А что мешает повесить на loop /32 адрес?<br>