https://ssl.opennet.dev/openforum/vsluhforumID6/21770.html Добрый день!<br><br>Настроен самый обычный что ни наесть IPSec между двумя роутерами. R1 и R2.<br><br>Проблема уверен распространнёная и заключаеться в следующем.<br><br>Так как в обоих сторонах ACL для VPN выглядят как:<br>на одной:<br>access-list 101 permit 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255<br>на другой:<br>access-list 101 permit 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255<br><br>а у самих роутеров на внешних интерфесах адресса 88.88.88.88 и 77.77.77.77<br><br>то тунель поднимаеться, только если хосты за роутерами начнут обмен.<br><br>а между самими роутерами пинга нету, т.к. по умолчанию source адресс идёт внешнего адресса, и следовательно трафик не заворачиваеться в ip sec тунель. да и позадумке если изменить acl и заворачивать его туда - в любом случае получиться что он придёт на удалённый роутер с внешним ип адресом, и тот не сможет вернуть ему ответ.<br><br>если делать ping 77.77.77.77 source-interface fa0/0 (где ип 192.168.0.1) то пинг пойдёт...<br><br>Собственно вопрос: можно ли как нибудь указать что source interface для всех па https://ssl.opennet.dev/openforum/vsluhforumID6/21770.html#2 Fri, 15 Oct 2010 05:22:53 GMT По большому счёту просто интересно - это нормально, так у всех или нет?<br><br>А так тоже думаю ip sla с source-ip и для ssh указать source interface и проблем нет.<br> https://ssl.opennet.dev/openforum/vsluhforumID6/21770.html#1 Fri, 15 Oct 2010 04:56:16 GMT &gt;[оверквотинг удален]<br>&gt; а у самих роутеров на внешних интерфесах адресса 88.88.88.88 и 77.77.77.77<br>&gt; то тунель поднимаеться, только если хосты за роутерами начнут обмен.<br>&gt; а между самими роутерами пинга нету, т.к. по умолчанию source адресс идёт<br>&gt; внешнего адресса, и следовательно трафик не заворачиваеться в ip sec тунель.<br>&gt; да и позадумке если изменить acl и заворачивать его туда -<br>&gt; в любом случае получиться что он придёт на удалённый роутер с<br>&gt; внешним ип адресом, и тот не сможет вернуть ему ответ.<br>&gt; если делать ping 77.77.77.77 source-interface fa0/0 (где ип 192.168.0.1) то пинг пойдёт...<br>&gt; Собственно вопрос: можно ли как нибудь указать что source interface для всех<br>&gt; пакетов это fa0/0 (где внутренний ип маршрутизатора)?<br><br>честно говоря не понял в чем проблема? вы хотите что туннель всегда была поднята? если проблема в этом то можете конфигурировать скажем ntp между peer соответственно показав внутренныи интерфейс как source, или скажем ip sla icmp-echo src_ip_tun dst_ip_tun, итд.<br>