Новые ответы

ospf на ipsec mode Tunnel,

shadow_alone, 19-Май-10, 21:35 [смотреть все]

Доброго всем!
Вопрос такой:
Есть несколько ipsec соединений с рутера 2811 в тунельном режиме net2net, то есть маршрутов на другую сторону нет, все идет через ACL match addesses в crypto map. Всё прекрасно, всё работает, НО, так как тунелей много, то приходиться на серверах за 2811 постоянно прописывать static routes для адресов за новыми тунелями. Это все достало. OSPF поднят на серверах и они получают с рутера static маршруты, а вот маршруты на сети за IPSEC mode tunnel не передаются, их просто нет, даж на самом рутере, идет тунельный режим. Что бы такое сделать чтоб добавить эти маршруты в ospf , чтоб раздавалось на сервера.
Есть так же GRE за ipsec , mode transport, и ними все нормально, они передаются. Естественно, потому что, на рутере есть static routes для этих сетей через интерфейсы Tunnel 1-2-3 и т.д.
Одним словом, может кто что-то присоветует по этому поводу, а то уже устал везде прописывать статические маршруты.

Ответить | Сообщить модератору

ospf на ipsec mode Tunnel, Pve1, 10:25 , 20-Май-10 (1)
>[оверквотинг удален]
>нет, даж на самом рутере, идет тунельный режим. Что бы такое
>сделать чтоб добавить эти маршруты в ospf , чтоб раздавалось на
>сервера.
>
>Есть так же GRE за ipsec , mode transport, и ними все
>нормально, они передаются. Естественно, потому что, на рутере есть static routes
>для этих сетей через интерфейсы Tunnel 1-2-3 и т.д.
>
>Одним словом, может кто что-то присоветует по этому поводу, а то уже
>устал везде прописывать статические маршруты.
1. Какие маршруты на серверах? Зачем? У них должен быть только шлюз. Все маршруты должны быть на сетевом оборудовании.
2. Если хотите динамический роутинг через VPN - вам нужен шифрованный GRE-тунель.
Погуглите про DMVPN (Dynamic multipoint VPN)
Ответить | Сообщить модератору

ospf на ipsec mode Tunnel, shadow_alone, 18:40 , 20-Май-10 (2)
>1. Какие маршруты на серверах? Зачем? У них должен быть только
>шлюз. Все маршруты должны быть на сетевом оборудовании.
>2. Если хотите динамический роутинг через VPN - вам нужен шифрованный GRE-тунель.
>
>
>Погуглите про DMVPN (Dynamic multipoint VPN)
1. А у Вас всё исключительно имеет один шлюз - поздравляю, бинго.
2. Давайте как по делу а... если б, можно было GRE, я б сделал GRE и не парился.
Вы хоть поняли что я спросил и на что Вы ответили?
Вы хоть понимаете разницу в mode tunnel и mode transport в ipsec? Помоему нет, совсем нет.
Ответить | Сообщить модератору

ospf на ipsec mode Tunnel, Дмитрий, 18:53 , 20-Май-10 (3)
в OSPF прописано redistribute static?
Ответить | Сообщить модератору

ospf на ipsec mode Tunnel, j_vw, 19:44 , 20-Май-10 (4)
> OSPF поднят на серверах и они получают с рутера static маршруты
Бред какой то....
Конфиг и "хотелки выкладываем...." ;)
Ответить | Сообщить модератору

ospf на ipsec mode Tunnel, j_vw, 19:45 , 20-Май-10 (5)
Subj
Ответить | Сообщить модератору

Извиняюсь.... Заголовок не поправил...., j_vw, 19:49 , 20-Май-10 (6)
Хотел опубликовать в "корень"
>Subj
Ответить | Сообщить модератору

ospf на ipsec mode Tunnel, shadow_alone, 20:18 , 20-Май-10 (7)
>> OSPF поднят на серверах и они получают с рутера static маршруты
>
>Бред какой то....
>Конфиг и "хотелки выкладываем...." ;)
конфиг слишком большой, но примерно начертаю чтоб понятно было
на рутере:
```
Interface fa0/0
  desc External
  xxx
  xxx
  crypto map mymapInterface fa0/1
  desc Internal
  xxx
  ip address 10.19.1.1 255.255.255.240

crypto map mymap 16 ipsec-isakmp 
 set peer X.X.X.X
 set transform-set xxx 
 match address my-addresses

ip access-list extended my-addresses
 permit ip 10.19.1.0 0.0.0.15 192.168.3.0 0.0.0.255
```
На серваке:
```
ip ro add 192.168.3.0/24 via 10.19.1.1
```
Все нормально работает.
Хочу не добавлять данный маршрут на серваке, а чтоб брал по OSPF.
Еще раз внимательно читаем - mode tunnel - то есть маршрутов на рутере нет на подсеть 192.168.3.0/24, все идет исключительно по ACL. Соответственно OSPF не передает ничего, вернее передает то что коннектед и статик.
эти маршруты видны только по
```
sh cry rule
```
Умников, которые еще не дошли до этого уровня, просьба идти лесом - пожалуйста.
c GRE все работает, но не со всеми возможен GRE, у некоторых на той стороне стоит ASA, которая не поддерживает GRE.
UPD: этот рутер не является единственным шлюзом для данного сервака.
Ответить | Сообщить модератору

ospf на ipsec mode Tunnel, Дмитрий, 21:00 , 20-Май-10 (9)
Это Easy VPN, динамика пахать не будет.
Ответить | Сообщить модератору

ospf на ipsec mode Tunnel, shadow_alone, 21:05 , 20-Май-10 (10)
>Это Easy VPN, динамика пахать не будет.
То есть даж "обмануть" никак нельзя, чтоб рутер передал эти маршруты (вписать их куда-нить,например).
Жаль.
Спасибо.
Ответить | Сообщить модератору

ospf на ipsec mode Tunnel, shadow_alone, 20:19 , 20-Май-10 (8)
>в OSPF прописано redistribute static?
Само собой... только этих маршрутов на самом рутере нет, я писал выше, все рулиться по ACL
Ответить | Сообщить модератору