форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Как отправить трафик на IPSec туннель"

Сообщение от _RAW_ (ok) on 29-Дек-07, 10:20

есть cisco 7206. Интерфейсы настроены так: interface FastEthernet0/0 description LAN ip address 192.168.1.1 255.255.255.0 secondary ip address 192.168.2.1 255.255.255.0 secondary ip address 192.168.0.1 255.255.255.0 ip access-group 2 in ip accounting output-packets ip nat inside no ip mroute-cache ip policy route-map comcor-map duplex auto speed 100 ! interface FastEthernet0/1 description DMZ ip address 87.245.130.17 255.255.255.240 secondary ip address 77.108.71.1 255.255.255.240 ip access-group 101 in ip accounting output-packets no ip mroute-cache ip policy route-map comcor-map duplex auto speed 100 ! interface Serial1/0:0 description COMCOR bandwidth 2000 ip address 62.117.87.7 255.255.255.252 ip nat outside поднял туннельный интерфейс interface Tunnel0 ip address 10.3.2.9 255.255.255.192 no ip redirects ip accounting output-packets ip mtu 1416 ip nhrp authentication ocsic ip nhrp map 10.3.2.1 62.141.108.250 ip nhrp map multicast 62.141.108.250 ip nhrp network-id 24 ip nhrp nhs 10.3.2.1 tunnel source 62.117.87.7 tunnel destination 62.141.108.250 tunnel key 543210 tunnel protection ipsec profile gre1 shared за тунелем есть сетка 172.16.0.0/16 надо осуществить видимость дмз зоны подключенной к FastEthernet0/1 и этой удаленной подсетки. маршрутизация прописана так: ip route 0.0.0.0 0.0.0.0 62.117.87.7 ip route 62.117.87.7 255.255.255.255 Serial1/0:0 ip route 77.108.71.0 255.255.255.240 FastEthernet0/1 ip route 87.245.130.0 255.255.255.224 FastEthernet0/1 добавил статический маршрут ip route 172.16.0.0 255.255.0.0 Tunnel0 теперь пингую машины из подсети 172.16.0.0 находясь на циске. но не пингую их же находясь на серверах в подсетках 77.108.71.0 и 87.245.130.0 насколько я понял у меня что то не так в таблице маршрутизации. скорее всего все что с этих двух подсетей пытается пойти на 172.16.0.0 уходит на маршрут в итернет, а именно ip route 0.0.0.0 0.0.0.0 62.117.87.7 как мне сделать так чтобы при обращении с подсетей 77.108.71.0 и 87.245.130.0 на подсеть 172.16.0.0 пакеты уходили на интерфейс Tunnel0 ?

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Как отправить трафик на IPSec туннель"

Сообщение от an (??) on 29-Дек-07, 10:33

>скорее всего все что с этих двух подсетей пытается пойти на >172.16.0.0 уходит на маршрут в итернет, а именно а вот с подсети 172.16.0.0 ОТВЕТНЫЕ пакеты в вашу DMZ в тунель кидаются? точно?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Как отправить трафик на IPSec туннель"
	Сообщение от _RAW_ (ok) on 03-Янв-08, 16:31
	>>скорее всего все что с этих двух подсетей пытается пойти на >>172.16.0.0 уходит на маршрут в итернет, а именно > >а вот с подсети 172.16.0.0 ОТВЕТНЫЕ пакеты в вашу DMZ в тунель >кидаются? точно? Этого к сожалению сказать не могу... Та сторона туннеля принадлежит другой организации и они не выдают своих секретов настройки оборудования. Хотя они конечно говорят что с их стороны все настроено мол, настраивайте у себя.. Но могу предположить что обратно пакеты идут хотя бы ко мне на циску, иначе с нее бы не было ответов на пинги хостов в подсети 172.16.0.0... С циски то я после настройки маршрута могу пинговать узлы этой подсетки а уже с хостов в дмз с моей стороны - нет... ломаю голову после новогодних праздников. пока не могу найти ответа. опыта маловато в работе с цисками.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Как отправить трафик на IPSec туннель"
	Сообщение от CrAzOiD (ok) on 03-Янв-08, 17:04
	>ломаю голову после новогодних праздников. пока не могу найти ответа. опыта маловато >в работе с цисками. покажите ACL 2 и ACL 101 причина похоже в них
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Как отправить трафик на IPSec туннель"
	Сообщение от _RAW_ (ok) on 04-Янв-08, 09:15
	> >>ломаю голову после новогодних праздников. пока не могу найти ответа. опыта маловато >>в работе с цисками. > >покажите ACL 2 и ACL 101 >причина похоже в них access-list 2 remark SDM_ACL Category=17 access-list 2 permit 192.168.0.12 access-list 2 deny   192.168.0.254 access-list 2 permit any access-list 101 permit ip any any log это айпишники проксей привешаные к еще одному интерфейсу на лан пользователей. через них все лезут в инет. но 2 аксесслист он как раз к интерфейсу который не смотрит в дмз... он смотрит в лан. по идее он не при чем.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Как отправить трафик на IPSec туннель"
	Сообщение от CrAzOiD (ok) on 04-Янв-08, 14:34
	ip policy route-map comcor-map а это что? покажите весь конфиг
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Как отправить трафик на IPSec туннель"
	Сообщение от _RAW_ (ok) on 04-Янв-08, 17:02
	>ip policy route-map comcor-map > >а это что? >покажите весь конфиг route-map comcor-map permit 20 match ip address 3 match interface Serial1/0:0 set default interface Serial1/0:0 где 3 - аксесслист для внутренних гейтвеев тоже access-list 3 permit 192.168.0.12 access-list 3 permit 192.168.0.16 но это все касательно интернал сетки. никоем образом не касается ДМЗ. из которой мне было бы интересно как раз получить доступ к дальней сети. обратите внимание на интерфейсы: все что мы сейчас обсуждаем касается interface FastEthernet0/0 к которому подключена LAN а меня интересует как источник пакетов interface FastEthernet0/1 к которому подключена DMZ конфиг могу выслать на мыло... он весьма длинный, тут не поместится кроме того что я уже показал есть еще наттинг из локальной сети наружу: ip nat log translations syslog ip nat pool comcor-space 62.117.87.7 62.117.87.7 netmask 255.255.255.252 ip nat inside source route-map comcor-map pool comcor-space overload для этого и объявлен route-map. но еще раз повторюсь - ВСЁ это для организации трафика от пары шлюзовых машин в локальной сети на интернет. Меня интересует как организовать трафик между дмз и удаленной сеткой находящейся за туннелем. Из локалки туда в ту сеть доступа делать не нужно.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Как отправить трафик на IPSec туннель"
	Сообщение от CrAzOiD (ok) on 04-Янв-08, 20:40
	а на той стороне в курсе что ты к ним с адресов: ip address 87.245.130.17 255.255.255.240 secondary ip address 77.108.71.1 255.255.255.240 через туннель идешь? они так же должны прописать обратный маршрут в этот же туннель а то скорей всего они отправляют ответные пакеты через через свой DG, дойти то они дойдут, но декапсуляции не будет. Насчет route-map на интерфейсах и не менее странной трансляции ip nat inside source route-map comcor-map pool comcor-space overload честно не понял к чему все это. картинку в целом не видно, но из того что видно я бы сделал все не так. в любом случае пакеты с 192.168.0.12 и 192.168.0.16 не попадают в туннель, ты их в S1/0:0 принудительно отправляешь, даже если они не должны туда попадать
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Как отправить трафик на IPSec туннель"
	Сообщение от _RAW_ (ok) on 04-Янв-08, 21:38
	>[оверквотинг удален] >дойти то они дойдут, но декапсуляции не будет. > >Насчет route-map на интерфейсах и не менее странной трансляции ip nat inside >source route-map comcor-map pool comcor-space overload >честно не понял к чему все это. картинку в целом не видно, >но из того что видно я бы сделал все не так. > >в любом случае пакеты с 192.168.0.12 и 192.168.0.16 не попадают в туннель, >ты их в S1/0:0 принудительно отправляешь, даже если они не должны >туда попадать По идее они в курсе, ибо я пингую и получаю эхо ответ находясь на циске. Пакеты с 192.168.0.12 и 192.168.0.16 и не должны попадать в туннель. они летят только в S1/0:0 который смотрит в интернет. есть просто третий интерфейс который сам имеет адрес из интернет пула и к нему подключаются серваки которые, выставленные наружу тоже через S1/0:0, только файрволятся аксесслистами. Трафик от них весь идет на инет. Задача трафик на 172.16.0.0 из всей этой дмз отправить в тунель. это я уже писал. а 192.168.0.0/24 можно забыть - это уже другая опера.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Как отправить трафик на IPSec туннель"
	Сообщение от CrAzOiD (ok) on 04-Янв-08, 21:43
	>По идее они в курсе, ибо я пингую и получаю эхо ответ >находясь на циске. на кошке много интерфейсов, какой адрес она выбрала в качестве сорса? укажи явно какой адрес используешь для пингования
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Как отправить трафик на IPSec туннель"
	Сообщение от _RAW_ (ok) on 05-Янв-08, 16:54
	>>По идее они в курсе, ибо я пингую и получаю эхо ответ >>находясь на циске. > >на кошке много интерфейсов, какой адрес она выбрала в качестве сорса? >укажи явно какой адрес используешь для пингования 172.16.40.20 пингую. там такая машина явно есть. и она пингуется. как только убираю правило роутинга: ip route 172.16.0.0 255.255.0.0 Tunnel0 то ничего не пингуется уже и с циски. тоесть если правило прописано то пакеты уходят в тунель и возвращаются оттуда минимум на циску. без правила они уходят в маршрут по умолчанию ip route 0.0.0.0 0.0.0.0 62.117.87.7 а там такой сети нет, так как она из приватного ранжа. и ответа на пинг естественно нет. но при наличи маршрута ip route 172.16.0.0 255.255.0.0 Tunnel0 с циски пинги есть а с машин в дмз - нет...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Как отправить трафик на IPSec туннель"
	Сообщение от CrAzOiD (ok) on 05-Янв-08, 17:28
	>[оверквотинг удален] >тоесть если правило прописано то пакеты уходят в тунель и возвращаются оттуда >минимум на циску. без правила они уходят в маршрут по умолчанию > >ip route 0.0.0.0 0.0.0.0 62.117.87.7 >а там такой сети нет, так как она из приватного ранжа. и >ответа на пинг естественно нет. > >но при наличи маршрута >ip route 172.16.0.0 255.255.0.0 Tunnel0 >с циски пинги есть а с машин в дмз - нет... Я имел ввиду source адрес твоих пингов. Какой он?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Как отправить трафик на IPSec туннель"
	Сообщение от _RAW_ (ok) on 06-Янв-08, 09:30
	>[оверквотинг удален] >> >>ip route 0.0.0.0 0.0.0.0 62.117.87.7 >>а там такой сети нет, так как она из приватного ранжа. и >>ответа на пинг естественно нет. >> >>но при наличи маршрута >>ip route 172.16.0.0 255.255.0.0 Tunnel0 >>с циски пинги есть а с машин в дмз - нет... > >Я имел ввиду source адрес твоих пингов. Какой он? пока проверить что на той стороне видят не могу, но потелнетившись из дмз на один из своих удаленных серверов вижу адрес источника - адрес машины из дмз. а потелнетившись из циски на тот же сервер - вижу адрес Serial1/0:0, тобишь 62.117.87.7 подозреваю что и при хождени трафика через тунель будет та же картина, ведь в конце концов тунель заворачивается в Serial1/0:0... Это выходит что я пингов не вижу из дмз потому что они отбрасывают адрес источника дмз а слушают только адрес источника моего внешнего интерфейса циски? хм... как же тогда быть...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Как отправить трафик на IPSec туннель"
	Сообщение от CrAzOiD (ok) on 06-Янв-08, 11:24
	команда ping без параметров, есть возможнойть явно выбирать источник пакетов Кроме этого включай deb tunnel и давай смотреть что происходит с туннелем в завсимости от того что в него попадает да, и убери на время с fa0/1 policy route-map comcor-map
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Как отправить трафик на IPSec туннель"
	Сообщение от _RAW_ (ok) on 06-Янв-08, 23:24
	>команда ping без параметров, есть возможнойть явно выбирать источник пакетов >Кроме этого включай deb tunnel и давай смотреть что происходит с туннелем >в завсимости от того что в него попадает >да, и убери на время с fa0/1 >policy route-map comcor-map ping 172.16.40.20 source 10.3.2.9 прошел пинг. ping 172.16.40.20 source 87.245.130.17 ping 172.16.40.20 source 77.108.71.1 не прошло... при этом при включенном debug tunnel никакой отладочной инфы не отображается во всех случаях...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "Как отправить трафик на IPSec туннель"
	Сообщение от CrAzOiD (ok) on 06-Янв-08, 23:49
	traceroute так же попробуй и покажи что получается
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "Как отправить трафик на IPSec туннель"
	Сообщение от _RAW_ (ok) on 07-Янв-08, 13:24
	>traceroute так же попробуй >и покажи что получается c7206vxr#traceroute 172.16.40.20 Type escape sequence to abort. Tracing the route to 172.16.40.20   1  *     10.3.2.1 !A  *
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "Как отправить трафик на IPSec туннель"
	Сообщение от CrAzOiD (ok) on 07-Янв-08, 13:53
	>>traceroute так же попробуй >>и покажи что получается > >c7206vxr#traceroute 172.16.40.20 > >Type escape sequence to abort. >Tracing the route to 172.16.40.20 > >  1  * >    10.3.2.1 !A  * сорс адрес для запроса не указан, поэтому не ясно что проверить в любом слкчае то что сгенерилось дошло до той стороны туннеля и уже не вернулось
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "Как отправить трафик на IPSec туннель"
	Сообщение от _RAW_ (ok) on 07-Янв-08, 15:19
	>[оверквотинг удален] >> >>Type escape sequence to abort. >>Tracing the route to 172.16.40.20 >> >>  1  * >>    10.3.2.1 !A  * > >сорс адрес для запроса не указан, поэтому не ясно что проверить >в любом слкчае то что сгенерилось дошло до той стороны туннеля и >уже не вернулось это что ж получается... косяк на их стороне? тогда что нужно сказать чтобы они дописали то у себя... мне они предложили настроить наттинг с моей стороны. чтобы значица моя дмз для них выглядела как внутренний их адрес. но помоему это несколько бредово...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "Как отправить трафик на IPSec туннель"
	Сообщение от CrAzOiD (ok) on 07-Янв-08, 15:41
	>[оверквотинг удален] >>> >>>  1  * >>>    10.3.2.1 !A  * >> >>сорс адрес для запроса не указан, поэтому не ясно что проверить >>в любом слкчае то что сгенерилось дошло до той стороны туннеля и >>уже не вернулось > >это что ж получается... косяк на их стороне? >тогда что нужно сказать чтобы они дописали то у себя... что бы быть в этом уверенным надо что бы трейс шел с адресов DMZ, я писал об этом выше С их стороны маршрут в туннель на твои DMZ сети >мне они предложили настроить наттинг с моей стороны. чтобы значица моя дмз >для них выглядела как внутренний их адрес. но помоему это несколько >бредово... мне судить об этом сложно потому как картины в целом не представляю
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	20. "Как отправить трафик на IPSec туннель"
	Сообщение от _RAW_ (ok) on 07-Янв-08, 18:55
	>что бы быть в этом уверенным надо что бы трейс шел с >адресов DMZ, я писал об этом выше >С их стороны маршрут в туннель на твои DMZ сети вот я попробовал протрейсить непосредственно с машины, находящейся в дмз. # traceroute 172.16.40.20 traceroute to 172.16.40.20 (172.16.40.20), 64 hops max, 44 byte packets 1  77.108.71.1 (77.108.72.1)  0.456 ms  0.307 ms  0.288 ms 2  10.3.2.1 (10.3.2.1)  15.399 ms !X *  16.369 ms !X # а по поводу картины в целом, могу конфиг выслать целиком и карту обрисовать но на мыло а не в общий форум... вообще буду признателен за помощь, ибо настроить уже надо бы а пока работа стоит. мое мыло _raw_@bk.ru, маякни туда со своего ящика - отправлю полный конфиг с комментами.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]