форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение		[ Отслеживать ]

"IPSec туннель с удалённым офисом с маршрутизатора внутри сети"	+/–
Сообщение от 098poi (ok) on 06-Мрт-15, 15:38
Помогите чайнику )) Встала задача поднять IPSec туннель с некоего маршрутизатора до маршрутизатора сиски. Проблема в том, что этот некий маршрутизатор не смотрит напрямую в тырнет, а находится где-то в локальной сети. В связи с этим вопрос: что нужно ещё во внутренней сети поднять для такой возможности при условии использования лишь одного "белого" IP адреса (в дальнейшем с этого же адреса поднимать другие туннели к другим офисам, которые друг о друге ничего не должны знать)? Два VLAN? Планирую привязать единственный "белый" IP к loopback-интерфейсу, который будет в отдельной VRF. Сам(и) туннель(и) настраивать в собственном(ых) VRF с "серыми" IP, а потом биндить к этому loopback. Но как-то туманно всё же всё это себе представляю пока что ) Нужно экспериментировать, но нет прямого доступа к инету. Поэтому для начала хотелось бы понять что нужно для связанности с тырнетом. Два VLAN-а? Или для loopback это излишне и как-то его без этого пробросить, а вилан лишь один потребуется: с "серыми" адресами? Сильно не бейте - я чайник пока что. Не предлагайте и заняться этим делом кому-то более продвинутому ) Это должен сделать я. Гуглил - нужного мне не нашёл ( Картиночку бы всего этого найти.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "IPSec туннель с удалённым офисом с маршрутизатора внутри сети"	+/–
Сообщение от ShyLion (??) on 06-Мрт-15, 17:39
IPSec работает через NAT
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "IPSec туннель с удалённым офисом с маршрутизатора внутри сети"	+/–
	Сообщение от ShyLion (??) on 06-Мрт-15, 17:41
	> IPSec работает через NAT Единственно инициатором должна быть сторона на NAT
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "IPSec туннель с удалённым офисом с маршрутизатора внутри сети"	+/–
Сообщение от McLeod095 (ok) on 10-Мрт-15, 00:17
>[оверквотинг удален] > VRF. Сам(и) туннель(и) настраивать в собственном(ых) VRF с "серыми" IP, а > потом биндить к этому loopback. Но как-то туманно всё же всё > это себе представляю пока что ) Нужно экспериментировать, но нет прямого > доступа к инету. Поэтому для начала хотелось бы понять что нужно > для связанности с тырнетом. Два VLAN-а? Или для loopback это излишне > и как-то его без этого пробросить, а вилан лишь один потребуется: > с "серыми" адресами? Сильно не бейте - я чайник пока что. > Не предлагайте и заняться этим делом кому-то более продвинутому ) Это > должен сделать я. Гуглил - нужного мне не нашёл ( > Картиночку бы всего этого найти. Cisco не советует на loopback вешать что-то что потребуется в работе ната  или других трудных вещей. Все что будет на loopback будет обрабатываться через процессор минуя cef. Если трафик будет большой, можно положить железку.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "IPSec туннель с удалённым офисом с маршрутизатора внутри сети"	+/–
	Сообщение от 098poi (ok) on 10-Мрт-15, 06:53
	Всем откликнувшимся - спасибо. Но хотелось бы всё же понять что настраивать для возможности прокинуть туннель IPSec (да и L2TP тоже) от этого внутреннего маршрутизатора наружу до цисок в инете, в удалённых офисах? VLAN-ы? Сколько? У этого маршрутизатора есть специальные платы для шифрования IPSec, там тысячи туннелей можно построить, согласно документации да и в самой документации в качестве примера тоже описано применение loopback. Так что тут проблем быть не должно ...вроде.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "IPSec туннель с удалённым офисом с маршрутизатора внутри сети"	+/–
	Сообщение от ShyLion (ok) on 10-Мрт-15, 07:26
	> Всем откликнувшимся - спасибо. Но хотелось бы всё же понять что настраивать > для возможности прокинуть туннель IPSec Обычный Lan2Lan настраивается также точно как и с реальным IP.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "IPSec туннель с удалённым офисом с маршрутизатора внутри сети"	+/–
	Сообщение от 098poi (ok) on 10-Мрт-15, 08:00
	> Обычный Lan2Lan настраивается также точно как и с реальным IP. Можно для чайника чуть подробней. Речь не про сам маршрутизатор (что на нём и как настраивать худо бедно понятно из примеров в документации), от которого пойдёт туннель, а про другое оборудование в локальной сети. На самом маршрутизаторе для одного туннеля в одном VRF на loopback-е будет "белый" адрес /32 и на другом VRF диапазон "серых". На отдельной железке поднят NAT. Ещё чего и нужно настраивать, чтобы туннель вышел наружу без проблем?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "IPSec туннель с удалённым офисом с маршрутизатора внутри сети"	+/–
	Сообщение от Andrey (??) on 10-Мрт-15, 09:41
	>> Обычный Lan2Lan настраивается также точно как и с реальным IP. > Можно для чайника чуть подробней. Речь не про сам маршрутизатор (что на > нём и как настраивать худо бедно понятно из примеров в документации), > от которого пойдёт туннель, а про другое оборудование в локальной сети. > На самом маршрутизаторе для одного туннеля в одном VRF на loopback-е > будет "белый" адрес /32 и на другом VRF диапазон "серых". На > отдельной железке поднят NAT. Ещё чего и нужно настраивать, чтобы туннель > вышел наружу без проблем? Ничего не понятно. С исходными данными типа "поднять IPSec туннель с _некоего_ _маршрутизатора_" лучше в спортлото обращаться. Сферический маршрутизатор в вакууме это чистая теория. А вы просите практические советы. По теории выходит что на "другом оборудовании в локальной сети" нужно настраивать: IP адресацию, маршрутизацию и политики маршрутизации (при необходимости). Чтобы туннель вышел через NAT - необходима поддержка NAT-T на пограничном маршрутизаторе. В теории - все. Хотите большего - нужна конкретика.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	9. "IPSec туннель с удалённым офисом с маршрутизатора внутри сети"	+/–
	Сообщение от 098poi (ok) on 10-Мрт-15, 11:36
	> Ничего не понятно. С исходными данными типа "поднять IPSec туннель с _некоего_ > _маршрутизатора_" лучше в спортлото обращаться. Сферический маршрутизатор в вакууме это > чистая теория. А вы просите практические советы. > По теории выходит что на "другом оборудовании в локальной сети" нужно настраивать: > IP адресацию, маршрутизацию и политики маршрутизации (при необходимости). Чтобы туннель > вышел через NAT - необходима поддержка NAT-T на пограничном маршрутизаторе. В > теории - все. Хотите большего - нужна конкретика. Какого рода конкретика нужна? Меня интересует в общем как это должно выглядеть, а не на уровне команд конкретной модели - это я в документации наковыряю (надеюсь). NAT-T, допустим, работает. Конкретика: делаю один общий для всех туннелей VRF с loopback с внешним IP и для каждого туннеля свой отдельный VRF (туннели друг о друге знать ничего не должны совсем), который будет биндиться к этому loopback с внешним ("белым") IP (максимально экономим на "белых" IP). Каждому VRF нужно делать своей VLAN?
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	8. "IPSec туннель с удалённым офисом с маршрутизатора внутри сети"	+/–
	Сообщение от ShyLion (ok) on 10-Мрт-15, 09:50
	Если не можешь сообразить, накидай нормальную схему. Ибо мне, например непонятно, на кой черт у тебя за НАТом какой-то роутер с реальным IP на лупбеке. Мне проще посмотреть визуально чем разбирать словесный поток.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	10. "IPSec туннель с удалённым офисом с маршрутизатора внутри сети"	+/–
	Сообщение от 098poi (ok) on 10-Мрт-15, 11:38
	> Если не можешь сообразить, накидай нормальную схему. Ибо мне, например непонятно, на > кой черт у тебя за НАТом какой-то роутер с реальным IP > на лупбеке. > Мне проще посмотреть визуально чем разбирать словесный поток. В том-то и беда )) Я бы сам хотел увидеть эту картинку ))) Какой адрес к чему привязан, где что терминируется, натится и т.д. - чтоб там было видно. О картинке и вопрошаю )) В общем надо построить от одного внутреннего маршрутизатора несколько туннелей IPSec, L2TP, которые бы использовали всего один "белый" IP адрес (статический, специально выделенный для этого) и ничего не знали друг о друге (поэтому несколько VRF), никак не пересекались даже случайно. Картинку этого я бы сам хотел увидеть.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	11. "IPSec туннель с удалённым офисом с маршрутизатора внутри сети"	+/–
	Сообщение от eek (ok) on 10-Мрт-15, 21:55
	> В общем надо построить от одного внутреннего маршрутизатора несколько туннелей IPSec, > которые бы использовали всего один "белый" IP адрес (статический, специально выделенный > для этого) и ничего не знали друг о друге (поэтому несколько > VRF), никак не пересекались даже случайно. Картинку этого я бы сам > хотел увидеть. NAT из той схемы убирайте и все будет работать. Сейчас это выглядит как секс стоя в гамаке. Multi VRF ipsec с одного адреса для всех VRF делается и даже вместе с Easy VPN. Не то чтобы прямо запросто, головой поработать придется. Софт нужен 15.2(4)m4, на более старом не пробовал. Поиск по ключевым словам: IPSEC+VRF, CRYPTO PROFILE. Документация как водиться на сайте вендора.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема