форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"VPN & ip route "

Сообщение от I_m (ok) on 09-Июн-08, 11:47

Помогите, пожалуйста. разобраться. Дано: Cisco 2811. Маршрутизация статическая, т.е. протоколы динамической маршрутизации не включены. На одном из внешних VLAN-ов поднят Site to Site VPN (IPSec Tunnel). IP-адрес на данном VLAN-е "белый", статический. На другой стороне - Zywall 5EE, тоже "белый" условно статический IP. Туннель от удаленного объекта во внутреннюю сеть. Удаленная сеть вида 192.168.181.0/24, внутренняя сеть 192.168.40.0/24. В таблицу статических маршрутов добавлен ip route 192.168.181.0 255.255.255.0 FastEthernet0/1.295 Вроде бы все работает, но вот вид самого маршрута некоторые сомнения вызывает. Правильно ли это? Из того, что здесь на форуме пытался найти на заданную тему - похоже, что неправильно. Это сейчас туннель один, а потом их в перспективе пару-тройку десятков может оказаться. Как правильно прописать маршрут в удаленную  внутреннюю сеть ?

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "VPN & ip route "

Сообщение от CrAzOiD (ok) on 09-Июн-08, 11:57

>Как правильно прописать маршрут в удаленную  внутреннюю сеть ? ip route 192.168.181.0 255.255.255.0 xxx.xxx.xxx.xxx правильнее прописывать маршрут на адрес в случае multiple access интерфейсов

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "VPN & ip route "
	Сообщение от I_m (ok) on 09-Июн-08, 12:01
	> >>Как правильно прописать маршрут в удаленную  внутреннюю сеть ? > >ip route 192.168.181.0 255.255.255.0 xxx.xxx.xxx.xxx > >правильнее прописывать маршрут на адрес в случае multiple access интерфейсов Так вот и вопрос собственно об этом: на какой адрес, если ни один из интерфейсов на циске не принадлежит подсети 192.168.181.0/24 ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "VPN & ip route "
	Сообщение от ВОЛКА (ok) on 09-Июн-08, 12:16
	а если бы принадлежал, то не нужно было бы и прописывать...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "VPN & ip route "
	Сообщение от I_m (ok) on 09-Июн-08, 12:32
	>а если бы принадлежал, то не нужно было бы и прописывать... Ну да. В то же маршрут ip route 192.168.181.0 255.255.255.0 192.168.181.1 делает недоступной удаленную сеть. Делать-то что? Помогите, плз, я в настройках цискиных роутеров полный ноль. Если нужна какая дополнительная информация - спрашивайте. Или просто тупо кидать все на интерфейс VLAN'а в надежде, что роутер сам разберется в какой туннель ему пакет укладывать?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "VPN & ip route "
	Сообщение от CrAzOiD (ok) on 09-Июн-08, 12:46
	>[оверквотинг удален] > >Ну да. В то же маршрут > > ip route 192.168.181.0 255.255.255.0 192.168.181.1 > >делает недоступной удаленную сеть. Делать-то что? Помогите, плз, я в настройках цискиных >роутеров полный ноль. Если нужна какая дополнительная информация - спрашивайте. > >Или просто тупо кидать все на интерфейс VLAN'а в надежде, что роутер >сам разберется в какой туннель ему пакет укладывать? ничего он сам не будет укладывать если вы не разбираетесь - оставляйте как есть, потому как вы просто напросто просите за вас перенастроить что-то задайте конкретный вопрос - получите конкретный ответ
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "VPN & ip route "
	Сообщение от I_m (ok) on 09-Июн-08, 13:00
	>задайте конкретный вопрос - получите конкретный ответ Так чтобы правильно вопрос задать - половину ответа знать нужно. Я же пока только вижу, что маршрутизация настроена некорректно, хоть и работает. И просто не понимаю, что нужно указать в качестве форвардинг адреса. Или эта задача решается вообще другими средствами? Подскажите хоть - в каком направлении копать.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "VPN & ip route "

Сообщение от ВОЛКА (ok) on 09-Июн-08, 13:21

ip route 192.168.181.0 255.255.255.0 ip_address где ip_address - это ip адрес ближайшего к вам маршрутизатора, через которого проходит ваш IPSec. как правило, это шлюз по умолчанию (если ваши VPN построены через Internet)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "VPN & ip route "
	Сообщение от I_m (ok) on 09-Июн-08, 13:37
	>ip route 192.168.181.0 255.255.255.0 ip_address >где ip_address - это ip адрес ближайшего к вам маршрутизатора, через которого >проходит ваш IPSec. >как правило, это шлюз по умолчанию (если ваши VPN построены через Internet) > Простите, а что скажет маршрутизатор, когда получит пакет с dst 192.168.181.1, к примеру? При условиии что VPN проложена через интернет. Или это такой тонкий сарказм был? В общем, разобрался, кажется. Просто нужно было добавить  reverse-route в описание crypto map. Правда, я не очень понял, как это соотносится с описанием "Reverse Route Injection" в хелпе к SDM.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "VPN & ip route "
	Сообщение от KiM on 10-Июн-08, 16:40
	>[оверквотинг удален] >>как правило, это шлюз по умолчанию (если ваши VPN построены через Internet) >> > >Простите, а что скажет маршрутизатор, когда получит пакет с dst 192.168.181.1, к >примеру? При условиии что VPN проложена через интернет. Или это такой >тонкий сарказм был? > >В общем, разобрался, кажется. Просто нужно было добавить  reverse-route в описание >crypto map. Правда, я не очень понял, как это соотносится с >описанием "Reverse Route Injection" в хелпе к SDM. а маршрутизатор ниче не скажет на это учите как работает впн. он инкапсулирует существующий пакет в новый с шифрованием и собственным ip заголовком в котором указан ip адресс пира. дальше сам читай всё по детски просто.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]