forum.opennet.ru - "VPDN сервер для двух интерфейсов" (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"VPDN сервер для двух интерфейсов"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"VPDN сервер для двух интерфейсов"	+/–
Сообщение от Gromophon (ok) on 13-Окт-10, 09:01
Добрый день, уважаемым гуру и не только. Есть cisco 2811, на ней настроен сервер vpdn для приема входящих l2tp соединений через основного провайдера, также имеется запасной выход через второго прова, который поднимается при отсутствии основного. Хочется зарезервировать входящие соединения также через второго прова. Просто указание crypto map на внешнем интерфейсе второго прова результатов не дало, соединения на этот ип не ходят. В какую сторону смотреть, нужно ли настраивать еще одну группу впдн и виртуал интерфейс, а также ипсек параметры, или еще чего-то не хватает кисе для работы?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

VPDN сервер для двух интерфейсов, Николай, 10:56 , 13-Окт-10, (1)

VPDN сервер для двух интерфейсов, Gromophon, 10:41 , 14-Окт-10, (2)

VPDN сервер для двух интерфейсов, Gromophon, 08:33 , 15-Окт-10, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "VPDN сервер для двух интерфейсов" +/–

Сообщение от Николай (??) on 13-Окт-10, 10:56

interface GigabitEthernet0/0.250
description INSIDE
encapsulation dot1Q 250
ip address 172.16.250.65 255.255.255.192
ip nat inside
no ip virtual-reassembly
ip policy route-map INER-map
no snmp trap link-status
no cdp enable
!
interface GigabitEthernet0/1.548
description INET1
encapsulation dot1Q 548
ip address 212.109.xxx.xxx 255.255.255.248
ip nat outside
ip virtual-reassembly
no snmp trap link-status
no cdp enable
!
interface GigabitEthernet0/1.2278
description INET2
encapsulation dot1Q 2278
ip address 88.81.xxx.xxx 255.255.255.224
ip nat outside
no ip virtual-reassembly
no snmp trap link-status
no cdp enable
route-map INER-map permit 10
match ip address INET-acl
set ip next-hop 88.81.xxx.xxx - гейт прова
ip access-list extended INET-acl
ацл разрешающий хождение внутренних сетей/хостов
ip route 0.0.0.0 0.0.0.0 212.109.xxx.xxx
ip nat inside source list INET-acl interface GigabitEthernet0/1.2278 overload
может чуток заветнуто круто - но смысл сего такой: есть 2 ИНЕТ провайдера. Из мира могут цепляться как на первый так и на второй внешний линк. А вот юзера выходят только через провайдера - INET2 (именно через него несмотря на дефаулт роут*:) ). У меня поднят  L2TP, можно и круптомапы на интерфейсы прикрутить будет порядок.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "VPDN сервер для двух интерфейсов" +/–

Сообщение от Gromophon (ok) on 14-Окт-10, 10:41

>[оверквотинг удален]
>  set ip next-hop 88.81.xxx.xxx - гейт прова
> ip access-list extended INET-acl
> ацл разрешающий хождение внутренних сетей/хостов
> ip route 0.0.0.0 0.0.0.0 212.109.xxx.xxx
> ip nat inside source list INET-acl interface GigabitEthernet0/1.2278 overload
> может чуток заветнуто круто - но смысл сего такой: есть 2 ИНЕТ
> провайдера. Из мира могут цепляться как на первый так и на
> второй внешний линк. А вот юзера выходят только через провайдера -
> INET2 (именно через него несмотря на дефаулт роут*:) ). У меня
> поднят  L2TP, можно и круптомапы на интерфейсы прикрутить будет порядок.
Угумс, спасибо, идея понятна, но у меня на роут-мап к внутр интерфейсу повешены тоже два прова через треки
примерно так
route-map RouteSelect permit 100
match ip address 104
set ip next-hop verify-availability <IP-ISP1> 1 track 1
set ip next-hop verify-availability <IP-ISP2> 10 track 2
И два дефолтных маршрута во внешний мир, потому как статикой там утомительно прописывать четуре пира, это тунели филиалов, которые коннектятся к ип первого провайдера
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 IP-ISP1 track 1
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0/0.2 IP-ISP2 track 2
И что интересно ип первого прова доступно, я его могу попингать, и с него попингать, а второй недоступен, хотя по sh ip route появляются оба
S*    0.0.0.0/0 [1/0] via <IP-ISP1>, FastEthernet0/1
                [1/0] via <IP-ISP2>, FastEthernet0/0/0.2
Вроде по какой-то статье из инета так можно делать, и якобы доступны извне оба адреса, но у меня что-то не получается, если убрать дефолтный маршрут с первого прова, то вроде нормально работает, но тогда отвалятся все туннели, которые тоже охота зарезервировать. Где, что не так? ломаю копья дальше..

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "VPDN сервер для двух интерфейсов" +/–

Сообщение от Gromophon (ok) on 15-Окт-10, 08:33

>[оверквотинг удален]
> с него попингать, а второй недоступен, хотя по sh ip route
> появляются оба
> S*    0.0.0.0/0 [1/0] via <IP-ISP1>, FastEthernet0/1
>
>     [1/0] via <IP-ISP2>, FastEthernet0/0/0.2
> Вроде по какой-то статье из инета так можно делать, и якобы доступны
> извне оба адреса, но у меня что-то не получается, если убрать
> дефолтный маршрут с первого прова, то вроде нормально работает, но тогда
> отвалятся все туннели, которые тоже охота зарезервировать. Где, что не так?
> ломаю копья дальше..
вобщем маршрутизация заработала на 100%, но все равно не цепляется на второй интерфейс по л2тп, во всем был виноват ip verify unicast reverse-path поставленный на интерфейс,

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "VPDN сервер для двух интерфейсов"	+/–
Сообщение от Николай (??) on 13-Окт-10, 10:56
interface GigabitEthernet0/0.250 description INSIDE encapsulation dot1Q 250 ip address 172.16.250.65 255.255.255.192 ip nat inside no ip virtual-reassembly ip policy route-map INER-map no snmp trap link-status no cdp enable ! interface GigabitEthernet0/1.548 description INET1 encapsulation dot1Q 548 ip address 212.109.xxx.xxx 255.255.255.248 ip nat outside ip virtual-reassembly no snmp trap link-status no cdp enable ! interface GigabitEthernet0/1.2278 description INET2 encapsulation dot1Q 2278 ip address 88.81.xxx.xxx 255.255.255.224 ip nat outside no ip virtual-reassembly no snmp trap link-status no cdp enable route-map INER-map permit 10 match ip address INET-acl set ip next-hop 88.81.xxx.xxx - гейт прова ip access-list extended INET-acl ацл разрешающий хождение внутренних сетей/хостов ip route 0.0.0.0 0.0.0.0 212.109.xxx.xxx ip nat inside source list INET-acl interface GigabitEthernet0/1.2278 overload может чуток заветнуто круто - но смысл сего такой: есть 2 ИНЕТ провайдера. Из мира могут цепляться как на первый так и на второй внешний линк. А вот юзера выходят только через провайдера - INET2 (именно через него несмотря на дефаулт роут*:) ). У меня поднят L2TP, можно и круптомапы на интерфейсы прикрутить будет порядок.
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "VPDN сервер для двух интерфейсов"	+/–
	Сообщение от Gromophon (ok) on 14-Окт-10, 10:41
	>[оверквотинг удален] > set ip next-hop 88.81.xxx.xxx - гейт прова > ip access-list extended INET-acl > ацл разрешающий хождение внутренних сетей/хостов > ip route 0.0.0.0 0.0.0.0 212.109.xxx.xxx > ip nat inside source list INET-acl interface GigabitEthernet0/1.2278 overload > может чуток заветнуто круто - но смысл сего такой: есть 2 ИНЕТ > провайдера. Из мира могут цепляться как на первый так и на > второй внешний линк. А вот юзера выходят только через провайдера - > INET2 (именно через него несмотря на дефаулт роут:) ). У меня > поднят L2TP, можно и круптомапы на интерфейсы прикрутить будет порядок. Угумс, спасибо, идея понятна, но у меня на роут-мап к внутр интерфейсу повешены тоже два прова через треки примерно так route-map RouteSelect permit 100 match ip address 104 set ip next-hop verify-availability <IP-ISP1> 1 track 1 set ip next-hop verify-availability <IP-ISP2> 10 track 2 И два дефолтных маршрута во внешний мир, потому как статикой там утомительно прописывать четуре пира, это тунели филиалов, которые коннектятся к ип первого провайдера ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 IP-ISP1 track 1 ip route 0.0.0.0 0.0.0.0 FastEthernet0/0/0.2 IP-ISP2 track 2 И что интересно ип первого прова доступно, я его могу попингать, и с него попингать, а второй недоступен, хотя по sh ip route появляются оба S 0.0.0.0/0 [1/0] via <IP-ISP1>, FastEthernet0/1 [1/0] via <IP-ISP2>, FastEthernet0/0/0.2 Вроде по какой-то статье из инета так можно делать, и якобы доступны извне оба адреса, но у меня что-то не получается, если убрать дефолтный маршрут с первого прова, то вроде нормально работает, но тогда отвалятся все туннели, которые тоже охота зарезервировать. Где, что не так? ломаю копья дальше..
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "VPDN сервер для двух интерфейсов"	+/–
	Сообщение от Gromophon (ok) on 15-Окт-10, 08:33
	>[оверквотинг удален] > с него попингать, а второй недоступен, хотя по sh ip route > появляются оба > S* 0.0.0.0/0 [1/0] via <IP-ISP1>, FastEthernet0/1 > > [1/0] via <IP-ISP2>, FastEthernet0/0/0.2 > Вроде по какой-то статье из инета так можно делать, и якобы доступны > извне оба адреса, но у меня что-то не получается, если убрать > дефолтный маршрут с первого прова, то вроде нормально работает, но тогда > отвалятся все туннели, которые тоже охота зарезервировать. Где, что не так? > ломаю копья дальше.. вобщем маршрутизация заработала на 100%, но все равно не цепляется на второй интерфейс по л2тп, во всем был виноват ip verify unicast reverse-path поставленный на интерфейс,
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору